Küçük ve çok küçük ölçekli işletmelerin pek çoğu, siber suçluların kendilerini hedef alması için çok küçük olduklarına ve siber suçluların isteyebileceği verilere sahip olmadıklarına inanıyor. Oysaki bazı internet suçluları, yetersiz korunan sistemleri tercih edebilir.
Kaspersky Lab Türkiye’nin de dahil olduğu birçok ülkedeki işletmelerle ilgili olarak yaptığı bir ankete göre, BT Stratejisini önemli bir stratejik kaygı konusu olarak gören işletmeleri, çalışan sayısı 25’ten az olan çok küçük ölçekli işletmeler oluşturuyor.
Türkiye’deki çok küçük ölçekli işletmelerin yalnızca %33’ü BT Stratejisini en önemli iki stratejik kaygılarından biri olarak rapor ederken çalışan sayısı 100’den fazla olan işletmelerin %19’u, çalışan sayısı 5.000 ya da daha fazla olan işletmelerin ise %15’i bu kaygıyı rapor etti. Kaspersky Lab’ın 2014 BT Güvenlik Riskleri raporu kapsamında özetlenen bu anketin sonuçları, çok küçük ölçekli işletmeler için temel bir soruna işaret ediyor; Etkin bir BT stratejisi, başarılı bir işletmenin hayati bir öğesidir ve doğru yönetilirse, küçük bir işletmenin büyük başarılar elde etmesini sağlayabilir.
Küçük ve çok küçük ölçekli işletmelerin pek çoğu, siber suçluların kendilerini hedef alması için çok küçük olduklarına ve siber suçluların isteyebileceği verilere sahip olmadıklarına inanıyor. Ancak dünyanın her yerinden adli araştırmalardan veriler içeren Verizon 2013 Veri İhlalleri Araştırma Raporunda analiz edilen 621 veri ihlalinden 193’ünün (yüzde 30’dan fazlası) 100 veya daha az çalışanı olan şirketlerde gerçekleştiği görüldü1. Şirketler kredi kartı ödemelerini işlemeye, müşteri bilgilerini depolamaya ya da hatta yeni ürünler için planlar oluşturmaya başlar başlamaz, siber suçlular için değerli olan bilgilere sahip oluyorlar. Bazı siber suçlular, yetersiz BT korumaları olduğu bilinen bu “zayıf hedefler”i tercih edebilir.
Veriyi korumak büyük endişe kaynağı
Kaspersky Lab’ın anketine göre çok küçük ölçekli işletmeler, çevrimiçi tehditlerin tehlikelerini anlıyor. Kurumsal BT ile ilgili en büyük endişeleri sorulduğu zaman, çok küçük ölçekli işletmelerin %25’i en önemli üç seçimleri arasında “Veri Koruması”nı belirtiyor. Bu durum, çok küçük ölçekli işletmelerin dörtte birinin BT stratejilerinin hassas verilerin korunmasında ve günlük kurumsal çalışmalarının zararlı yazılımlar ya da siber suçlular tarafından sekteye uğratılmasının önlenmesinde hayati bir rol oynadığının farkında olduğunu gösteriyor.
Avrupa’da çok küçük ölçekli işletmeler, işletmeleri bünyesinde mobil cihazlar kullanmanın avantajları ve güvenlik riskleri konusunda oldukça bilgi sahibi. Çok küçük ölçekli işletmelerin %34’ü geçtiğimiz 12 ay içerisinde BT sistemlerine mobil cihazlar entegre ettiklerini rapor ederken neredeyse daha büyük ölçekli işletmelerle aynı entegrasyon oranını bildirdi. Ayrıca çok küçük ölçekli işletmeler, mobil cihaz güvenliği bilinci konusuna gerçekten önderlik ediyor.
Türkiye’de çok küçük ölçekli işletmelerin %17’si, “Mobil/Taşınabilir Bilişim Cihazlarının Güvenlik Altına Alınması”nı önümüzdeki 12 ay için en önemli üç BT güvenliği önceliklerinden biri olarak listeledi. Bu rakam, önümüzdeki yıl için gelecek mobil cihaz güvenliğine öncelik veren bütün işletmelerin global ortalaması olan %23 oranıyla karşılaştırıldığında yüksek görünüyor. Bu veriler, çok küçük ölçekli işletmelerin mobil cihaz kullanımı ya da mobil güvenlik riskleri konusunda daha büyük rakiplerinden daha az bilgili olduğuna dair iddiaları çürütüyor.
Bu bulgular, çok küçük ölçekli işletmelerin BT stratejisine ve BT güvenliğine düşük öncelik vermesinin önemli BT güvenliği sorunlarına ilişkin yetersiz bilince sahip olmalarından kaynaklanmadığını gösteriyor. Makul bir çıkarım ise, bütçe yetersizliğinin çok küçük ölçekli işletmeleri daha gelişmiş BT ve BT Güvenliği önlemleri almaktan alıkoyan en büyük engel olması. Bu yüzden Kaspersky Lab, çok küçük ölçekli işletmelerin sık sık karşılaştıkları tehditler karşısında anında avantaj sağlayacak güvenlik önlemlerine yatırım yapmalarını öneriyor.
Çok küçük ölçekli işletmeler anketine göre, siber bir saldırıda kurumsal verilerini kaybettiklerini rapor eden katılımcıların %22’si yaşadıkları en önemli olayın “Zararlı yazılımlar” olduğunu rapor etti; bu oran büyük kuruluşlar tarafından rapor edilen oranın (%9) iki katından fazla. Çok küçük ölçekli işletmeler için başka bir önemli veri kaybı kaynağı ise, çok küçük ölçekli işletmelerin %11’inin rapor ettiği “Yazılım Zayıf Noktaları” ve bu oran, bu faktörü belirten %8 oranındaki global ortalamayla neredeyse aynı. Bu da yazılım zayıf noktalarının büyüklüklerinden bağımsız olarak neredeyse bütün işletmeleri etkileyen bir güvenlik sorunu olduğu anlamına geliyor.
Küçük işletmeler kapsamlı güvenlik çözümüne yatırım yapmalı
Kaspersky Lab, çok küçük ölçekli işletmelerin kapsamlı bir güvenlik çözümünü bir yatırım olarak görmesini tavsiye ediyor. Örneğin Kaspersky Small Office Security, kurumsal seviyedeki teknolojileri çalıştırmak için BT uzmanlığı gerektirmeyen bir biçimde yapılandırıldı ve sektör lideri bir zararlı yazılım engelleme motorunun yanı sıra, siber suçluların istismar edebileceği makineleri tanımlayan bir yazılım zayıf noktası tarayıcısını da içeriyor. Ayrıca Kaspersky Small Office Security, çok küçük ölçekli işletmelerin giderek daha fazla benimsediği mobil cihazlar için zararlı yazılım koruması ve hırsızlık engelleme özelliklerinin yanı sıra, müşteri verilerinin hırsızlıktan ya da kazara silinmeden korunmasını sağlamak için veri şifreleme araçları da içeriyor.
Ek olarak kuruluşa göre özelleştirilmesi ve aşağıdaki temel öğeleri içermesi gereken uygun bir güvenlik stratejisi geliştirmek çok önemli:
Uygun ilkelerin ve süreçlerin geliştirilmesi
Risk değerlendirmesi
Acil durum planı
Bu standartlara uyumdan sorumlu çalışanlardan meydana gelen bir ekip oluşturmak
Kurumsal verilere erişimi olan bütün cihazlar için güvenlik çözümlerinin uygulanması
Düzenli olarak yapılması gereken güvenlik güncellemeleri için stratejiler
Çalışanları güvenlik hususlarına karşı duyarlı hale getirmek için stratejiler
Bütün önlemlerin belgelenmesi.