Veri Güvenliği Nedir?

Kuruluşunuzun en önemli değerlerinden biri olan verilerinizin tamamını bir anda kaybetmenize neden olabilecek yüzlerce farklı siber saldırı yöntemi var. Bu nedenle siber güvenlik dendiğinde veri güvenliğinin önemi en başta geliyor.

Düşünün; bir sabah işe geliyorsunuz ve bilgisayarlarınızda veya şirket genelinde verilerin hiçbirine ulaşamaz durumdasınız. İş akışınızın durması, üretimin yapamamanız, müşteri bilgilerinizi kaybetmeniz, çalışanlarınızın verilerinin çalınmış veya kaybolmuş olması, finansal bilgilerinizin açığa çıkmış olması gibi sayılabilecek pek çok felaket ile bir anda karşılaşmak aslında an meselesi.

Kuruluşların kendisini koruyabilmesi için yapması gereken çok iş var ancak kolay uygulanabilir ve etkili olabilecek yöntemlerin bir kaçını sıralamaya çalışacağız.

Veri güvenliği nedir ve nasıl sağlanır sorusunun birden fazla yanıtı var: Güvenlik mimarisinin doğru kurgulanması, VPN kullanılması, veri yedeklemelerinin alınması, bilgisayarların güncellemelerinin yapılması ve kuruluş çalışanlarının farkındalığının artırılması öncelik verilmesi veri güvenliği için gerekenler.

Güvenlik Mimarisinin Doğru Kurgulanması

Fidye yazılımı saldırıları büyük/küçük kuruluş ayrımı yapmadan veba salgını gibi yayılıyor.

Bu saldırılara karşı etkin bir güvenlik mimarisi kurgulamak verilerimizin güvenliğini sağlamak için yapılması gerekenlerin başında geliyor.

Zararlı yazılımların bilgisayarlarınıza bulaşmasını engellemek çoğu zaman
bunların bulaşmasının ardından temizlemeye çalışmaktan çok daha kolaydır.

Eğer bir fidye yazılımı saldırısına maruz kalındıysa ve öncesinde verilerin yedekleri alınmadıysa, çoğunlukla yapılabilecek bir şey kalmıyor. Bugüne kadar destek verdiğimiz yüzlerce olayın çok azında elimizdeki araçları kullanarak verileri kurtarabildik. Kalanında ise, ne yazık ki şifrelenen verileri kurtarmak mümkün olmadı.

Burada 2 Ocak 2019 tarihli “Şifrelenen Verilerimizi Kurtarmak için İstenen Fidyeyi Ödeyelim Mi?” yazımızı hatırlayabiliriz. 1200 kişilik bir IT yönetici grubuyl yapılan anket sonuçlarına göre;
– %55’i bir fidye yazılım enfeksiyonu yaşamış,
– %61.3’ü fidye ödemesi yapmayı kabul etmemiş (Kesinlikle ödeme yapılmamasını tavsiye ediyoruz. Ödeme yapmak dışında bir seçeneğin kalmadığını düşünüyorsanız da, öncesinde mutlaka bir uzmana danışın)
– %86’sı verilerini yedekleri için verilerini kurtarabilmiş,
– %8’lik bir kısım verilerinin bir kısmını veya tamamını kaybetmiş
Ancak daha dikkat çekici bazı rakamlar da var:
– Fidye ödemesi yapmayı kabul eden %38.7’lik kısmın yarısından azı (%19.1) verilerini kurtarabilmiş, geri kalan %19.6 ise ödeme yapmasına rağmen verilerini kaybetmiş. (Saldırganlar ödemeyi almış ancak şifreyi vermemiş veya şifreyi vermiş ancak veriler kullanılamaz duruma gelmiş. Müdahale ettiğimiz pek çok olayda verilerin şifreleme işlemi sırasında bozulduğunu ve bunun sonucunda kurtarılamadığını biz de gördük.)

Anketin sonucuna göre, fidye yazılımı saldırısı kurbanlarının %27.6’sı fidye ödemesi yaptıkları halde veya ödeme yapmadan verilerini tamamen kaybetmiş.

İşte bu nedenle, veri güvenliğinin herhangi bir olay yaşanmadan önce düşünülmesi çok önemli.

Kuruluşların güvenlik mimarisini oluşturmak bir miktar yatırım gerektirse de sizi beklemediğiniz ve çok daha büyük olacak maliyetlerden kurtarabileceği kesin. Bu nedenle, doğru bir güvenlik duruşunun kurgulanması için danışmanlık alabilir, mevcut durumunuzu ve eksiklerinizi anlayabilmek için sızma testi yaptırabilir, siber sigorta yaptırarak kendinizi güvence altına alabilirsiniz.

Veri Güvenliği için Hangi Programları Kullanmalı?

Evde veya işyerinde kullandığınız her bilgisayarda bir antivirüs yazılımı bulunmalıdır. Antivirüs yazılımlarının etkinliği tartışılsa bile bu ellerimizi yıkamak gibi, basit bir hijyen kuralı olarak düşünülmelidir.

DLP (Data Loss Prevention) kullanılmasını. Bu yazılımların amacı bilgisayardan dışarıya veri sızmasını engellemektir. DLP çözümlerinin %100 etkili olmadığı hatırlanmalıdır, görevleri daha ziyade verilerin yanlışlıkla dışarıya gönderilmesini engellemektir.

USB bellek kullanımını denetleyecek bir uygulamanın kullanılması. Bu görevi üstlenebilen çok sayıda antivirüs ve DLP çözümü mevcut. Hangisinin kullanılacağı kuruluş özelinde değerlendirilmelidir.

Kullanıcı yetkilerini denetleyecek bir çözüm (Account Management veya Privileged Account Management uygulamaları). Hangi kullanıcının, bilgisayar veya uygulama üzerinde hangi işlemleri yapabileceğini yöneten ve denetleyen bu uygulamalar sayesinde siber saldırganların verilere erişimi de zorlaşmaktadır.

Bu liste kuruluşunuzun veri güvenliği konusundaki ihtiyaçları ve karşı karşıya olduğu risklere bağlı olarak uzatılabilir.

VPN Kullanımı

Satış personeli veya yöneticiler gibi, kuruluş sistemlerine dışarıdan bağlananlar varsa VPN yani Virtual Private Network kullanımı kuruluşun genel güvenlik seviyesini destekleyecek önemli bir bileşendir. VPN kullanımı esnasında iletişim şifrelenerek kuruluş verilerinin güvenliği sağlanabiliyor.

Burada dikkat edilmesi gereken önemli iki nokta var;
1. VPN bağlantısının güvenilir olması. İnternette bulunabilen ücretsiz VPN hizmetlerinin kullanılması yağmurdan kaçarken doluya tutulmaya neden olabilir.
2. VPN iletişimi şifreler ancak sizi zararlı yazılım içeren web sayfalarından veya uygulamalardan korumaz.

Her zaman yedek alın

Basit ve etkili bir yöntem. Tüm güvenlik önlemlerini almış da olsanız yine de veri kaybı yaşanması söz konusu olabilir. Düzenli ve gerektiğinde kullanılabilir yedekler alınması ihtiyaç anında verilerin kurtarılmasına imkan verir. Sadece siber saldırılar değil, doğal afetler, kullanıcı hataları veya teknik arızalar gibi pek nedenle veri kayıpları yaşanabilmektedir.

Yedeklerin sadece şirket içerisinde başka bir sisteme alınması günümüzde yeterli değildir. Bulut üzerinden bu konuda hizmet alınması, şirket dışında tutulan veya yedekleme işlemi tamamlandıktan sonra şirket dışına çıkartılan ortamlara da yedek alınması çok önemlidir.

Bilgisayarlarınızı Güncel Tutun

Elimizdeki istatistiklere göre, siber saldırıların %80’inden fazlası basit bir güncellemeyle giderilebilecek güvenlik açıklarını hedef alıyor. Geçtiğimiz yıllara dünya genelinde yaşanan ve Türkiye’de de pek çok şirketi etkileyen Wannacry fidye yazılım salgını bu konuda verilebilecek örneklerin başında geliyor. Microsoft tarafından Mart ayında yayımlanan bir güncellemeyle giderilen güvenlik açığını hedef alan Wannacry Mayıs ayında çıkmıştı. Dünya genelinde yüzbinlerce bilgisayarı etkileyen ve milyonlarca dolar hasara neden olan bu salgın, güncellemeler zamanında yapılsaydı kimseyi etkilemeyecekti. Kullanılan bilgisayarların lisanslı ve düzenli olarak güncellene bir işletim sistemi kullanması bu nedenle çok önemlidir.

Çalışanlarınızı Veri Koruma Konusunda Bilgilendirin

Sadece siber saldırıların değil, internet ortamında yapılan dolandırıcılıkların da önemli bir kısmında kuruluş çalışanları ve bireyler hedef alınıyor. Bilgisayar kullanıcısını kandırarak bir bağantıya tıklamalarını veya bir dosya indirmelerini amaçlayan bu saldırılara oltalama (phishing) saldırısı denir. Bu saldırılarla mücadele edebilecek teknik bir çözüm ne yazık ki yoktur. Bu nedenle bilgisayar kullanıcılarının dikkatli olması ve tuzağa düşmemeleri çok önemlidir. Kuruluş personelinin düzenli olarak bu tehditler konusunda bilgilendirilmesi saldırıların etkilerini ciddi oranda azaltabilmektedir.

Çalışanların bilgi sahibi olması gereken konu başlıkları şöyle sıralanabilir:

Zararlı olabilecek web sayfalarının, bağlantıların, reklamların ve e-postaların nasıl tespit edilebileceğine dair ipuçları,

Bilgisayarlara gelen güncellemelerin yapılmasının önemi,

Veri güvenliği konusunda yedeklerin önemi ve bu yedeklerin nasıl alınması gerektiği,

Şirket dışına veri sızdırmak için kullanılan yöntemler ve bunların tespit edilmesini sağlayacak ipuçları,

Dolandırıcıların kullandığı veya yeni kullanmaya başladığı teknikler.

Söz konusu bilgisayar sistemleri olduğunda %100 güvenlikten söz etmemiz ne yazık ki mümkün değildir. Siber saldırıların izlediği trend incelendiğinde ise saldırganların büyük/küçük ayrımı yapmadan bütün şirketleri hedef aldıkları açıkça görünebilmektedir. Bu nedenle siber güvenlik ve veri güvenliği konusunda tedbirlerin alınması ve bu tedbirlerin etkinliklerinin düzenli olarak denetlenmesi çok önemlidir.

Gördüğünüz gibi veri güvenliği nedir sorusunun birden fazla yanıtı ve bu yazı ile çözülemeyecek kadar uzun bir süreci var. Tamamen güvende olmak mümkün olmasa da farkındalık yaratmak, önlem almak, basit ancak etkisi büyük olabilecek bu uygulamaları hayata geçirmek büyük farklar yaratabilir.