BUSINESS LIFE Ayl�k �� Hayat� & Ekonomi Dergisi

S�BER GÜVENL�K C�DD�YE ALINIYOR MU?

"2019 K�resel Siber Risk Alg�lama Anketi"ne kat�lanlar�n y�zde 79'u, siber g�venli�in en �nemli �ncelikleri oldu�unu ifade ediyor. Ancak bu sorunu, en iyi nas�l ele alacaklar�ndan pek emin de�iller. T�m d�nyadan 1.500 liderin g�r��lerini bir araya getiren �al��ma, �irketlerin neredeyse d�rtte birinin, siber sald�r�lara kar��l�k verme ve bunlar� atlatma konusunda kendisine pek de g�venmedi�ini g�steriyor. Oysaki, �nlem ya da sonu�lar� hafifletmek i�in at�labilecek ad�mlar var.

Birçok �irket, siber güvenli�in en önemli ilk 5 öncelikleri aras�nda oldu�unu duyuruyor; ama görünen o ki, söylenenler ile yap�lanlar pek örtü�müyor. Siber güvenlik risklerini “2019 Küresel Siber Risk Alg�lama Anketi”ne kat�lan �irketlerin %74'ü yeni teknolojileri daha benimsemeden masaya yat�r�yor. %54'ü ise tam tersini yap�yor. Sadece %36's�, zarara u�rama tehlikesini öncesinde ve sonras�nda de�erlendiriyor. %5'i bunu tüm a�amalarda önemserken, %11'i hiçbir �ekilde umursam�yor.
Muhtemel risklerin cayd�r�c�l�� a��rt�c� de�il; çünkü faydalardan daha a��r basabiliyor. Vakalar�n %23'ünde olan �ey de bu. Bir de �irketler ile üçüncü parti sa�lay�c�lar aras�ndaki güven sorunu var. Yaln�z %32’lik kesim, ürünlerinin güvenli�i için gerekli ad�mlar� atacaklar� konusunda sat�c�lara güveniyor. %40'l�k bölüm “Güven; ama Do�rula” yakla��m�nda.

Siber güvenli�e, giderek daha fazla say�da �irket taraf�ndan üst düzey bir sorun olarak yakla��lmaya ba�land�; ancak alg�lanma �ekli ve uygulama biçiminde uyumsuzluklar dikkat çekiyor. Rakamlar, büyük bir bölümün, siber güvenli�i nas�l ele alacaklar�ndan emin olmad��n� ortaya koyuyor. Birço�unun bu durumu hafife ald��n� bile söyleyebilmek mümkün.

* “2019 Küresel Siber Risk Alg�lama Anketi” siber güvenlik kurulu�u ESET, Microsoft ve Marsh taraf�ndan haz�rland�.

YANLI� B�L�NEN 11 S�BER GÜVENL�K EFSANES�
Siber güvenli�i tehdit edenler her ne kadar hackerler olsa da do�ru san�lan birçok efsane, onlar�n ekme�ine ya� sürüyor. Söylentilere inanmak ilk bak��ta zarars�z gibi görülüyor. Ancak ki�i ya da �irketlerin sahip oldu�u bu çok yanl�� bilgiler; yerini, çal�nan bir kredi kart�na veya önemli firma verilerinin sald�rganlar�n eline geçmesine b�rak�yor. s�k kar��la��lan 11 siber güvenlik efsanesi ve onlarla ba�a ç�kmak için gerekli çözümler �öyle s�ralan�yor...

1- Bu, benim ba��ma gelmez! Kullan�c�lar ve �irketler ço�u zaman rakamlara aldanarak kendilerini güvende hissederler. Virüslerin, kötü amaçl� yaz�l�mlar�n ve di�er tehditlerin karma��kl��n�n ve say�s�n�n giderek artt�� unutulmamal�.
2- Güçlü bir �ifrem var, güvendeyim. Düzenli olarak �ifreleri de�i�tirmenin yan� s�ra iki faktörlü kimlik do�rulama gibi seçenekler güvenli�i art�rmak için önerilen yollar.
3- Güvenli olmayan yerlerde hiçbir zaman online gezinmedi�im için virüs kapm�yorum. Güvenli bilinen web siteleri bile kötü amaçl� yaz�l�mdan etkilenen üçüncü taraf reklamlar� göstererek ma�duriyet yaratabiliyor.
4- Güvenlik maliyeti çok fazla. De�erli verileri kaybetmek, virüsten koruma yaz�l�m� veya özel bir kurumsal güvenlik çözümü kullanmaktan çok daha maliyetli olabilir.
5- Verilerim o kadar önemli de�il, benim sald�r�ya u�ramam�n bir önemi yok. Özellikle bankac�l�k gibi hizmetlerin ço�unda ayn� kimlik bilgileri için ayn� bilgiler kullan�ld�� dü�ünülürse, bir e-postan�n kullan�c� ad� ve �ifresi, zararl� �ekillerde kullan�labilir.
6- Bir antivirüs korumam var, ba�ka bir �eye ihtiyac�m yok. Günümüzde sald�r� tekniklerinin karma��kl�� ve çoklu�u, yaln�zca tek bir yaz�l�ma dayanmayan proaktif bir yakla��m gerektiriyor.
7- Bilgisayar�ma veya telefonuma virüs bula�sa bilirdim. Ço�u durumda bir bilgisayar veya cihaz sald�r�ya u�rad��nda görsel olarak hiçbir �ey olmaz. Sadece fidye yaz�l�m� gibi gerçekten y�k�c� sald�r�lar hemen görülebilir.
8- A� ve bilgisayarlar yeterince güvenli. Güvenlik sorunlar�, a� içerisinde güncellemesi olmayan IoT (Nesnelerin �nterneti) cihazlar� gibi ola�and�� yerlerden de kaynaklanabilir.
9- Kimlik av� tehlikeli de�ildir ve 1 km öteden anlayabilirim. Kullan�c�lar her zaman açt�klar� ba�lant�lara kar�� dikkatli olmal�.
10- Bilgisayar�m bile yok, sald�r�ya u�ramam. Hackerler, telefonlar�n, yönlendiricilerin ve hatta ak�ll� TV'lerin pe�inden gidebilirler.
11- Çocu�um sadece video izliyor, bunun bir zarar� yok. Birçok oyun, uygulama ve sosyal mecray� kullanabilen çocuklar, her türlü hedefe aç�k. Dehditlere kar�� ebeveynleri taraf�ndan bilinçlendirilmesi gerekiyor.

S�BER SALDIRILARIN %99’U �NSAN HATALARINA ODAKLANIYOR
Siber suçlular, kötü amaçl� yaz�l�m yüklemek, veri çalmak veya doland�r�c�l�k i�lemlerini ba�latmak için ço�unlukla sistemler yerine insanlar� hedef al�yor. Sald�r�lar�n yakla��k %99’unda insan hatalar�na yo�unla�an hackerler, e-posta, bulut uygulamalar� ve sosyal medya hedeflerine s�zmak için sosyal mühendisli�i kullan�yor. �irket çal��anlar�na, kötü niyetli ba�lant�y� t�klamalar� için cezbedici bir oltalama e-postas� gönderiliyor. Kullan�c�lar ise çevrimiçi faaliyetlerinde daha bilinçli davranmas� gerekiyor.
* “Proofpoint’in 2019 �nsan Faktörü” raporu

KOB�’LER�N S�BER GÜVENL�� Ç�N 7 ÖNEML� �PUCU
Ara�t�rmalar gösteriyor ki, Küçük ve Orta Büyüklükteki ��letmeler (KOB�), siber güvenlik konusunda yeterli önlemlere ve çözümlere sahip de�il. Büyük i�letmelerin geçmi� y�llara oranla geli�me gösterdikleri bu husus, KOB�’ler için hâlâ muamma. KOB�’lerin %80’i (Bilgi Teknolojileri) IT güvenli�ini birinci öncelik olarak kabul ediyor. %52'si bünyesinde uzmaN olmad��, Untangle taraf�ndan yay�mlanan ve 300'den fazla KOB�’nin yer ald�� rapora yans�d�. KOB�’lerin %29'u bu alana y�ll�k 1.000 dolardan daha az harcama yap�yor. KOB�’lerin uygulamas� gereken 7 önemli ipucu �öyle s�ralan�yor...

- �irketin en hassas verilerini tan�mlay�n. �irkete dair veri ve fiziksel varl�klar�n�n ayr�nt�l� bir envanter listesini olu�turmas� gereken KOB�’ler, bunlar� düzenli olarak güncellemeli.
- S�k güncelleme yaparak �irket verilerini koruyun. Güvenlik ihlallerinin büyük ço�unlu�u, güvenlik yaz�l�m�, web taray�c�lar�, verimlilik uygulamalar� ve i�letim sistemleri dahil olmak üzere güncel olmayan yaz�l�mlardan kaynaklan�yor.
- Siber güvenlik kültürü yarat�n. KOB�'lerin, çal��anlar�n� siber güvenlik konusunda daha fazla bilgilendirmesi ve bir �eylerin yanl�� oldu�unu dü�ünmeleri durumunda bir sorunu bildirmelerini yans�tmay� kültür olarak ya�atmas� gerekiyor.
- Olay müdahale plan� haz�rlay�n. Tehditle kar��la�ma an�nda ve sonras�nda neler yap�laca��, hangi prosedürlere dikkat edilece�i belirtilmeli.
- Yönetilen bir güvenlik servis sa�lay�c�s�ndan destek al�n. KOB�’lerin tercihlerini yaparken hizmet sa�lay�c�n�n özelliklerine, sundu�u hizmete ve çözüm araçlar�na dikkat etmesi gerekti�i unutulmamal�.
- Standartlara ve sertifikaland�rma uygunlu�una odaklan�n. KOB�'ler, kredi kart� kullan�m� planlan�yorsa, PCI DSS (Kartl� Ödeme Endüstrisi Veri Güvenlik Standard�) sertifikal� olmalar� laz�m. Ayr�ca, Türkiye’de KVKK, Avrupa için de GDPR gerekliliklerine uyumluluklar�n� test etmeleri gerekiyor.
- Güçlü �ifreler olu�turun. Çal��anlar, uzun, tahmin edilmesi zorlu, yarat�c�, genel kelimelerin yer almad�� parolalar olu�turmal�. Çok faktörlü kimlik do�rulaman�n da kullan�lmas�, savunmay� art�r�r.

TÜKENM��L�K SENDROMU S�BER GÜVENL�� DE TEHD�T ED�YOR
Fiziksel veya duygusal gücü, stresli ve uzun mesai �artlar�nda kaybetmeye dayanan tükenmi�lik sendromu, sadece çal��anlar�n refah�na ve verimlili�ine zarar vererek i� performans�n� a�a��ya çeken bir unsur olarak kalm�yor. Veri güvenli�i söz konusu oldu�unda içeriden gelebilecek bir tehdit riskini de art�rabiliyor. IT (Bilgi Teknolojileri) liderlerinin %44’ü bu görü�te.

Geçmi�te �irketler, ayr�cal�kl� a� eri�imine sahip olan sistem yöneticilerini ve di�er çal��anlar� en büyük içeriden gelen tehditler olarak alg�lan�yordu. Günümüzde; baz� hassas verilere eri�ebilen çal��anlar, istemeden veya kötü amaçl� olarak bir veri ihlaline veya i� kesintisine neden olabiliyor. Tükenmi�lik sendromunun yol açt�� yorgunluk, ilgisizlik ve odaklanma problemleri, siber güvenli�e olumsuz yans�yor. Bu ki�ilerin neden oldu�u aç�klar, firmay� sald�rganlar�n hedefi haline getiriyor.
“2019 Verizon Veri �hlali Ara�t�rma” raporuna göre; tüm ihlallerin %30'u çal��an hatalar�ndan kaynaklan�yor. Dolay�s�yla “tükenmi� çal��anlar”a yönelik daha dikkatli olunmas�nda fayda var.

EVDEK� AÇIK KAPI: AKILLI TELEV�ZYONLAR
Ak�ll� televizyonlar, yüksek çözünürlüklü ekranlar�, kameralar�, mikrofonlar� ve yenilikçi arayüzleriyle birçok evde çoktan yerini ald�. 2018 verilerine göre; dünya çap�nda 114 milyondan fazla ak�ll� TV sat�ld�. Tüketiciler ayr�ca HDMI giri�li TV setlerini, harici medya cihazlar�na ba�layarak “ak�ll�” olanlara çevirme seçene�ini de kullan�yor. Ancak ak�ll� TV’ler, k�sa yoldan ve kolayca para kazanmak siber sald�rganlar için ilgi çekici ve kolay bir hedef.

Android TV, ak�ll� televizyonlar için en popüler i�letim sistemi. Kurbanlar�n cihazlar�na eri�ebilmek için ücret talep eden fidye yaz�l�mlar�, Android telefon veya tabletlerle ayn� temel mimariyi payla�an Android TV'lere de zarar verebiliyor. Aç�k kaynak kodlu olmas� ve büyük popülaritesi, Google Play uygulamalar� için kusurlu inceleme süreciyle birlikte platformu ve kullan�c�lar�n� çekici bir hedef haline getiriyor. Android tabanl� ak�ll� TV'ler de dahil olmak üzere binlerce Android cihaz�n�n i�lemci gücü, kripto para madencili�i için kullan�l�yor.
Cihazlar�n sald�r�ya olanak tan�yacak �ekilde yanl�� yap�land�rmas�na yol açacak hatalar: Ba�lant� noktalar�n� aç�k tutmak, güvensiz protokoller kullanmak, hata ay�klama mekanizmalar�n� etkinle�tirmek, zay�f veya varsay�lan parolalara güvenmek (daha beteri parola koymamak) ve hiç gerekli olmayan hizmetleri kullanmak.
Ak�ll� TV’ler ba�ta olmak üzere IoT (Nesnelerin �nterneti) cihazlar�n�z� güvende tutmak öneriler :
1- Router/Modem kimlik bilgilerinizi koruyun: Router güvenli�ini sa�lamak için, henüz yapmad�ysan�z yönetici kullan�c� ad�n�, üreticinin verdi�i parolayla birlikte de�i�tirin.
2- A�lar�n�z� ve cihazlar�n�z� listeleyin: Özel izinlere sahip ayr� a�lar olu�turun.
3- Ak�ll� TV'nizi yap�land�r�n: Ak�ll� TV'nizde bir kamera da varsa, bunun da gizlili�inizi tehlikeye atabilece�ini unutmay�n.
4- En son güncellemeleri yükleyin: Tüm bilgisayar sistemlerinde oldu�u gibi, Ak�ll� TV ürün yaz�l�m� düzenli olarak güncellenmeli.
5- Komple bir güvenlik çözümü kullan�n: Güvenilir bir sa�lay�c�dan gelen eksiksiz bir güvenlik çözümü kullanmanl�s�n�z.
6- Uygulamalar� dikkatli indirin: Uygulamalar� her zaman do�rudan Google Play ma�azas�ndan veya App Store'dan indirin. Bir uygulamay� indirmeden önce her zaman yaz�l�m geli�tiricinin ad�n�, kurulum say�s�n� ve di�er kullan�c�lar�n de�erlendirmelerini kontrol edin.
7- Medya yay�n�n� dikkatli kullan�n: Web taraman�z�n da siber suçlular için hedef oldu�unu unutmay�n. Kulland��n�z ak�� sitelerini dikkatli seçin. Çevrimiçi yay�n seyretmek istiyorsan�z güvenilir ve yasal web sitelerini aray�n ve kullan�n.
* ESET uzmanlar�n�n yapt�� ara�t�rmalar

13 C�HAZDA 125 GÜVENL�K AÇI�I
Güvenlik ara�t�rmac�lar�, toplam 13 küçük ofis / ev ofis (SOHO) modemini ve a� ba�lant�l� depolama (NAS) cihaz�n� inceledi. Uzaktan yap�lacak sald�r�lar kar��s�nda savunmas�z kal�nabilecek toplam 125 güvenlik aç�� ortaya ç�kt�. Independent Security Evaluators (ISE) adl� ABD merkezli bir �irketin uzmanlar�, öncelikle tan�nm�� ve itibarl� markalara odakland� ki, bu da sorunun milyorca ki�i ve kurumu etkileyebilece�i anlam�na geliyor. “Tüm cihazlar o tarihteki en son donan�m yaz�l�m�na güncellendi ve kutudan ç�kar ç�kmaz kullan�lan yap�land�rmalar�nda test edildi” denildi.

13 cihaz�n her birinde, yönetici paneline eri�im elde etmek için yararlan�labilen siteler aras� komut çal��t�rma, i�letim sistemi komut enjeksiyonu, SQL enjeksiyonu gibi en az bir web uygulamas� zay�fl�� bulundu. Cihaz bir kez ele geçirildi�inde, bir ev a�� ya da kurumsal a� içinde ba�ka sald�r�lar için atlama ta�� olarak kullan�labilir.
Di�er yayg�n aç�klar aras�nda, kimlik do�rulama ve yetkilendirme atlatmalar� yer al�yor. 12 cihazda, ara�t�rmac�lar uzaktan kök düzeyinde eri�im elde etme hedeflerine ula�t�. 6 cihaz, kimlik do�rulamas� yap�lmadan uzaktan ele geçirilebildi. Baz� markalar�n ISE raporlara yan�t vermemeleri de endi�e verici bulundu.

�ZLERKEN �ZLEN�YOR MUYUZ?
ABD’de, PrInceton ve ChIcago Üniversiteleri’nden ara�t�rmac�lar, internet yay�nlar�n� izlemek için kullan�lan kimi cihazlar�n, seyir zevklerini izledikleri ortaya ç�kard�. Toplamda en büyük küresel pazar pay�na sahip Roku ve Amazon FIre TV’ye odaklan�ld�. Takip oran� Roku kanallar�nda %69 ve Amazon FIre TV'deki kanallarda %89. Roku'da, Google'�n sahibi oldu�u doubleclIck.net’ine 1.000 kanaldan 975'inde görüldü. Amazon FIre TV'de ise, Amazon’un amazon-adsystem.com’uNA 1.000 kanaldan 687'sinde rastlan�ld�.

Cihazlar en çok, iki benzersiz kimlik olan AD ID ve seri numaras�n� iletiyor. Di�er benzersiz tan�mlay�c�lar ise cihaz kimlikleri, MAC adresleri, Wi-Fi SSID'leri ve dört örnekte, hesab� olu�turmak için kullan�lan e-posta adresleri. Gizlili�i korumaya yönelik kar�� önlemlerin yetersiz oldu�u sonucuna ula�an ara�t�rmac�lar, OTT (Over-The-Top) yani internet tabanl� ak�� cihazlar� veya medya oynat�c�lar� platformlar�n�n, gizli gezinme modu da dahil olmak üzere, modern taray�c�larca sunulan daha iyi gizlilik özelliklerini sa�lamalar�n� önerdi.
OTT (Over-The-Top), ba�ta çevrimiçi ak�� kitapl�klar� olmak üzere, televizyonlara ak�ll� özellikler ekleyebiliyor. Her iki hizmet de Türkiye’de resmi olarak sunulmuyor; ancak ABD ve Avrupa’da yayg�n.

S�BER SUÇLULAR, ��MD� DE POPÜLER TV D�Z�LER�N� KULLANIYOR
TV dizileri hemen herkesin ilgisini çeken, en popüler e�lence unsurlar�ndan biri. Torrent (internet üzerinden dosya payla�maya yarayan teknoloji), çevrim içi yay�n ve di�er dijital da��t�m kanallar�n�n yükseli�iyle, telif hakk� ihlalleri de s�kça ya�an�r hale geldi. Yasal kaynaklardakilerin aksine, torrent sitelerinde ve ba�ka bilgisayarlarda bulunan dosyalar, TV dizisi gibi görünmelerine ra�men asl�nda birer zararl� yaz�l�m olabilir.

Siber suçlular�n en çok ilgi gösterdi�i dizilerin ba��nda Game Of Thrones (Taht Oyunlar�), The Walking Dead ve Arrow geliyor. 2018’de zararl� yaz�l�m içeren içeriklerin %17’si (20.934 sald�r�) Taht Oyunlar�’n�n ad�n� ta��rken, The Walking Dead ile 18.794 ve Arrow ile 12.163 sald�r� düzenlendi. �ncelenen tüm vakalarda, her sezonun ilk ve son bölümünün kullan�ld�� görüldü.
TV program� gibi görünen zararl� yaz�l�mlar�n kurban� olmamak için �unlara dikkat edilmesi gerekiyor:
1- TV içerikleri üretip da��tmas�yla bilinen yasal servisleri kullan�n.
2- TV dizilerini güvenilir ve yasal oldu�unu dü�ündü�ünüz kaynaklardan indirseniz bile dosyan�n uzant�s�n�n .avi, .mkv, .mp4 veya benzeri oldu�una, kesinlikle .exe olmamas�na dikkat edin.
3- TV dizilerini izlemeye izin veren; fakat yasal oldu�una emin olmad��n�z ve ‘https’ ile ba�lamayan web sitelerini ziyaret etmeyin. Dosya indirmeye ba�lamadan önce web sitesinin gerçek olup olmad��n�, URL’nin biçimine veya �irket ad�n�n yaz�l��na bakarak kontrol edin.
4- Yeni bölümü erken izleme �ans� verece�ini söyleyen �üpheli ba�lant�lara t�klamay�n. Dizilerin takvimini kontrol edin.

* Kaspersky Lab’�n “Tehdit Oyunlar�: Siber suçlular zararl� yaz�l�mlar� yaymak için popüler TV dizilerini nas�l kullan�yor?” ba�l�kl� yeni raporu...