İşletmenizi İnternette Nasıl Güvende Tutarsınız? Ayrıntılı Kılavuz!

Tıpkı büyük bir kurumsal organizasyon gibi, küçük işletmeler de her zaman bilgisayar korsanlarından gelen kötü amaçlı yazılımlara eşit derecede maruz kalır. Küçük işletmeler tarafından tutulan veriler, hiçbir şekilde büyük kuruluşlar tarafından ticari büyüme ve operasyonlar için toplananlardan daha az değere sahip değildir. Verilerin değeri ve siber güvenlik önlemlerindeki gevşeklik, işletmeyi sürekli olarak bilgisayar korsanlarına maruz bırakır.

SBA tarafından yürütülen bir anket, küçük işletme sahiplerinin %88'inin bir siber saldırının kurbanı olmasının an meselesi olduğuna inandığını gösterdi. Sorun, bu işletmelerin BT departmanlarına yeterli kaynak yatıramamasıdır. Ve diğerleri, meydan okumayı nasıl ele alacaklarını bilmiyorlar.

Küçük işletmeler, siber uzaydan gelen mevcut ve ortaya çıkan tehditlere karşı koymanın yeni yollarını sürekli öğrenerek, işlerini çevrimiçi ortamda güvende tutmak için savunma mekanizmalarını güçlendirmenin yollarını ararlar.

Küçük işletmelerde sık görülen siber saldırı türleri

Küçük işletmenizin karşılaşabileceği en yaygın siber saldırı türlerinden bazılarını öğrenelim. İşletmenizi bu siber saldırılara karşı çevrimiçi ortamda güvende tutmak için bir çözüm bulmalısınız.

Sizin için önerilenler: Bilgisayarınızı Siber Saldırılardan, İzlemeden ve Kötü Amaçlı Yazılımlardan Nasıl Korursunuz?

1. Sosyal mühendislik dolandırıcılığı

Bu tür bir saldırının amacı, kuruluşları şifreler, sosyal güvenlik numaraları veya kredi kartı bilgileri gibi gizli verileri vermeleri için manipüle etmektir. Çoğu zaman, sosyal mühendislik sahtekarlığı, meşru kaynaklardan geliyormuş gibi görünen yanlış ödemeler veya veri talepleri göndermek için kimlik avı e-postaları ile işlenir.

Örneğin, günlük operasyonları planlamak için yeni satıcılar veya ağlar arayan küçük bir işletme, sosyal mühendislik sahtekarlığının kurbanı olabilir. Herhangi bir bağlantıya tıklamadan, çevrimiçi veri formlarını doldurmadan veya e-postaları yanıtlamadan önce her kuruluşun gerçekliğini onayladığınızdan daima emin olun.

2. Evden çalışmanın etkisi

Çoğu küçük işletme, çalışanlarının bir kısmının veya tamamının mümkün olduğunda evden çalışmasına izin vermeyi tercih eder. Bu operasyonel strateji, muazzam maliyet tasarrufu avantajlarına sahip olabilir, ancak işletmeyi siber güvenlik saldırıları tehlikesiyle karşı karşıya bırakır. Farklı personel üyeleri uzaktan ve farklı konumlardan çalışmak zorunda kalsa bile, kuruluş tüm siber saldırıları başlangıç ​​aşamasında etkisiz hale getirmek için dikkatli olmalıdır.

3. Kötü amaçlı yazılım saldırıları

Kötü amaçlı yazılım, genel olarak bilgisayar veya ağ bağlantısını bozmak ve yok etmek ya da davetsiz misafirlerin gizli bilgileri elde etmesine izin vermek için tasarlanmış yazılımlar, virüsler veya fidye yazılımları olarak tanımlanır. Çoğu insan fidye yazılımlarını yalnızca büyük kuruluşlarla ilişkilendirme eğilimindedir. Ancak, fidye yazılımlarının %50 ila %70'inin küçük ve orta ölçekli işletmeleri etkilediğini öğrenince şaşıracaksınız. Bu işletmelerin çoğunun, operasyonların ilk altı ayında çökmesinin nedeni kısmen budur.

Son siber saldırı vakaları

Siber saldırıların modern doğası, yani siber saldırının tanımı ve olumsuz etkisi hakkında bilgi edinmek, işletmenizi her türlü çevrimiçi siber tehditten korumanıza yardımcı olabilir.

Capital One Corporation'da bir güvenlik ihlali

Bir finansal hizmetler şirketi olan Capital One, Temmuz 2019'da sistemlerinin saldırıya uğradığını keşfetti. Suçlular, şirketle kredi kartı hizmetleri arayan küçük işletmelerin müşterilerine ait kişisel verilere ulaşmayı başardılar. Güvenlik analistleri, veri soygunun ABD'de yaklaşık 100 milyon kişiyi (dış bağlantı) ve Kanada'da altı milyon kişiyi etkilediğini tahmin ediyor.

The Weather Channel'ın fidye yazılımı

Bu saldırı Nisan 2019'da gerçekleşti ve Weather Channel'ı hedef aldı. Saldırının ardından, televizyon ağı, tam yayına girmek üzereyken, sabah saat 6'da kötü amaçlı bir yazılım saldırısı (harici bağlantı) tarafından ele geçirildi. Yaklaşık iki saat sonra, bir yedekleme sistemi kullanılarak normal hizmet işlemleri geri yüklendi. Geri dönüş stratejisi işe yaradı çünkü TV'nin siber güvenlik hazırlığı yüksek alarmdaydı.

ABD Gümrük ve Sınır Koruma Algılarına Siber Saldırı

Bu saldırı Haziran 2019'da gerçekleşti. ABD Gümrük ve Sınır Koruması (CBP), yüz resimlerinin ve plakaların çalındığını doğruladı. Bu saldırı, esas olarak şirketin taşeron ağı Perceptics'i etkiledi. Saldırganların, bir kara sınırı giriş noktasında çekilmiş yaklaşık 100.000 kişinin görüntüsünü ele geçirdiği tahmin ediliyor.

Citrix siber güvenlik ihlali

Mart 2019'da FBI, bilgisayar korsanlarının çok sayıda hassas veriye zaten eriştiğini ve çaldığını öğrendi. Durumla ilgilenmesi için bir yazılım şirketi olan Citrix'i tuttular. Soruşturmalar, siber suçlu grubunun e-postalara, dosyalara ve önemli iş dosyalarına erişmek için "parola püskürtme" gibi bir dizi tekniğe güvendiğini gösterdi.

Teksas'ta fidye yazılımı saldırıları

Bu saldırı Ağustos 2019'da gerçekleşti. Teksas'taki 23 kasaba ve küçük şehrin yerel yönetimleriyle çalışan kuruluşların organize bir siber saldırganlar grubu tarafından saldırıya uğradığı bu sıralarda ortaya çıktı. Saldırganlar fidye talep ederken küçük belediyelerde devlet hizmetlerinin akışını durdurdu.

Küçük işletmeler için siber güvenliği artırmak için en iyi stratejiler nelerdir?

“Küçük kuruluşlar genellikle bu siber güvenlik uyarıları selini manuel olarak araştırmak için kaynağa, nakite veya uzmanlığa sahip değildir. Yelpazenin diğer ucunda, daha büyük işletmeler için çok hızlı bir şekilde ölçeklenemez hale geliyor. Özel güvenlik ekiplerine ve daha büyük güvenlik bütçelerine sahip olabilirler. Ancak bu tek noktalı çözümlerden onlarcasını çalıştırıyorlar.” – David Atkinson tarafından yayınlanan makalelerinden birinde açıklandığı gibi. David, SenseOn'un kurucusu ve CEO'su olan bir siber güvenlik uzmanıdır.

İşletmenizi çevrimiçi ortamda güvende tutmak için kuruluşunuzun siber güvenliğini artırmak için uygulayabileceğiniz en kanıtlanmış stratejilerden bazılarını tartışalım.

Eğitim

Ortaya çıkan siber tehditleri ele almanın yeni yolları konusunda personelinizi sürekli olarak eğitmeye ihtiyaç vardır. Bunun nedeni, siber suçluların ticaretini her gün mükemmelleştirmeleridir. Personeliniz siber güvenlik protokollerini nasıl geliştireceğini biliyorsa, işiniz çok daha güvenli olacaktır.

Dosyaları açmaktan veya tanıdık olmayan kaynaklardan gelen bağlantıları takip etmekten kaçınmak için çalışanlarınıza sürekli hatırlatıcılar göndermeniz gerekebilir. Ayrıca, çalışanlarınıza kişisel veya hassas verileri şifrelemeye yönelik süreçleri sağlamayı ve onları rastgele ödeme taleplerinin doğruluğunu nasıl onaylayacakları konusunda eğitmeyi düşünün.

İlginizi çekebilir: İnsan Hatalarının Siber Güvenlik İhlallerine Neden Olabileceği 7 Yol.

Çalışan cihazlarda güvenli uygulamalar

Çoğu siber saldırı, zayıf, güvenliği ihlal edilmiş veya kaybolan parolaların bir sonucu olarak gerçekleşir. Çoğu insanın kendi cihazlarıyla çalışmayı tercih ettiği modern dünyada, tüm ağların ve şifrelerin güvenli bir şekilde korunması ve saklanması çok önemlidir. Diğer bir yol ise personelinizi her 60 veya 90 günde bir şifrelerini değiştirmeye zorlamaktır.

İşletmenizin güvenilir platformlar ve ortaklarla çalışmasını sağlayın

Siber güvenlik sistemlerinizin gücü, işletmeniz tarafından kullanılan platformların ve ortakların güvenilirliğine bağlıdır. Aşağıdaki bilgilere bakın:

• Sitenizi korumak için bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmayı düşünün.
• E-ticaret platformunuzun ödeme kartı endüstrisinin – Veri Güvenliği Standartlarının (PCI-DSS) Seviye 1 ile uyumlu olduğundan emin olun. Böylece işletmeniz tek bir kartı değil, tüm ödeme sistemini etkileyebilecek dijital veri güvenliği ihlallerinden korunur. .
• Kuruluşunuzdaki personeli, siber saldırı olasılığını azaltmak için güvenlik zayıflıklarını tekrar tekrar düzeltmeye adayın.
• İş kuruluşunuzdaki her bilgisayarın etkin bir virüsten koruma yazılımına sahip olduğunu doğrulayın. Personeliniz bir kimlik avı e-postasını nasıl tanımlayacakları konusunda iyi eğitim almış olsa bile, virüsten koruma çok önemlidir.

Şirketinizin donanım cihazlarını koruyun

Bazen, fiziksel şirket varlıklarının çalınması veri kaybının nedeni olabilir. Bu nedenle sunucularınızı, cep telefonlarınızı, dizüstü bilgisayarlarınızı ve diğer gadget'larınızı hırsızlıktan korumak için ekstra önlemler almalısınız. İşletmenize güvenlik kameraları ve alarmlar kurmanız veya bilgisayarları ve sunucuları yerinde tutmak için fiziksel olarak kilitlemeyi düşünmeniz gerekebilir. Personelinizin nerede çalıştığına bakılmaksızın, evde, ofiste veya ortak iş istasyonlarında, şirket ekipmanını güvende tutmanın önemini bildiklerinden emin olun.

E-posta sisteminizin güvenlik seviyesini yükseltin

Symantec'in İnternet Güvenliği Tehdit Raporuna ilişkin 2019 tarihli raporuna göre, kötü amaçlı e-posta eklerinin neredeyse yarısı ofis dosyalarından kaynaklanmaktadır.

Çalışanlarınızın şüpheli e-postaları veya bağlantıları açmamak gibi gerekli önlemleri alması gerekiyor. Bu dersler çalışan eğitim planına dahil edilebilir. Eşzamanlı olarak, müşterilerin özel verilerini içeren belgeler, alıcının belgeyi açmak için bir parola kullanması için uçtan uca şifrelenmelidir.

Verileri güçlendirin

İşletmenizi siber saldırılara karşı korumak için aldığınız önlemler ne olursa olsun, başarıdan asla emin olamazsınız. Bu nedenle, aşağıdaki hayati bilgileri pekiştirmenizi tavsiye ederiz:

• Şirket veritabanları.
• Mali belgeler.
• İnsan kaynakları belgeleri.
• Şirketin alacak veya borç hesaplarını gösteren belgeler.

İşletmenizin depolanan tüm bilgilerini çevrimiçi bir depolama sürücüsüne yedeklediğinizden emin olun ve sisteminizin düzgün çalıştığını tekrar tekrar onaylayın.

Bütünsel bir plan geliştirmek

Bütünsel bir güvenlik planının, bir personel eğitim programını ve siber tehditlere karşı uygun bir yanıt planını içermesi gerekir. İşletmenizin ağını korumanın ilk adımı, personelinizin tüm güvenlik politikalarını ve süreçlerini bilmesini sağlamaktır.

Çalışan eğitimlerinin sık sık yapılması gerekir. Örneğin, sağlam bir siber güvenlik sistemini sürdürmek için çalışanlara fiili dersler ve tazeleme kursları sağlamak için yıllık veya altı ayda bir yapılabilir. Ek olarak, çalışanlarınıza yazılımlarını güncelleme ihtiyacına hakim olmaları, gerekli güvenlik yükümlülüklerini yerine getirmeleri ve olası bir güvenlik ihlalini tespit etmek ve bununla başa çıkmak için yapılması gerekenleri anlamaları için rehberlik etmelisiniz.

Bir siber saldırıya ne kadar hızlı yanıt verirseniz, orta düzeyde potansiyel hasarla başa çıkmak o kadar kolay olur.

İdeal müdahale planının aşağıdakiler gibi önemli bilgilere sahip olması gerekir:

• İletişim kurulacak kişi.
• Kuruluşun verilerinin ve veri yedeklerinin depolandığı yer.
• İhlal hakkında onları bilgilendirmek için kolluk kuvvetleri veya halkı ne zaman aramalı.

Federal İletişim Komisyonu, küçük işletme sahiplerine, işletme için bir siber güvenlik planı geliştirmeye yardımcı olacak bir siber planlayıcı sağlar. Oluşturmayı bitirdikten sonra sayfanın altında size özel bir siber güvenlik planı oluşturabilirsiniz.

Wi-Fi bağlantınızı koruyun

Satın alma sırasında Wi-Fi ağ ekipmanı güvenli değildi. Cihazın genellikle varsayılan bir şifresi vardır, ancak cihazı her zaman kendi özel şifrenizle şifrelemeniz önerilir. Yönlendirici, kullanılacak parola güvenlik düzeyi türünü seçmenize izin vermelidir; en güvenli Wi-Fi Korumalı Erişim II (WPA2) kodunu kullanmanızı öneririz.

Aynı zamanda, yönlendiricinin ağınızın adını yayınlamamasını sağlamak için ağınızı gizli tutmalısınız. Müşterilere Wi-Fi erişimi vermek için, onları ana ağdan uzak tutmak için ayrı bir şifre ve farklı güvenlik ayarları kullanan bir "misafir" hesabı oluşturmak en iyisidir.

Ödeme sistemlerinizi koruyun

Ticari ödeme işlemcilerinizi korumak için, sistem yazılımının güncellendiğinden emin olmak için bankacılık kurumunuzla bağlantı kurun. Karmaşık ödeme sistemlerinin güvenliğinin daha zor olduğunu lütfen unutmayın. Ancak, Ödeme Kartı Sektörü Güvenlik Standartları Konseyi, kullanılacak sistemi ve nasıl korunacağını belirlemenize yardımcı olacak yönergeler sağlar.

Şunlar da hoşunuza gidebilir: Berbat Olmayan Bir Siber Güvenlik Politikası Yazmak İçin 17 Harika İpucu.

Bir siber suç olayı nasıl bildirilir?

Ne yazık ki, küçük işletmelere yönelik siber saldırılar sık ​​görülen bir durumdur. Bu nedenle, siber saldırı mağdurlarının siber suç vakalarını ele alırken izlenecek doğru adımları bilmesi gerekir.

Birleşik Krallık'ta tüm siber suç vakaları Action Fraud'a (dış bağlantı) bildirilir. Eylem Dolandırıcılığı daha sonra davayı Ulusal Dolandırıcılık İstihbarat Bürosuna iletir ve bir polis suç referans numarası verir.

İşletmenizin mali durumunun riske atılması durumunda, banka hesabınıza yapılacak herhangi bir girişimi engellemek ve dolandırıcılık soruşturmasına başlamak için mümkün olan en kısa sürede bankanızla iletişime geçtiğinizden emin olun. Ayrıca işletmenizde siber sigorta varsa hemen sigortacınızı arayın ve gerekli yardımı alın.

İş bilgilerinin çalındığı veya güvenliğinin ihlal edildiği vakaların GDPR'yi ihlal etmesi muhtemeldir. Bu nedenle, olası cezaları azaltmak için bu tür olayların 72 saat geçmeden ICO'ya bildirilmesi gerekir.

Hem büyük hem de küçük işletmelerin sağlam siber güvenlik planlarından yararlanacakları çok şey var. Bilgi güvenliği süreçlerini uyguladığınızdan emin olmak ve güvenilir virüsten koruma ve casus yazılım önleme yazılımları yüklemek, işinize yönelik siber suç saldırılarını önlemenin en iyi yoludur.

Ayrıca, küçük işletmenizin sigorta poliçesine siber sigortayı dahil etmenize yardımcı olacaktır. Bir siber saldırı durumunda, sigorta kapsamı veri kurtarma, sistem onarımı, itibar yönetimi ve yasal savunma maliyetlerinin azaltılmasına yardımcı olacaktır.