İstatistikler, 2022 yılı süresince tüm minik ve orta ölçekli işletmelerin yüzde 60’ından fazlasının siber saldırılara maruz kaldığını gösteriyor. Tecim Örgütü’ne bakılırsa, KOBİ’ler mevcud tüm işletmelerin yüzde 90’ından fazlasını temsil ediyor ve küresel ekonomiye büyük katkı sağlıyor. Siber saldırılar sebebiyle bu işletmeler gizli saklı detayları kaptırabilir, mali kaynakları, kıymetli pazar paylarını kaybedebilirler. Ek olarak, suçluların hedefe ulaşırken kullanmaya çalışmış oldukları pek oldukça yol söz mevzusu oluyor. Bu yüzden KOBİ’ler için bir siber güvenlik problemi, en sıkıntılı kriz türlerinden birisi demek. Kaspersky uzmanları, KOBİ’lerin haiz olabileceği güvenlik açıklarını çözümleme ederek girişimcilerin 2023’te bilmesi ihtiyaç duyulan bazı mühim siber tehditleri özetledi.
1. Çalışanların niçin olduğu veri sızıntıları
Bir şirketten veri sızdırmanın çeşitli yolları bulunuyor ve bazı durumlarda bu sızıntı, istemeden de olabiliyor. Pandemi esnasında pek oldukça çalışan uzaktan çalışırken, çevrimiçi oyun oynamak, film seyretmek yada e-öğrenme platformlarını kullanmak şeklinde amaçlar için kendilerine tahsis edilen kurumsal bilgisayarları kullandı ki bu, kuruluşlar için finansal tehdit oluşturuyor.
Uzaktan emek verme sistemi yaşamın bir parçası olmaya devam ediyor ve her ne kadar 2020 süresince çalışanların yüzde 46’sı daha ilkin asla uzaktan çalışmamış olsa da, şimdi üçte ikisi ofise geri dönmeyeceklerini belirtiyor, geri kalanı ise hibrit yöntemle çalışmaya devam ettiklerini söylüyor.
Pandemi sonrasında siber güvenlik seviyesinde ve uzaktan çalışmanın kuruluşlar tarafınca kabul görme durumunda iyileşmeler yaşandı. Bununla beraber, eğlence amaçlı kullanılan kurumsal bilgisayarlar, bir firmanın ağına ilk erişimin en mühim yollarından biri olmaya devam ediyor. Bir dizinin herhangi bir bölümünü yada yeni gösterilen bir filmi indirmek için alternatif kaynaklar arayan kullanıcılar da Truva atları, casus yazılımlar ve arka kapılar (backdoor) ile reklam yazılımları da dahil olmak suretiyle, oldukça sayıda fena amaçlı yazılım çeşitleriyle karşılaşıyorlar.
Kaspersky istatistiklerine bakılırsa, dijital gösterim platformu kisvesi altında tehditlerle karşılaşan kullananların yüzde 35’i Truva atlarından etkilendi. Bu tür fena amaçlı yazılımlar, eğer bir şirket bilgisayarına bulaşırsa, saldırganlar şirket ağına sızabiliyor ve hem iş geliştirme sırları hem de çalışanların kişisel verileri dahil olmak suretiyle duyarlı detayları bulup çalabiliyor.
Ek olarak, dünya genelinde şirketlerin eski çalışanlarını ihtimaller içinde veri sızıntılarından görevli tutma şeklinde bir eğilim de söz mevzusu. Sadece, kısa sürede ankete katılan kuruluşların yöneticilerinin yalnızca yarısı, eski çalışanların bulut hizmetlerinde depolanan şirket verilerine erişemediğinden yada şirket hesaplarını kullanamadığından güvenilir. Açıkçası eski bir çalışan, bu şekilde bir kaynağa erişimi bulunduğunu bile hatırlamayabiliyor. Sadece aynı düzenleyiciler tarafınca meydana getirilen rutin bir denetim, yetkisi olmayan kişilerin aslen gizli saklı bilgilere erişebildiğini ortaya çıkarabiliyor ve bu da para cezasına niçin olabiliyor.
2. DDoS saldırıları
Dağıtılmış Ağ Saldırıları, çoğu zaman Dağıtılmış Hizmet Reddi (DDoS) saldırıları adıyla biliniyor. Bu tür saldırılar, bir firmanın internet sayfasını elde eden altyapı şeklinde, herhangi bir ağ deposu için geçerli olan belirli kapasite sınırlarından faydalanıyor. DDoS saldırısı, saldırıya uğrayan web kaynağına birden oldukça talep göndererek web sitesinin oldukça sayıda isteği işleme kapasitesini aşmayı ve doğru şekilde çalışmasını engellemeyi amaçlıyor.
Saldırganlar, çoğu zaman DDoS saldırılarından etkilenen bankalar, medya varlıkları yada perakendeciler şeklinde kuruluşlara yönelik eylemler gerçekleştirmek için değişik kaynaklara başvuruyor. Son zamanlarda, siber suçlular Alman besin dağıtım hizmetini hedef aldı ve Takeaway.com’dan (Lieferando.de) trafik akışını devam ettirmek için iki bitcoin (ortalama 11.000 $) ödeme talep ettiler.
Ek olarak, çevrimiçi perakendecilere yönelik DDoS saldırıları, müşterilerinin en etken olduğu dinlence dönemlerinde artış eğiliminde. Oyun şirketlerinin büyüyor olmasına yönelik artan bir eğilim de söz mevzusu. Bu sebeple Final Fantasy 14’ün Şimal ABD veri merkezleri Ağustos ayı başlarında saldırıya uğradı. Oyuncular bağlantı, oturum açma ve veri paylaşımı şeklinde pek mesele yaşadı. Blizzard’ın oldukça oyunculu oyunları — Call of Duty, World of Warcraft, Overwatch, Hearthstone ve Diablo: Immortal – gene DDos saldırılarına maruz kaldılar. Ayrıca, birçok DDoS saldırısı duyurulmuyor şundan dolayı maliyetleri çoğu zaman oldukça büyük olmuyor.
3. Tedarik zinciri
Tedarik zinciri vesilesiyle saldırıya uğramak, çoğu zaman bir kuruluşun bir süredir kullanmakta olduğu bir hizmet yada programın kötücül hale geldiği anlamına geliyor. Bunlar, firmanın satıcıları yada tedarikçileri vesilesiyle meydana gelen saldırılar ve buna verilebilecek örnekler içinde finans kurumları, lojistik ortaklar ve hatta örneğin bir yiyecek dağıtım hizmeti bile yer alabiliyor. Ve bu tür eylemler, çetrefilliği yada yıkıcılığı bakımından farklılık gösterebiliyor.
Örnek vermek gerekirse, saldırganlar M.E.Doc adlı muhasebe yazılımının otomatik güncelleme sistemine sızarak, ExPetr (öteki adıyla NotPetya) adlı fidye yazılımını tüm müşterilere göndermeye zorlamıştı. Netice olarak, ExPetr hem büyük şirketleri hem de minik işletmeleri etkileyerek milyonlarca dolar zarara niçin oldu.
Başka bir örnek, sistem kayıt defteri temizliği için kullanılan en popüler yazılımlardan önde gelen CCleaner’dır ve hem ev kullanıcıları hem de sistem yöneticileri tarafınca yaygın olarak kullanılıyor. Bir noktada saldırganlar, program geliştiricisinin derleme ortamına sızmayı başararak bazı sürümleri bir arka kapı (backdoor) ile donatmayı başarmıştı. Netice olarak, bir ay süresince bu güvenliği ihlal edilmiş sürümler firmanın resmi web sitelerinden dağıtıldı, 2,27 milyon kez indirildi ve fena amaçlı yazılımın minimum 1,65 milyon kopyası suçluların sunucularıyla kontakt kurmaya çalıştı.
Dikkatimizi çeken en yeni örnekler, Güneydoğu Asya’da vuku gören DiceyF olaylarıdır. Bu saldırılarda başlıca hedefler, Ocean’s Eleven tarzında saldırıya uğrayan bir çevrimiçi Casino geliştiricisi ve operatörü ile bir satın alan destek platformuydu.
4. Fena amaçlı yazılımlar
Eğer birisi yasal olmayan dosyaları indirdiyse, bu dosyaların zarar vermediğinden güvenilir olmak gerekiyor. En oldukça ortaya çıkan tehditler, bir firmanın verilerini, parasını ve hatta sahiplerinin kişisel bilgilerini kovalayan şifreleyiciler oluyor. Şunu da söylemek gerek, orta ölçekli işletmelerin dörtte birinden fazlası maliyetleri düşürmek için korsan yada lisanssız yazılımları tercih ediyor. Bu tür yazılımlar, şirket bilgisayarlarından ve ağlarından yararlanabilecek bazı fena amaçlı yada istenmeyen dosyaları içerebiliyor.
Ek olarak, işletme sahipleri arabulucuların bilincinde olmalı zira bu tür grup katmanları 2023’te KOBİ’lere türlü şekillerde zarar verecek. Bu yazılımların yasa dışı erişime haiz olan müşterileri içinde, kripto hırsızlığı yapanlar, bankacılık gizyazı hırsızları, fidye yazılımlarını kullananlar, çerez (cookie) hırsızları ve öteki sorunlu fena amaçlı yazılım müşterileri bulunuyor. En malum örneklerden biri, bankacılık kimlik bilgilerini çalan ve dünyanın dört bir tarafındaki kuruluşları hedef alan fena amaçlı yazılım Emotet.
Minik ve orta ölçekli işletmeleri hedefleyen bir öteki grup, en oldukça yasal, finansal ve gezi kuruluşlarına yönelik saldırılarıyla tanınan Deathstalker. Grubun ana hedefleri, VIP’ler ve büyük finansal varlıklar ile ilgili yasal anlaşmazlıklar, rekabetçi iş zekası, birleşme ve devralmalara ilişkin içgörülerle ilgili gizli saklı bilgilerin yağmalanmasına dayanıyor.
5. Toplumsal mühendislik
COVID-19 salgınının başlamasından bu yana birçok şirket iş akışlarının çoğunu çevrimiçi hale getirdi ve yeni iş birliği araçlarını kullanmayı öğrendi. Bilhassa, Microsoft’un Office 365 paketi oldukça daha çok kullanıldı ve haliyle, kimlik avı saldırılarının bu kullananların hesaplarını daha çok hedeflemesi kimseyi şaşırtmıyor. Dolandırıcılar, ofis kullanıcılarının Microsoft’un oturum açma sayfası şeklinde görünen bir internet sayfasına şifrelerini girmelerini sağlamak için her türlü numaraya başvuruyor.
Kaspersky, kimlik avı dolandırıcılarının işletme sahiplerini iyi mi kandırmaya çalıştıklarının, bazıları oldukça detaylı birçok yeni yolunu ortaya çıkartmayı başardı. Bazıları da düzmece internet sayfalarını paylaşarak yada düzmece muhasebe belgeleriyle e–posta göndererek, kredi yada teslimat hizmetlerini öykünmek etmeye devam ediyor.
Bazı saldırganlar kurbanlarından para kazanabilmek için meşru çevrimiçi platformlar şeklinde görünebiliyor. Bu, Wise Aktarma şeklinde oldukça popüler bir para aktarma hizmeti bile olabilir.
Kaspersky uzmanları tarafınca keşfedilen bir öteki kırmızı bayrak, Google Translate kullanılarak çevrilen sayfa bağlantıları. Bu senaryoda saldırganlar, siber güvenlik mekanizmalarını atlamak için Google Translate’i kullanıyor. E-postayı gönderenler, ekin yalnızca alıcıya sunulan ve “sözleşme toplantısı sunumu ve müteakip ödemeler için incelenmesi ihtiyaç duyulan bir tür ödeme belgesi bulunduğunu” iddia ediyor. Aç düğmesi bağlantısı ise Google Translate tarafınca çevrilmiş bir siteye işaret ediyor. Sadece eklenen bağlantı, saldırganlar tarafınca kurbanlarından para çalmak için oluşturulan düzmece bir siteye kapı açıyor.
Siber suçlular, lisanssız yazılımlar, kimlik avı siteleri, e–postalar, işletmelerin güvenlik ağındaki ihlaller ve hatta büyük DDoS saldırıları yöntemiyle kurbanlarına mümkün olan her yolu kullanarak ulaşmaya çalışacak. Sadece Kaspersky tarafınca kısa sürede meydana getirilen bir anket, KOBİ’lerin bir tek yüzde 41’inin bir kriz önleme planına haiz bulunduğunu gösteriyor. Bu yüzden şirketlerin siber güvenliği önemsemesi ve hücum sonrasındaki BT güvenlik vakası düzeltmesinin ne kadar sıkıntılı olabileceğini anlaması ehemmiyet taşıyor. Kaspersky bunu, kuruluşların bünyesinde uygulanacak koruyucu ve güvenilir önlemlerle sonuçlanacağını ummuş olduğu doğru bir eğilim olarak görüyor.
İşletmeleri siber saldırılardan korumak için Kaspersky uzmanları şunları öneriyor:
Standart bir kullanıcı hesabı parolasının minimum sekiz harf, bir sayı, büyük ve minik harfler ve bir hususi karakter içermesini gerektiren kuvvetli bir parola politikası uygulayın. Güvenliğinin ihlal edildiğine dair herhangi bir kuşku var ise, bu parolaların değiştirildiğinden güvenilir olun. Bu yaklaşımı ek çaba harcamadan uygulamaya koymak için, yerleşik ve kapsamlı parola yöneticisi olan bir güvenlik çözümü kullanın.
Bir yazılım ve aygıt üreticisinden gelen güncellemeleri göz ardı etmeyin. Bunlar çoğu zaman yalnızca yeni özellikler ve arayüz geliştirmeleri getirmekle kalmaz, hem de hemen hemen fark edilmemiş güvenlik açıklarını da giderir.
Çalışanlar içinde yüksek düzeydeki güvenlik bilincini sürdürülebilir kılın. Çalışanlarınızı mevcut tehditler, kişisel ve ustalaşmış yaşamlarını korumanın yolları hakkında daha çok data edinmeleri ve bu mevzularda parasız kurslar almaları için teşvik edin. Çalışanlar için kapsamlı ve etkili üçüncü taraf eğitim programları yürütmek, data işlem departmanına vakit kazandırmak ve iyi sonuçlar almak için doğru bir yoldur.
