Bilgi ve iletişim teknolojilerinin hızla gelişmesi ve hayatımızın bir nevi vazgeçilmez unsurları haline gelmeleri özellikle bilişim sistemlerine yönelik işlenen suçlarda bir sıçrama yaşanmasına neden oldu…
2015 yılında yapılan bir araştırmada Siber Suçların maliyetinin küresel ekonomiye 400 milyar Dolar olduğu düşünülmektedir. Ayrıca bir önceki seneye göre siber suçlarda %19 oranında bir artış görülmüştür.
Görüldüğü gibi siber suçlar çeşitli sektörlerde faaliyet gösteren her tür büyüklükte şirketin en üst düzeyde önlem alması gereken risklerden biridir. Fakat aslında şirketler kimi zaman ne kadar önlem alsalar da, çalışanlarının yaptıkları ihmaller yüzünden özellikle penetrasyon saldırılarına açık hale gelebilmektedirler. Bilindiği gibi penetrasyon saldırıları herhangi siber alan kaynağına erişmek için bilinen güvenlik zafiyetlerini kullanarak sistemlerin içine sızmayı içerir. Bu yüzden tam penetrasyon izinsiz giriş yapan saldırgana, veri dosyalarında değişiklik yapma, verileri değiştirme, virüs yerleştirme ya da sisteme zararlı Truva atı programları yükleme izni sağlar.
Son zamanlarda yaşanan Pokemon Go çılgınlığı bu tür ihlallerin olma ihtimalini de akla getirdi. Özellikle araştırmacı Adam Reeve’in yazdığı bir yazı Pokemon Go’nun güvenlik riski içerdiği ve gizlilik konusunda tehdit oluşturduğu konusunda şüpheleri arttırdı.
Reeve’e göre Pokemon Go’ya üyelik sırasında kullanıcılar zorunlu olarak Gmail hesaplarını kullanıyorlar. Kullanıcılardan Google Hesabına tam erişim talep ediliyor. Bu da Pokemon Go’nun yaratıcısı Niatics Labs’in uygulama sayesinde Google Hesabınızdaki neredeyse tüm bilgiyi görmesi ve değiştirme yetkisine sahip olması demek. Tam erişim ancak tamamen güvenilen uygulamalara verilmesi tavsiye edilen bir özellik. Bu açıdan Reeve’e göre Pokemon Go büyük bir güvenlik açığı içermekteydi.
Haber yayıldıktan sonra Pokemon Go’nun yaratıcısı Niatics Labs’in açıklması gecikmedi. “Pokemon Go’nun hesap oluşturma işlemi sırasında “yanlışlıkla” kullanıcının hesabı için tam erişim izni istediğini farkettikleri belirten Niatics Labs ancak kendilerinin bugüne kadar hiçbir şekilde hassas verilere erişmeye çalışmadıklarını sadece temel Google bilgilerine ulaştıklarını açıkladılar (Kullanıcı Kimliği ve E-posta adresi). Yaptıkları hatayı da düzelteceklerini belirttiler.
Google da tartışmalara tarafsız kalmadı ve kısa zamanda oyunun kişisel bilgilere olan erişimini sonlandıracağını açıkladı.
Bu durumda Pokemon Go olayında sorun kalmadığı görülse de Siber Uyum konusuna şirketlerin ve kullanıcıların ne kadar önem vermesi konusunda bir örnek olabilir. İnsan faktörü dikkate alınmadan yapılacak bir siber uyum politikasının bu açıdan bakıldığı zaman yetersiz kalacağı ortadadır.
Bir siber uyum politikasının başarısı ve güvenirliği bu açıdan çalışanlara verdiği eğitimde saklıdır. Uyum politikası aşağıdaki konuların önemini özellikle vurgulamalıdır.
Genel çalışanlara yönelik tavsiye edilen eğitimler konuları içermelidir: Güvenlik Farkındalığı, E-dolandırıcılık, Sosyal Ağlar ve Uygulamalar, Web ve E-posta Güvenliği, Olayların Raporlanması ve Bilgilerin Korunması.
Şirket çalışanlarına tehditleri ve saldırıya açık noktaları değerlendirmeye yönelik yöntemler ve bu yöntemlerin kuruluşun güvenliğini sağlamak için nasıl kullanılabileceği mutlaka öğretilmelidir.
Güvenlik kontrollerini seçme ve uygulamaya koymaya yönelik becerilerin kazandırılması ve güvenliğin sağlanamaması durumunda risk altında olan konuların mutlaka raporlanması tavsiye edilmelidir.
Çalışanlar onlarla çeşitli sosyal medya organları ile iletişim kuran, e-posta göndererek veya yükledikleri uygulamalarla güvenliği tehlikeye atacak şeyler yapmalarını isteyecek kişilere/uygulamalara inanmamaları/güvenmemeleri konusunda eğitilmelidir.
Böylelikle 2019 yılında küresel ekonomiye maliyetinin 2 trilyon dolara ulaşacağı tahmin edilen siber suçların önlenmesine yönelik çabalar sonuçsuz kalmayacaktır.
———————————————————————————————————————————————–
Ali Cem Gülmen – Araştırma ve Yayın Uzmanı, Etik ve İtibar Derneği
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.
Etik ve Uyum Programı Nasıl Hazırlanır?
Kurumsal Etik ve Uyum Programı Geliştirme Gereğinin Ardındaki İtici Güçler
Sorumlu İş Modelinin Şirkete Yararları
Sorumlu İş Modeli
ISO 37301 Uyum Yönetim Sistemi (Compliance Management Systems) Standardı Neden Önemlidir?
Legality of Pay or Consent Models
Kurumsal Diplomasinin 6 Unsuru
Policy Solutions: Women’s Economic Empowerment Also Fights Corruption