VİP’lerin Siber Güvenliği

Kuruluşlarımızın yöneticileri siber suçlular için her zaman iştah açıcı hedeflerdir. Yerel ağda ve kuruluşa ait sistemlerde yayılmak için sistem yöneticilerinin hesapları elbette daha faydalıdır, ancak “patron” laptoplarından elde edilebilecek pek çok bilgi kuruluşun itibarına ve ticari hamlelerine zarar verebilir.

Her ölçekteki kuruluşun yöneticilerinin siber güvenliğini sağlamak için özen göstermesi önemlidir. Yöneticiler genellikle güvenlikle ilgili atmaya çalıştığımız pek çok adıma ilk tepki gösterenler oluyor. Bu nedenle sızma testleri sırasında antivirüs yüklenmemiş ve basit parolalar ile korunan üst düzey yönetici bilgisayarlarına bir süredir şaşırmıyorum.

Bu yazıyı bir gazete veya dergi için yazıyor olsaydım başlığı kesinlikle “Patronlar dünyası hackerların hedefinde” olurdu. Artan BEC (Business E-mail Compromise – İş e-posta hedeflerinin ele geçirilmesi) saldırılarında başta finans ve muhasebe olmak üzere üst yönetime dahil kişilerin özellikle hedef alındığını görüyoruz. Peki bizim tedbirlerimizi duymak bile istemeyen bu önemli kişilerin siber güvenliğini nasıl sağlamalıyız?

Eğitim

Birkaç yıldır üst düzey yöneticilere özel siber güvenlik farkındalık eğitimleri veriyorum ve gördüğüm kadarıyla o gün en fazla sıkıldıkları anlar onlar oluyor. Eğitimin kendisi çok eğlenceli (kapalı cep telefonuyla selfie çekiyoruz, haber okumak için girilen bir web sitesinden zararlı yazılım bulaşıyor, bir USB bellek ile laptop ele geçiriliyor, vs. ve hepsinin uygulamalı olarak ne kadar kolay olduğunu görüyorlar) ama sanırım birisinin bir konuda kendilerine “bunu böyle yapacaksın” demesine bir alerjileri var. Yarım saat olarak planlanan bu seanslar soru-cevap kısmıyla bir saati geçebiliyor ve genellikle sorular “güvenlik olmasa olmuyor mu hocam?” çerçevesinde geliyor. Ne yazık ki olmuyor. Siber güvenliğin artık önemli bir tehdit haline geldiğini ve sadece kişisel itibarlarını değil, kuruluşu da tehlikeye attıklarını sıkça hatırlatmak zorundayız. Bu eğitimlerde yöneticilerin ve ailelerinin, başta sosyal medya olmak üzere, internet ayak izlerini (paylaşımlar, yorumlar, gönderiler, vb.) asgari düzeyde tutmalarında fayda olduğunu bir kez daha hatırlatmakta fayda var. Sosyal medya paylaşımlarından yaptığımız ev adresi tespiti daha önce haber olmuştu: http://www.hurriyet.com.tr/teknoloji/unlulerin-fotograf-paylasimi-icin-guvenlik-uyarisi-40017592

Donanım

Bu söyleyeceğimin bilimsel bir temeli yok ama, özellikle üst düzeye, belirli aralıklarla yeni laptoplar verilmesini öneriyorum. Hatta yapabiliyorsanız iş yerinde ve seyahatlerde kullanmaları için 2 ayrı laptop verin. İş seyahatine gittiklerinde, laptopta sadece o seyahatle ilgili belgeler bulunsun. Böylece çalınması veya verilerin kopyalanması halinde neleri kaybettiğinizi bilirsiniz. Günlük hayatta kullandıkları laptop üzerindeki belgeleri (zararlı dosyaları ayıkladığınızdan emin olduktan sonra) yedekleyin ve yeni kurduğunuz bir laptopa aktarın. Bunu düzenli aralıklarla yapmak kalıcı olmuş saldırganlardan ve zararlı yazılımlardan kurtulmanızı sağlayacaktır.

Verilerin korunması

Saldırganlar aslında CEO’nun 3-5.000 dolarlık laptopunun peşinde değil, gerçekten. Onların istedikleri şey veriler. Bu nedenle korumamız gereken şey veriler. Bir süredir danışmanlık verdiğim kuruluşlarda veri odaklı siber güvenlik yaklaşımını kurguluyoruz, bunun parçası olan disk şifreleme, veri sızdırmaya karşı alınması gereken tedbirler gibi pek çok sürecin, en azından, yönetici bilgisayarları için devreye alınması şart.

Seyahat

İş seyahatlerine günlük olarak kullandıkları laptopla gitmemelerini sağlayabilirsek çok iyi. Halka açık ağlara (evet, tedarikçinin fabrikasının ağı da bizim için “halka açık”) bağlandıklarında karşılaşabilecekleri tehlikelere karşı da eğitim vermiş olmamız lazım zaten. Buna ek olarak mutlaka bir VPN kullanmalarını sağlamalıyız. Önce VPN bağlantısını kurup daha sonra yapmaları gerekenleri yapabilmeleri lazım. Aksi takdirde bağlandıkları ağı ele geçirmiş birisi, laptopa sızamasa bile, iletişimlerini görüntüleyebilir.

Yazılımlar

Kullanılmayan veya “unuttuğumuz” yazılımlardan doğabilecek tehlikelere daha önce değinmiştim (http://alperbasaran.com/bloatware-guvenliginizi-sisirmesin/). Söz konusu üst düzey yöneticiler olduğunda bu daha da kritik bir hale geliyor. Yapabildiğiniz ölçüde yöneticilerin kullandığı sistemler üzerinde gerekli olmayan veya üzerinde sıkça açık çıkan uygulamaların sürüm kontrolünü yapın.

Rutin kontroller

Antivirüsün bir uyarı vermemesi sistemde bir zararlı yazılım olmadığını kanıtlamaz. Bu nedenle düzenli aralıklarla bu laptoplar üzerinde çalışan processlerin, registry değerlerinin (aradığımız şey bilgisayar başladığında otomatik olarak başlatılan programlar) ve dış bağlantıların kontrol edilmesinde fayda var.