Son zamanlarda Hindistan’daki büyük girişimlerdeki siber saldırılar ve ihlaller ilgili haberlerde oldukça yer alıyor. Bu nedenle bir şirketin güvenlik stratejisi, günümüzde iş başlangıcında olduğu kadar önem arz ediyor.
Başlangıç endüstrisinin yakında patlama yapması beklenirken, CEO’lar ve yöneticiler için güvenli bir çevrimiçi iş modeli sağlamak için stratejilerine odaklanma potansiyeli olduğu biliniyor. Son birkaç yılda milyonlarca kişisel kayıt sızdırıldı; çalınan kredi kartı bilgileri, güç şebekelerini ve ülkeleri hedef alan siber saldırılar gerçekleşti. COVID-19 yalnızca bu süreci hızlandırarak siber güvenlik ihtiyacını eskisinden daha fazla önemli hale getiriyor. İşletmeler bir anda tamamen uzaktan çalışma sistemine geçmek zorunda kaldı. Çalışanlara ofis ağı dışında tüm erişim izni verilmesi gerekiyordu ve müşteri bilgilerine çalışanların bulunduğu tüm alanlardan erişiliyordu. İşletmeler, ekipleri için yumuşak bir geçiş sağlamak için çok çalıştılar. Çözümleri yeni gerçekliğe hızlı bir şekilde uyarlayarak hem yeni fikirler ortaya koydular hem de mevcut çözümleri kendilerini WFH’ye hazır hale getirmek için değiştirerek devam ettirdiler. Zomato, altın üyeliklerini yeniden düşünmek zorunda kaldı, Cult Fit çevrimiçi fitness seanslarına geçiş yapmak için mükemmel bir iş çıkardı. Ne yazık ki, tüm bunlar olurken güvenlik unsuruna çok fazla önem verilmedi ve siber korsanlar bunu nasıl kullanacaklarını biliyorlardı.
BigBasket, Juspay, Unacademy ve White Hat Jr. gibi en büyük Hint girişimlerinden bazılarına siber saldırılar, geçen yıl salgın sırasında endüstriyi kasıp kavurdu. 50 milyondan fazla kayıt çalındı ve bu gerçekten önemli bir siber güvenlik sorununu açığa çıkardı.
Bu olayların çoğu ülke çapında manşetlere taşınırken, birkaç küçük ölçekli saldırı da rapor edilmedi. Bunun nedeni, web sitelerini enfekte eden ve onları günlük olarak hackleyen birçok kötü amaçlı yazılım vakasının, sadece Zomato ya da dünyanın BigBasket’leri ölçeğinde ünlü olmadıkları için fark edilmemesinden kaynaklanıyor. Bu ihlaller, Hintli girişimler tarafından ilgili basın açıklamaları ile yayınlanarak neyin yanlış gittiğini ve sorunları düzeltmek için hangi adımların atılacağı açıklandı. Bu durum gerçekten profesyonelce ve sorumlu bir şekilde ele alındı. Yine de asıl önemli olanın, bu tür olayların asla ilk etapta gerçekleşmemesini sağlamak olmalı veya gerçekleşseler bile, çok daha küçük bir ölçekte olması gerektiğidir. Bu yalnızca sürekli güvenlik denetimleri, gerçek zamanlı koruma ve erken tehdit algılama ile mümkündür.
Bir şirketin teknoloji planının diğer süreçlere göre ikincil olarak değerlendirildiği günler geride kalıyor. KOBİ’lerin ve yeni başlayanların işlerini bir gecede çevrimiçine aldıkları mevcut senaryoya atıfta bulunularak, bu işletmelerin genel iş stratejisini tanımlamak için güçlü bir teknoloji stratejisine ihtiyaçları vardır. Dünya Ekonomik Forumu’na göre siber güvenlik, dünya genelindeki CEO’lar için bir numaralı endişedir. IBM’E göre, Hintli şirketler 2020’de ortalama 2 milyon dolarlık toplam veri ihlali maliyetine tanık oldular, bu 2019’dan %9,4’lük bir artış olarak göze çarpıyor. Barracuda Networks tarafından yapılan bir başka anket, Hintli kuruluşların %66’sının pandemi sırasında uzaktan çalışma modelinin başlamasından bu yana en az bir veri ihlali veya siber güvenlik olayı yaşadığını açıkladı.
Veri İhlalleri ve Satıştaki Veri Efsanesi
Bir veri ihlali, itibarın zarar görmesine neden oluyor ve bir kuruluşun bilançosunu doğrudan etkiliyor. Hindistan’ın en popüler e-market girişimi olan BigBasket, en az 20 milyon kullanıcının verilerini tehlikeye atan bir güvenlik ihlalinin kurbanı oldu ve BigBasket’in veritabanı siber suç pazarında 40.000 doların üzerinde satılıyordu.
Pandemi sırasında manşetlerde yer alan bir başka olay ise eve teslimat uygulaması Dunzo’ya yapılan siber saldırı oldu. Şirket, Temmuz 2020’de 3,4 milyon kullanıcının kişisel verilerinin ifşa edildiği bir ihlal bildirdi. Siber korsanlar, Ocak 2020’de 22 milyondan fazla kullanıcının verilerinin satışa çıktığı büyük bir veri ihlaline uğrayan edtech girişimi Unacademy’den bile vazgeçmedi.
Zomato, Uber, Oyo, Airbnb gibi bazı yeni çağa ait unicorn girişimleri, insanların seyahat etme, yemek yeme, işlem yapma biçimlerini değiştirerek yaşam tarzlarımızı da etkiledi. Tüm bu girişimler, işlerinin merkezinde teknolojiyi kullanıyor ve küresel teknoloji ortamında önemli bir fark yaratıyor.
Bu girişimler, müşterilerine özel hizmetler ve ürünler sunmak için en son yenilikleri kullanıyor ve geniş bir bilgi yelpazesi topluyor. Bu kadar büyük bir çevrimiçi bilgi veritabanı genellikle herhangi bir hackerın hedefindedir ve küçük bir veri ihlalinin bile yansıması tehlikeli olabiliyor.
İşte 2021’de Bir Startup’ı Siber Saldırıya Karşı Korumanın 5 Basit Yolu
1) Paketlerin ve belirteçlerin güvenliğini sağlayın
Veri sızıntısının en büyük kaynaklarından biri yanlış yapılandırılmış sunuculardır (AWS, Azure, Google Cloud vb.). Girişimler büyüdükçe, açıkça görülüyor ki altyapıları da hızla genişliyor. Bu, bilgisayar korsanlarının saldırı yüzeyini de artırır ve bu tür yeni sunucuların kurulumu, talebi karşılayacak şekilde genişlerken, genellikle ölümcül olduğunu kanıtlayan bazı güvenlik boşluklarına sahiptir. Yanlış yapılandırılmış sunucuların bilgisayar korsanlarına gizli anahtarlara erişim sağladıkları ve aslında milyonlarca kayda erişmelerine izin verdiği durumlarda büyük bir artışı izliyoruz. Güvenlik açısından en iyi yapılandırmalar için bu sunucuların hem dahili olarak kontrol edilmesini hem de harici güvenlik şirketleri tarafından denetlenmesini sağlamak anahtardır.
2) Düzenli güvenlik denetimleri alın
Bu daha fazla vurgulanamaz. Yeni özellikler ve kod ne kadar sık kullanılırsa, güvenlik denetimleri daha sık yapılmalıdır. İşletmeler, bilgisayar korsanlarından önce güvenlik açıklarını ortaya çıkarmak için en az aylık güvenlik açığı taraması yaptırmalıdır. Bu tür güvenlik açığı değerlendirmeleri, kuruluşların geliştirme döngülerinin bir parçası haline gelmelidir.
3) Dinlenme ve aktarım sırasında şifreleme
Bir veri ihlali varsa daha da kötüsü olur. Bilgisayar korsanları kritik verilerinizi düz metin olarak bulmamalıdır. Tüm verilerin güçlü şifreleme ile şifrelenmiş biçimde saklandığından emin olun. Bu, bilgisayar korsanları için veri satışını daha da zorlaştırır, çünkü güçlü şifreleme algoritmaları ağır hesaplama gücü gerektirir ve şifresini çözmek onlarca yıl alır.
4) Güvenliği pazarlama adımınız yapın
Bu biraz tuhaf görünebilir, ancak insanların mahremiyetlerine önem verdiği ve yeni bir gizlilik politikası yayınladıklarında WhatsApp ile kavga ettikleri bir dünyada güvenlik övünmeye değer bir şey olabilir. Uygulamanızı veya web sitenizi sürekli olarak güvenli hale getiriyorsanız, müşterilere attığınız adımları ve uygulamanıza olan güvenine ne kadar değer verdiğinizi, verilerini paylaşarak söylemelisiniz. Takip ettiğiniz en iyi güvenlik uygulamaları hakkında konuşmak için neden bir güvenlik ihlalini bekleyesiniz?
5) Sosyal mühendisliği önlemek için ekibi eğitin
Siber güvenlik endüstrisinde insanların, güvenlikteki en zayıf halka olduğu söyleniyor. Dünyanın tamamen uzaklaşmasıyla bu daha da gerçek hale geliyor çünkü bir ofis kurulumunda, müşteriler ofis ağından kritik verilere erişirken belirli güvenlik standartlarının karşılanmasını sağlayabilirsiniz. Artık dünya ofis ağınız haline geldi, bu da VPN’lere ve güvenli uzaktan erişim araçlarına yatırım yapmanın yanı sıra çalışanları hedeflenen kimlik avı saldırılarını önlemek için eğitmek ve saldırıların çalışanları hassas bilgileri vermek için kandırdığı diğer teknikler anlamına geliyor. Yani en zayıf halka kadar güvendesiniz!