Serbest Çalışanlar ve Ajanslar için Siber Güvenlik Bilgilendirmesi

Serbest çalışan bir tasarımcı, girişimci veya bir ajans çalışanıysanız, özellikle son birkaç yılda siber güvenlik kavramını sosyal ağlarda ve de çalışma ortamınızda çokça duymuşsunuzdur. Bu nedenle siber güvenliğin ne anlama geldiğine ve işinizi, girişiminizi korumak için ne gibi tedbirler alabileceğinize hep birlikte kısaca bir göz atalım.

Siber Güvenliğin Tanımı,

Siber Güvenlik; bilgisayarları, ağları, cihazları, sistemleri, bilgi ve verilerinizi yetkisiz erişim ve/veya saldırılara karşı korumak için kullanılan araçların, teknolojilerin ve uygulamaların birleşerek uzman kullanıcılar tarafından oluşturulan bir güvenlik yapısıdır.

Siber Suç, kötü amaçlı yazılımların kullanımını, hassas bilgilerin çalınmasını, gasp edilmesini ve iş kesintilerini içerir. Ayrıca bazı alanlarda da Siber Güvenlik kavramı Bilgi Teknolojileri (BT) Güvenliği olarakta adlandırılabilir.

Burada Bilgi Güvenliği ve Siber Güvenlik kavramlarını birbirine karıştırmamak gerektiğini de ek olarak vurgulamak isterim. Bilgi Güvenliği içeriğinde “Fiziki Güvenlik, İnsan Kaynakları, Haberleşme Güvenliği, Bilişim Güvenliği, Proje Yönetimi, Risk Yönetimi, Varlık Yönetimi, Yasal Sorumluluklar, Tedarikçi İlişkileri, İş Sürekliliği, Kaynak Kullanımları ve Temini vb.” konuları barındırdığı gibi Siber Güvenlik konusunu da içeriğinde barındıran bir çatı kavramdır.

Siber Güvenlik Alanları;

Siber güvenliği daha iyi anlayabilmek adına bazı temel alanları bilmemiz gerekiyor. Bu alanlar siber güvenliğin tedbir temellerini de oluşturmaktadır. Daha fazla alanlar da mevcut ancak burada sizin temel olarak bilmeniz gerekenleri ele almak istiyoruz.

Ağ Güvenliği

Ağ güvenliği ile dahili bilgisayar ağlarınızı koruma altına almak, hem donanımınızı hem de yazılımlarınızı korur. Davetsiz misafirler ve kötü amaçlı yazılımlar gibi tehditlerin ağınıza girmesini ve yayılmasını önler. Ağ güvenlilik araçları; virüs ve kötü amaçlı diğer yazılımlardan koruma uygulamaları, güvenlik duvarları ve sanal özel ağları (VPN) içeriğinde barındırır. Bu kapsamda ağ güvenliğine siber güvenliğin en dış katmanı da diyebiliriz.

Uygulama Güvenliği

Uygulama güvenliği; uygulamalarınızdaki güvenlik açıklıklarını kaldırmayı ve güvenliğini üst düzeye çıkartmayı hedefler. Bunların çoğu uygulamaları geliştirme aşamasında gerçekleştirilir ancak gelişen teknoloji ve bu gelişen teknoloji ile uygulamalarda çıkabilecek açıklıkların giderilmesi sonradan yapılacak yamalar ve güncellemeler sayesinde de giderilmektedir.

Uygulamalara yönelik bu tehditler arasında hassas bilgilere yetkisiz erişim ve bu erişimler sayesinde gerçekleştirilen izinsiz değişiklikler yer alır. Uygulama güvenliğinizi üst düzeyde tutmak adına son gelen güncellemeleri ve yamaları mümkün olan en kısa sürede yüklemeniz gerekmektedir. Bunun için dilerseniz yama yönetim araçları da kullanabilirsiniz.

Uç Nokta Güvenliği

Uç nokta güvenliği; masaüstü, dizüstü bilgisayarlar, sunucular, cep telefonları, IoT cihazları gibi ağınıza bağlı olan tüm cihazları yetkisiz erişim, veri ihlalleri, kötü amaçlı yazılım ve fidye yazılımı gibi siber tehditlere karşı sizi korur. Yaygın uç nokta koruma çözümlerinin içeriğinde virüsten koruma yazılımı, VPN’ler ve kimlik avına (oltalama) karşı koruma yöntemleri de mevcuttur.

Veri Güvenliği

Veri güvenliği; verilerin yanlışlıkla veya kötü niyetli olarak çalınmasını, değiştirilmesini, yok edilmesini veya ifşa edilmesini önlemek için uygulanan politikalar, süreçler ve teknolojiler anlamına gelen kapsamlı bir alandır. Bu kapsamda yetkisiz erişimleri engellemek için güçlü parolalar kullanmak, kurtarmaya yardımcı olacak yedekleme çözümlerini kullanmak ve verilerin kolayca okunmasını önlemek için şifreleme yöntemleri kullanmak gibi çözümleri veri koruma uygulamalarına örnek olarak gösterebiliriz.

Siber Güvenlik Neden Bu Kadar Önemli?

Siber saldırılar, özellikle yedekten geri dönmeye hazırlıklı veya donanımlı olmayan işletmelere hem finansal hem de itibar açısından ciddi zararlar verebilir. Günümüzde birçok işletme her zamankinden daha fazla çevrimiçi faaliyet gösterdiği için güçlü siber güvenlik önlemlerini mecburi olarak almaları gerekmektedir. Bu kapsamda istatistiki bazı bilgilere göz atalım;

Veri ihlallerinin %43’ü küçük ve orta ölçekli işletmeleri içeriyor

KOBİ’lerin %83’ü bir siber saldırıdan kurtulmak için finansal olarak hazır değil

KOBİ’lerin %43’ü uygulanan herhangi bir siber güvenlik planına sahip değil

Genellikle birçok küçük işletme sahipleri ve serbest çalışanlar kapsamlı bir siber güvenlik planı oluşturmak için büyük şirketler kadar kaynağa sahip değiller. Ancak tabi ki bu durum güvenlik açıklıkları ile beraber yaşayacakları anlamına gelmiyor. Bu kapsamda bütçelerine uygun şekilde kendi önlemlerini alabilirler.

Peki Siber Güvenliğinizi Nasıl Geliştirirsiniz?

Etkili bir siber güvenliğin anahtarı, proaktif bir yaklaşım ve çoklu savunma katmanları oluşturmaktır. Başlangıç seviyesinde, siber güvenlik duruşunuzu anında iyileştirmek için atabileceğiniz bazı basit adımları listeleyelim;

Her Zaman Güncellemeleri (Zamanında) Yükleyin

Yazılım satıcıları güvenlik açıklıklarını tespit ettikleri zaman bu zafiyetleri gidermek adına güncellemeler ve yamalar yayınlar, tabi ki bu zafiyetler aynı zamanda güvenlik açıklarından yararlanmak isteyen siber suçlular tarafından da bilinir. Zamana karşı olan bu yarış, işletim sistemleri ve diğer yazılımlar için güncellemeleri düzenli olarak kontrol etmeyi ve bir an önce yüklemeyi kritik hale getirmektedir.

Parolalarınızı Koruyun ve Çok Faktörlü Kimlik Doğrulama Kullanın

Bazı bilgisayar korsanları, binlerce olası şifreyi kaba kuvvet yöntemi ile hızla deneyerek çözmeye çalışırlar. Parolanız ne kadar güçlü ve güncel olursa, başarılı olma olasılıkları o kadar düşük olur. Bu konuda daha önce yazdığım “Parola Güvenliği Farkındalığı ve Güçlü Parola Oluşturma Rehberi” başlıklı makaleyi okuyabilirsiniz.

Parola katmanı dışında fazladan bir güvenlik katmanı ekleyerek aynı anda iki veya daha fazla kimlik doğrulama yöntemlerini de kullanmalısınız. Bu kapsamda parolanızı girdikten sonra diğer (yüz tanıma, parmak izi, sms, ses tanıma vb.) ikincil veya üçüncül bir faktör isteyerek güvenliği bir üst seviyeye yükseltebilirsiniz.

Eriştiğiniz her hesap, web sitesi, veya uygulama için farklı bir parola kullanmanız sizin herhangi bir parola çalınmasına karşı diğer hesaplarınızın güvenliği açınasından değerli ve önemli bir konudur. Bu parolaların her birini aklınızda tutmak konusunda sıkıntı çekmeniz halinde offline bir araç/uygulama veya tercihinize göre online bir parola yöneticisi kullanarak parolalarınızın her birini bu araçlar veya servisler içerisinde saklayabilirsiniz. Bu sayede giriş yapmanız gereken uygulama veya sitelere de bu araçlar yardımı ile giriş sağlayabilirsiniz. Aynı zamanda bu araçlar ve servisler ile karmaşık güvenli parolalar oluşturmanıza olanak sağlayacaktır.

Konuyla ilgili Eğitim ve Öğretime Yatırım Yapın

Siber suçluların yöntemleri gün geçtikçe daha karmaşık hale geliyor ve bu da “kur ve unut” çözümünün artık etkin olmadığı bir dönemdeyiz anlamına geliyor. Şüpheli e-posta eklerinden kaçınmak gibi en son tehditler ve iyi güvenlik uygulamaları konusunda hem kendinizi hem de çalışanlarınızı eğitin.

Bunu unutmayın, başarılı olan çoğu siber saldırıda genellikle en zayıf halka insandır. Siber güvenlik temellerini bilenler, kendilerini ve çalışanlarını korumak için her daim donanımlı olacaktır.

E-posta Güvenliğinize; Oltalama ve Zararlı Epostalara Dikkat Edin

Tanımadığınız herhangi birisi size içeriğinde ekler veya resimler barındıran şüpheli bir e-posta gönderdiğinde üst düzeyde ihtiyatlı davranmalısınız. Bu e-postalar bazen sadece reklam amaçlı (spam) olabilir, ancak bazense e-posta içeriğinde size zarar verebilecek zararlı yazılımlar gizlenmiş ve/veya sizin bilgilerinizi/şifrelerinizi çalmak amaçlı bağlantılar barındıran oltalama e-postaları olabilir. Kurumsal eposta hesaplarınızda size gelen bu e-postaları ihlal olarak Kurumunuzdaki Bilgi Güvenliği ekibine bildirebilirsiniz.

Burada bir de tanıdığınız kişilerden gelebilecek e-postalara da ihtiyatlı yaklaşmanız gerekebilir. Zira tanıdığınız kişilerin e-posta adresleri çalınmış olabilir ve size zararlı veya oltalama bağlantılar barındıran e-postalar gönderiyor olabilir. Bunlara nasıl dikkat ederiz diye sorarsanız. Eğer devamlı olarak e-posta alıp verdiğiniz kişilerin yazış biçimlerine uymuyorsa, imla kurallarına dikkat edilmediyse ve/veya size bağlantı göndermeyen birisi ise direkt olarak o kişi ile farklı bir yoldan (telefon gibi) irtibata geçerek aldığınız e-postayı doğrulayabilirsiniz. Yine aynı şekilde eğer gönderen kişi o değilse konuyu Bilgi Güvenliği ekibinize iletmelisiniz.

ÖRNEK: Bu konuda size yaşadığım bir olayın örneği vereyim. Foundation isimli bir NFT sitesine üye oldum ve orada sergilemek ve satmak için birkaç tasarım yükledim. Bir zaman sonra bir e-posta adım. E-posta içeriğinde kısaca, tasarımlarımdan birisinin kendi tasarımı olduğunu ve kaldırmamı istediğini aksi halde dava açacağını belirtiyordu. Kendisinden hangi tasarımdan bahsettiğini ve bana tasarımın bağlantısını göndermesini istedim. Kısa süre sonra gelen cevapta bir bağlantı vardı ama bu bağlantı sitedeki tasarıma değil farklı bir sitedeki bir dosyaya sizi yönlendiriyordu. Durumdan şüphelendiğim için ilgili dosyayı açmadan indirip “virustotal” isimli bir virüs analiz sitesine yükledim ve dosyanın zararlı içerdiğini gördüm. Eğer bu dosyayı bilgisayarımda açsaydım bu virüs muhtemelen bilgisayarıma yayılıp tüm dosyalarımı şifreleyecek ve benden bu şifrenin çözülmesi için fidye talep edilecekti. Konuyla ilgili diğer foundation kullanıcılarını uyardığım ve içeriğinde e-posta yazışması ile virüs analizinden çıkan sonucun ekran görüntülerini de eklediğim tweeti de altta görebilirsiniz.

Attention! @foundation users: Beware of people who email you "Please remove our artwork, You violated copyright" without sharing any source. When you ask which work it is, they send you an malicious link. This is a phishing attack. Here is a proof for you. Please be very careful! pic.twitter.com/1JnOLQiw08

— Safa Paksu (spaksu.eth) (@Spaksu) March 9, 2022

İşte bu nedenle gelen her e-postanın ekine ve içerdiği bağlantıya şüpheli yaklaşmak sizi her daim güvende tutacak en önemli tedbir faktörlerinden birisidir.

Güvenilir Bir Antivirüs Yazılımı Kullanın ve Güncel Tutun

Bir şeyler indirmeniz gerekiyorsa, indireceğiniz öğeyi, zararlı yazılım olup olmadığını bulmak için bir antivirüs yazılımı kullanmanız gerekir. Antivirüs yazılımları, zararlı yazılım olup olmadığını belirlemek üzere bütün bilgisayarınızı da taramanıza olanak verir. Zararlı yazılımları erken yakalamak ve yayılmalarını önlemek için bilgisayarınızı düzenli aralıklarla taramak iyi bir fikirdir. Yeni çıkan virüslere karşı önlem almak adına da antivirüs veri tabanınızı ve yazılımınızı güncel tutmalısınız.

Umarım faydalı bir makale olmuştur. Siber suçların arttığı bir dünyada yaşıyoruz bu nedenle şüpheci davranarak bilgilerinizi ve kendinizi siber suçlulara karşı koruyabilirsiniz.