İnsan Hatalarının Siber Güvenlik İhlallerine Neden Olabileceği 7 Yol

Yayınlanan: 2022-04-19

Verizon tarafından 2021'de yayınlanan kapsamlı bir siber güvenlik raporuna göre, "veri ihlallerinin %85'i insan hatalarından kaynaklanmaktadır." Siber güvenlik ve veri korumada, insan hatası, çalışanların çoğu zaman veri sızıntılarına yol açan güvenlik ihlallerine neden olabilecek kasıtsız eylemleri olarak tanımlanır.

Tek bir hata şirketler için ölümcül olabilir ve milyonlarca dolara mal olabilir. Örneğin, Target, 2013'te şirkete 90 milyon dolara neden olan büyük bir veri ihlali yaşadı. Olaydan sonra şirketin itibarı zedelendi ve müşterilerin güvenini geri kazanması uzun zaman aldı.

Şirket, bir güvenlik ihlali olabileceğini öngörebilir ve bunu önleyebilir mi? En yaygın insan hatalarını ve bunların nasıl önleneceğini tartışalım.

İçindekiler gösterisi
  • Siber Güvenlik İhlallerine Neden Olan 7 Kritik İnsan Hatası
    • 1. Şifre Hijyeni
    • 2. Yetersiz Veri Erişim Kontrolü
    • 3. Casus yazılım
    • 4. Siber Güvenlik Bilincinin Eksikliği
    • 5. Kimlik Avı E-postaları
    • 6. Yetersiz Yazılım Güvenliği
    • 7. Gecikmeli Yama
  • İnsan Hatalarının Risklerini Azaltma ve Siber Güvenlik İhlallerini Önleme
    • 1. Parola Yönetimini İyileştirin
    • 2. Hassas Verilere Erişimi Kontrol Edin
    • 3. Antivirüs ve Casus Yazılımdan Koruma Yazılımını Kurun
    • 4. Çalışanları Siber Güvenlik Konusunda Eğitin
    • 5. Gelen E-postaları Filtreleyin
    • 6. Güvenlik Politikanızı Güncelleyin
    • 7. Yazılımı Düzenli Olarak Güncelleyin

Siber Güvenlik İhlallerine Neden Olan 7 Kritik İnsan Hatası

hacker-anonim-siber güvenlik-suçlu-yasadışı-veri-şifre-koruma

İnsan hatalarının kasıtsız doğası, bunların kaçınılmaz olduğu anlamına gelmez. Ancak şirketler güvenlik politikalarındaki zafiyetleri tespit edip riskleri azaltacak önlemler alabilirler. İşte güvenlik ihlallerine neden olabilecek en yaygın yedi insan hatası.

Sizin için önerilenler: 2022'de Çevrimiçi Korunmak İçin En İyi 17 Siber Güvenlik İpuçları.

1. Şifre Hijyeni

insan-hata-siber güvenlik-ihlalleri-1

NordPass tarafından 50 ülkede gerçekleştirilen 2021 araştırması, “123456” kombinasyonunun 130 milyon kişi tarafından giriş amacıyla kullanıldığını ortaya koyuyor. En sık kullanılan ikinci ve üçüncü şifreler ise sırasıyla 46 milyon ve 22,3 milyon kişi tarafından kullanılan “123456789” ve “qwerty”dir. Yetenekli bir bilgisayar korsanı, bu kadar zayıf şifreleri bir saniyeden daha kısa sürede kırabilir.

Zayıf parolalar belirlemenin yanı sıra, çoğu insan kişisel ve kurumsal e-postaları, sosyal medya hesapları ve diğer hizmetleri için aynı kombinasyonu kullanır. Bazı insanlar yıllarca şifrelerini değiştirmez, hatta meslektaşları ile paylaşmaz veya yapışkan notlar yazıp monitörlerine yapıştırır. Verizon, parolalara karşı böylesine dikkatsiz bir tutumun güvenlik ihlallerinin %61'ine neden olduğunu söylüyor.

2. Yetersiz Veri Erişim Kontrolü

insan hatası-siber güvenlik ihlalleri-2

Birine yetersiz erişim hakları atamak, güvenlik ihlallerine neden olabilecek başka bir insan hatasıdır. Bazı kuruluşlarda, beceriksiz kişilerin hassas verilere erişme izni vardır. Bununla birlikte, çoğu durumda, bu tür geniş erişim hakları, onları kısıtlamak için özel bir talep olmadıkça, varsayılan olarak çalışanlara verilir.

Yetersiz erişim denetiminin neden olduğu en yaygın hatalar şunlardır:

  • Hassas verilerin yanlışlıkla veya kasıtlı olarak silinmesi.
  • Veri ihlallerine ve veri sızıntılarına neden olabilecek sistem konfigürasyonlarının yapılması.
  • Sistemde yetkisiz değişiklikler yapmak.
  • Yanlış alıcılara değerli veriler içeren e-postalar göndermek.

3. Casus yazılım

insan-hata-siber güvenlik-ihlalleri-3

Çalışanlar ellerindeki görevi yapmak için çevrimiçi bilgi ararken, yetkisiz kaynaklardan dosya indirebilir, bilinmeyen bağlantılara tıklayabilir veya rastgele açılır pencerelerde "evet"e basabilirler. Bu tür eylemler, bilginiz olmadan cihazınıza casus yazılım bulaştırabilir. Günlük işlerinizi yaparken, çevrimiçi etkinliklerinizi kaydettiğinden ve oturum açma kimlik bilgilerinizi ve kişisel bilgilerinizi aldığından şüphelenmeyeceksiniz. Ardından, bu kötü amaçlı kötü amaçlı yazılım, toplanan bilgileri sizin izniniz olmadan kullanan üçüncü tarafa aktarır.

En kötü yanı, casus yazılımın bir bilgisayardan yayılabilmesi ve bir şirketin tüm ağına bulaşabilmesidir. Zamanında tespit edilmezse işletmeye multi milyon dolarlık zararlar verir.

fidye yazılımı-kötü amaçlı yazılım-güvenlik-virüs-casus yazılım-siber suç-hack-spam

4. Siber Güvenlik Bilincinin Eksikliği

insan-hata-siber güvenlik-ihlalleri-4

Çoğu durumda, güvenlik ihlallerine neden olan insan hataları, yanlışlıkla veya bilgi eksikliği nedeniyle yapılır. Ne yazık ki, bazı kuruluşlar sonuç almaya o kadar odaklanmış durumdalar ki çalışanlarını siber güvenlik konusunda eğitme ihtiyacını görmezden geliyorlar. Bilgi eksikliği nedeniyle insanların yapabileceği birkaç yaygın hata:

  • Şüpheli ve yetkili kaynaklardan yazılım indirmek.
  • VPN şifrelemesi olmadan restoranlarda veya otellerde halka açık Wi-Fi'ye bağlanma.
  • Bilinmeyen bir USD depolama alanı gibi cihazları takmak.

5. Kimlik Avı E-postaları

insan-hata-siber güvenlik-ihlalleri-5

Verizon tarafından 2020'de yürütülen bir araştırmaya göre, siber güvenlik ihlallerinin %20'si kimlik avı e-postaları nedeniyle gerçekleşiyor. Bu tür e-postaların içindeki kötü niyetli bağlantılara tıklamak, en maliyetli insan hatalarından biridir. Bildirildiğine göre, çalınan tek bir kaydın ortalama maliyeti 133 dolar. Son kullanıcıların bilgisayarının yanı sıra tüm ağa da bulaşırsa, bunun bir kuruluşa ne kadar zarar verebileceğini hayal edin!

6. Yetersiz Yazılım Güvenliği

insan-hata-siber güvenlik-ihlalleri-6

Çalışanlar tekrarlayan günlük görevleri yerine getirdiklerinde dikkatsizleşirler ve zamanla güvenlik prosedürlerini görmezden gelirler. Dün işleri sorunsuz olsaydı, bugün hiçbir şeyin onları tehdit edemeyeceğini düşünüyorlar. Güvenlik prosedürlerine yönelik bu dikkatsiz tutum, bazen tüm şirketlerin güvenlik sistemini tehlikeye atabilir. İşte çalışanların görmezden geldiği güvenlik prosedürleri:

  • Yazılım güncellemeleri: Çoğu çalışan, çok uzun sürdüğü veya en uygunsuz zamanlarda göründüğü için yazılım güncellemelerini atlar.
  • Bazen çalışanlar, işlerine müdahale ettikleri için antivirüsleri veya güvenlik özelliklerini kapatabilirler. İnterneti aktif olarak kullanırken bilgisayarı bir dakika bile korumasız bırakmak tehlikelidir.

7. Gecikmeli Yama

insan-hata-siber güvenlik-ihlalleri-7

Gecikmeli yama önceki noktayla yakından bağlantılıdır ancak daha çok yazılım güncellemelerine odaklanır. Siber suçlular sürekli olarak yazılım güvenliğindeki güvenlik açıklarını arar, ancak yazılım geliştiricileri de bunu yapar. Böyle bir güvenlik açığı keşfettiklerinde, hemen düzeltirler ve yazılım güncellemeleri olarak bilinen yamaları gönderirler. Güncellemeleri zamanında yükleyenler, cihazlarını güvenlik ihlallerinden korurken, her bir dakikalık gecikme, tehlikeye girme riskini artırır.

Equifax kredi raporlama kurumu örneği, yazılım güncellemelerinin neden göz ardı edilmemesi gerektiğine dair mükemmel bir örnektir. 2017'de yazılımlarında bir güvenlik açığı vardı. Şirket bunu biliyordu ama yama sürecini erteledi. Sonuç olarak, sistemleri hacklendi ve 140 milyondan fazla Amerikalı müşterinin ve 8.000 Kanadalı müşterinin kişisel bilgileri ele geçirildi.

İlginizi çekebilir: İşinizin Siber Güvenlik için İhtiyaç Duyduğu Belgeler ve Protokoller.

İnsan Hatalarının Risklerini Azaltma ve Siber Güvenlik İhlallerini Önleme

siber-güvenlik-koruma-gizlilik-şifreleme-güvenlik-şifre-güvenlik duvarı-erişim

Şirketler güvenlik politikalarındaki boşlukları belirledikten sonra önleyici tedbirler alabilirler. Hata yapmak insana mahsustur; bu yüzden riskleri tamamen ortadan kaldırmak mümkün değil ama en aza indirmek mümkün. Aşağıdaki yedi önlemi inceleyin.

1. Parola Yönetimini İyileştirin

1. Nokta

Siber güvenlik ihlallerinin en büyük kısmı kötü şifre hijyeninden kaynaklandığından, şirketler şifre yönetimine özellikle dikkat etmelidir. Kuruluşlar, basit şifreler kullanmaya veya tüm hesapları için tek bir kombinasyon oluşturmaya karşı net bir politika belirlemelidir. Parola oluşturma araçları, harfler, sayılar ve simgelerden oluşan güçlü ve güvenilir parolalar oluşturmaya yardımcı olabilir.

Ayrıca, tüm kurumsal hesaplarda iki faktörlü kimlik doğrulamayı etkinleştirmek de politikanın zorunlu bir parçası olmalıdır. Hesaplarınızın korumasını artıracak ve onları bilgisayar korsanları tarafından kırılmaz hale getirecektir.

2. Hassas Verilere Erişimi Kontrol Edin

2. nokta

Tüm çalışanlara hassas verilere sınırsız erişim izni verilmesi şirketler tarafından büyük bir hatadır. Varsayılan olarak, erişim tüm çalışanlara reddedilmelidir. Ardından, çalışanlar işlerini gerçekleştirmek için verilere erişim gerektirdiğinde yöneticiler hareket halindeyken izinler atamalıdır. Hatta çoğu sistem, rollerine bağlı olarak farklı kullanıcı izin seviyelerine sahiptir. Örneğin, ast uzmanlar belgeleri yalnızca yöneticilerin düzenleme veya silme hakkı varken görüntüleyebilir. Kullanıcı haklarının bu şekilde bölünmesi, hassas verilerin değiştirilmesini veya yanlışlıkla silinmesini önler.

3. Antivirüs ve Casus Yazılımdan Koruma Yazılımını Kurun

3. nokta

Virüsler ve casus yazılımlar, cihazlarınızda ve ağınızda yıkıcı hasara neden olabilir. Bu nedenle, onun yıkıcı sonuçlarına karşı savaşmaktansa korunmak daha akıllıcadır. Virüslere ve casus yazılımlara karşı en iyi koruma, virüsten koruma ve casus yazılımdan koruma yazılımıdır. McAfee Total Protection, Norton 360 ve Bitdefender Total Security, kullanılmaya değer en iyi üç casus yazılım önleme çözümüdür. Bu yazılım, şifreli İnternet kullanımı için VPN ve cihazı harici tehditlerden korumak için bir Güvenlik Duvarı sağlar.

4. Çalışanları Siber Güvenlik Konusunda Eğitin

4. nokta

Çoğu insan hatası, siber güvenlik hakkında bilgi eksikliği nedeniyle yapılır. Ve bu tür hataların risklerini azaltmanın en iyi yolu, çalışanlarınızı bilgi güvenliği konusunda eğitmek ve bilinçlendirmektir. Şirketler sık ​​sık eğitim almalı ve çalışanlarına siber saldırılar, türleri ve koruma prosedürleri hakkında bilgi vermelidir. Kimlik avı e-postalarını gerçek olanlardan nasıl ayırt edeceklerini, nasıl rapor edeceklerini ve güvenlik ihlallerinin tespit edilmesi durumunda ne yapacaklarını bilmelidirler. Şirketinizin belirli bir güvenlik politikası varsa, çalışanlarınızın bunu bildiğinden emin olun.

siber-güvenlik-güvenlik-çalışan

5. Gelen E-postaları Filtreleyin

5. nokta

Kendinizi kimlik avı e-postalarından korumanın bir yolu, şirketinizin dışından gelen iletileri işaretlemektir. Ancak bazı spam e-postalar şirketinizin e-posta alan adını taklit edebileceğinden %100 bir çözüm değildir. Bu nedenle, şüpheli e-postaları algılayan güvenlik yazılımı kullanmak başka bir seçenektir.

Kimlik avına karşı nasıl mücadele etmeye karar verirseniz verin, hiçbir zaman bir dosya indirmemeyi veya şüpheli e-postalardaki bir bağlantıya tıklamamayı temel bir kural haline getirin.

6. Güvenlik Politikanızı Güncelleyin

6. nokta

Şirketiniz, siber güvenlik prosedürlerini takip etme konusunda çalışanlarının vicdani tutumuna güvenmemelidir. Hassas verilerin nasıl ele alınacağını, parolaların ve diğer güvenlik kurallarının nasıl ve ne zaman güncelleneceğini açıklayan, net bir şekilde açıklanmış bir kurumsal güvenlik politikanız olmalıdır. Ancak, bu kılavuz eski olmamalıdır. Düzenli olarak güncellediğinizden emin olun ve yeni güvenlik prosedürlerine aşina olmaları için çalışanlarınızı bilgilendirin.

Şunlar da hoşunuza gidebilir: Siber Güvenlikte Makine Öğrenimi Nasıl Kullanılır?

7. Yazılımı Düzenli Olarak Güncelleyin

7. nokta

Yazılım geliştiricileri, güvenlik açıklarını keşfettikleri ve bunlara karşı korunmanıza yardımcı olmak istedikleri için yamalar yayınlar. Bu nedenle, yazılım güncellemelerini yok saymak ve atlamak, cihazınızın tehlikeye girme riskini artırır. Bu nedenle, yamaların kullanıma sunulduktan hemen sonra yüklenmesi önerilir.