Bu makaleyi nerede okursanız okuyun, büyük ihtimalle geleneksel bir ofis masasında değilsiniz.
Bunun yerine evden veya bir kafeden veya başka bir yerden çalışırken veya toplantılar arasında beklerken telefonunuzdan okuyor olabilirsiniz . Bunu şirketinizin ofisinden okuyor olabilirsiniz , ancak durum bu olsa bile, haftanın her günü ofiste olmanız pek olası değil.
Bunun nedeni, pandemi döneminde hibrit çalışmanın yükselişe geçmiş olması, çoğumuzun işini nasıl ve nerede yaptığımızı temelden değiştirmiş olmasıdır.
Hibrit Bir Dünyada Verilerin Güvenliğini Sağlama
Veri güvenliği, pandemiden önce artan bir endişe kaynağıydı, artık çok daha fazla çalışanın zamanını ofis ve uzaktan çalışma arasında bölüştürmesiyle sorun daha da arttı. Zorluğun üstesinden gelmek için yenilikçi güvenlik çözümlerine ve yaklaşımlarına her zamankinden daha fazla ihtiyaç var.
Uzaktan çalışmaya yönelik bu geçiş , artık günün saatlerini trafikte veya kalabalık toplu taşıma sistemlerinde geçirmek zorunda kalmayan çalışanlara fayda sağladı . İnsanlar kazanılan zamanı ofise gidip gelmeyerek diğer günlük işlerle ilgilenerek, dinlenmek için daha fazla zaman sağlayarak ve akşamları sevdikleriyle vakit geçirerek harcayabileceklerdi, ancak gerçek şu ki çoğu durumda insanlar daha uzun süre çalışır oldular.
Uzaktan ve hibrit çalışmanın faydaları çalışanlar tarafından fazlasıyla kabul gördü. Bir araştırmaya göre uzaktan çalışan kişilerin %68’i daha sık evden çalışmak istediklerini söylüyor. Bununla birlikte, hibrit çalışmanın yükselişi faydalar sağlarken aynı zamanda sorunlar da yarattı ve bunlardan biri, çalışanları ve ağları siber saldırılardan korumanın her zamankinden daha zor olması.
Çalışan güvenliğini uzaktan yönetmek karmaşıktır, nedeni bir zamanlar çalışanların fiziksel bir ofis alanındaki kurumsal bir bilgisayardan ve ofis ağında çalışırken, artık çalışanların hemen hemen her cihazda herhangi bir yerden çalışabilmesidir, bu nedenle kurumsal sistemleri ve verileri korumak çok daha karmaşık bir hal alır.
Pandemi sırasında çalışma uygulamalarının ani bir şekilde dönüştürülmesi ihtiyacı, anlaşılır bir şekilde, siber güvenliğin arka planda kaldığı ve bazı durumlarda hala yetişemediği anlamına geliyor. Çalışanlar evden çalışmak için kişisel dizüstü bilgisayarlarını veya şirket tarafından verilen bir cihazı kullanıyor olsalar bile, onu yine de ev ağlarından kullanıyor olabilirler ve bu, kuruluşlar için potansiyel bir siber güvenlik riskidir.
Bunun nedeni, etkili bir siber güvenlik stratejisi olmadıkça, özellikle kullanılan kişisel bir cihazsa, cihazların siber güvenlik açıklarını gidermek için en son güvenlik yamalarıyla tamamen güncellendiğinden emin olmanın zor olmasıdır. Bir cihazın güncellenip güncellenmediğini, hatta nelerin yüklendiğini bilmenin temelleri bile zorlayıcı olabilir.
Yeni Riskler Artıyor
Çalışanlar işleri halletmek, işlerini yapmak ve üretken olmak isterler. Ancak, eğer mevcutsa, yazılım için resmi kurumsal kanallardan geçmek uzun ve zahmetli bir süreç olabilir. Bu, ister çalışırken bir şeyler dinlemek için bir müzik hizmeti, ister dosyaları depolamaya ve aktarmaya yardımcı olan bir bulut depolama uygulaması olsun, çalışanların cihazlarına yazılım indirmesiyle sonuçlanabilir.
Ancak bu indirme işlemi düzgün yönetilmezse sorunlara yol açabilir çünkü siber suçlular, kullanıcıları kandırarak popüler uygulamaların kırık veya sahte sürümlerini indirmelerini sağlayabilir ve içine kötü amaçlı yazılımlar yerleştirebilir . Bu indirilir ve kurumsal bir cihazda çalıştırılırsa bu, ağ genelinde bir soruna neden olabilir.
Yasa dışı yazılımları indirenler çalışanların kendileri bile olmayabilir; birçok çocuğun okul ödevlerine yardımcı olması, video izlemesi veya oyun oynaması için ebeveynlerinin veya velilerinin dizüstü bilgisayarlarına erişimi vardır.
Bir cihaz güvenli bir parola ile izlenmez veya kilitlenmezse, çocuklar yanlışlıkla kötü amaçlı yazılımları makineye indirerek bir saldırganın şirket dosyalarına, bulut uygulamaları için kullanıcı adlarına ve parolalara ve daha fazlasına erişmesini sağlayabilir.
Ve tabii ki bir de kimlik avı e-postaları var. Siber saldırganlar, daha fazla çalışanın uzaktan çalıştığını bilirler ve günlük iletişimin büyük bölümünde e-postalara bağımlıdırlar; bu nedenle, BT ekibinden, insan kaynaklarından, finanstan veya diğer ofis departmanlarından gelen ve bir sorun olduğunu düşündüren yanıltıcı e-postalar kullanırlar. Bu kimlik avı talimatına uyulursa, saldırganlar ağa uzaktan girmek için gereken kullanıcı adı ve parolaya erişim sağlar.
Bir cihaz, BT ekibinin politikaları tarafından iyi bir şekilde korunuyor olsa bile, evden çalışmayla ilişkili ek siber riskler vardır.
Güvenli Olmayan Kişisel Donanım Sorunu
İşletmeler, ağı yönetmek için firewall, utm veya benzeri profesyonel cihazlara sahip olabilirler, ancak evden çalışan kişiler için bu pek olası değildir. İnternet servis sağlayıcıları tarafından kendilerine verilen modemleri kullanıyor olmaları muhtemeldir.
Bir siber güvenlik şirketi olan Bitdefender’ın tehdit araştırma ve raporlama yöneticisi Bogdan Botezatu, “Modemler, internetin ilk varlık noktasıdır ve hepimizin evinde bulunan ve doğrudan internete bağlı olan bir cihazdır” diyor.
Tehlike, bu cihazların genellikle eski olması ve nadiren güncellenmesidir – potansiyel bir güvenlik açığı kaynağı. Kötü niyetli bilgisayar korsanlarının, özellikle sizin veya şirketinizin peşine düşmek için ana yönlendiricinizi hedeflemesi pek olası değildir, ancak mümkün olduğu kadar çok yönlendiriciden ödün vererek ve hangi trafiği gönderip aldıklarını izleyerek, en değerli hedefleri bulabilir ve erişimlerini kullanabilirler.
Yönlendiricilere ve diğer Nesnelerin İnterneti cihazlarına yönelik bu saldırılar 2020’den önce duyulmamış değildi, ancak 2020’den bu yana daha fazla insan evden çalıştığı ve saldırganlar daha kolay hedeflerin peşinden gitmeye başaldığı için riskler daha da arttı.
Botezatu, yönlendiricilerdeki zayıflıklardan yararlanan saldırganların sizi kurumsal e-postanız gibi bir sitenin sahte sürümüne yönlendirebileceği bir senaryonun ana hatlarını çiziyor. “Yönlendiricinizi hackledikten sonra her türlü güce sahipler” diye uyarıyor.
Tüm bunlar, kurumsal bilgi güvenliği ekipleri için bir muamma oluştuyor. Bir yandan, çalışanların iş için kullandıkları cihazların güvenli ve uygun şekilde desteklenmesini sağlamakla görevliler. Ancak öte yandan, kurumsal cihazlara güncellemeler ve yamalar yayınlayabilirken, kullanıcının kişisel ev cihazları üzerinde herhangi bir yetkisi yoktur ve muhtemelen olmamalıdır – bu, aşırı erişim ve mahremiyet ihlali olarak görülebilir .
Daha İyi Uzaktan Çalışma Güvenliği Eğitimi
Bununla birlikte, doğru bilgi ve rehberlikle çalışanlar, uzaktan çalışmanın getirdiği potansiyel siber güvenlik riskleri ve kendi kişisel çevrimiçi güvenliklerine yardımcı olacak şekilde nasıl geliştirebilecekleri konusunda bilgilendirilebilirler.
Trend Micro’dan Mistry, “Evden çalışmaya ilk başladığımda, çalışma alanınızın risk değerlendirmesi İK departmanınız tarafından yapılıyordu. Bu risk değerlendirmesini siber bir bakış açısıyla yapmıyoruz” diyor.
“Çalışanları bilinçlendirme programları var ama bunlar yine de kurumsal ortamda yapılıyor. Bunu ev ortamına oturtup ev ortamının tehlikelerini göstermemiz gerekiyor. O zaman insanlar çok çabuk öğrenecekler” diye ekliyor.
İnsanları ev ekipmanlarının en son siber güvenlik yamaları ve güncellemeleriyle güncel olmasını sağlamaya teşvik etmek bulmacanın sadece bir parçası. Tüm kurumsal cihazların sağlam anti-virüs yazılımı ve siber güvenlik uygulamaları ile donatılmasını sağlamak gibi, uzaktan çalışanların güvenliğini sağlamaya yardımcı olabilecek başka yararlı araçlar da vardır.
Parolalar, birçok siber saldırıların ana hedefi olmaya devam ediyor ve bazen bilgisayar korsanlarının kimlik avı e-postaları göndermesine bile gerek kalmıyor. Uzak bağlantı uygulamaları için basit parolaları tahmin etmek için bir brutal force saldırısı kullanabiliyor kişisel veya profesyonel hesabınızın daha önceki veri ihlallerinde sızdırılmış olan parolalarını tekrar ve farklı kombinasyonlarını kullanmayı deneyebiliyorlar.
Uzaktan çalışanların daha iyi güvenlik araçlarına ihtiyacı var. Bu nedenle, insanlara işle ilgili herhangi bir hesap için benzersiz, karmaşık şifreler kullanmaları mutlaka söylenmelidir. Kuruluşlar, tüm çalışanlarına kurumsal hesapları için bir parola yöneticisi sağlayarak bunu teşvik etmeye yardımcı olmalı, yani parolalarını kendilerinin bile hatırlamalarına gerek olmadığı gösterilmelidir.
Kuruluşlar ayrıca tüm çalışanlarına iki faktörlü kimlik doğrulama (2FA) olarak da bilinen çok faktörlü kimlik doğrulama (MFA) sağlamalıdır ; böylece bir saldırgan meşru bir parolayı ele geçirse bile yardımcı olacak ek bir koruma katmanı ile karşılaşır ve hesaba erişmelerini engeller. Bu katı bir savunmadır – Microsoft, MFA’nın hesap korsanlığı girişimlerinin %99,9’unu engellediğini doğruluyor.
Sonuç olarak, hibrit iş gücünün güvenliğini sağlamak, yalnızca doğru kişinin erişmesi gereken hesaplara ve hizmetlere erişebilmesini sağlamakla ilgilidir. Bu, doğru kontrollerden ve erişim araçlarından, en iyi siber güvenlik uygulamalarından yararlanarak ve insanlara dışarıdaki potansiyel tehditleri ve bunları nasıl tespit edip rapor edeceklerini öğreterek yapılabilir.
