2022'de Güvenlik Ortamını Şekillendiren 7 Siber Güvenlik Trendi
Yayınlanan: 2022-07-13Siber güvenlik ortamı sonsuza dek değişiyor.
Ancak özellikle son birkaç yılda bazı dramatik değişimler yaşandı. Öngörülemeyen dünya olayları, halihazırda büyüyen trendleri hızlandırdı, çalışma ortamını tamamen değiştirdi ve yeni siber riskler getirdi.
İş liderleri, kuruluşlarını ve çalışanlarını korumak için en son siber güvenlik trendlerinden haberdar olmalıdır.
Aşağıda, 2022'de siber güvenlik ortamını şekillendiren yedi trend yer almaktadır:
- Siber güvenlik yetenek eksikliği
- Siber güvenlik, yönetim kurulu odalarında popüler bir konu haline geliyor
- Hibrit çalışma, büyük güvenlik sorunları getiriyor
- Fidye yazılımı sıklığında ve talep miktarlarında artış
- İnsan hatası risk olmaya devam ediyor
- Saldırı yüzeylerinde genişleme
- Siber güvenlik ağı
#1 Siber güvenlik yetenek eksikliği
Siber güvenlik iş piyasası, yıllardır yetenek eksikliğinden muzdarip. Ancak eksiklik hiç bu kadar belirgin olmamıştı.
Siber tehditlerdeki hızlı artışla birlikte şirketler ve hükümetler yetenekleri işe almak için acele ediyor. Yine de, artan sayıda iş ilanı aylardır doldurulmadan kalıyor.
Son 12 ayda sahaya 700.000 profesyonel girdiği için iyileşme belirtileri var. Bu, 2,72 milyonda çok yüksek olan Siber Güvenlik İş Gücü Boşluğunu azalttı.
Organizasyonlar, yetenekleri geliştirmek ve büyütmek için yaratıcı yollara bakmak zorunda kalacaklar. Yapılması gereken bazı eylemler şunlardır:
- Mevcut çalışanlara iş başında eğitim verilmesi
- Yetenek havuzunu genişletmek için çeşitliliği artırmak
#2 Siber güvenlik, yönetim kurulu odalarında popüler bir konu haline geliyor
Veri ihlalleri, büyük şirketlere ve sektörlere milyonlarca dolarlık zarara mal oldu.
Birçok kuruluştaki yönetim kurulları, siber güvenliğin önemini görmeye başlıyor. Artık bütçelerinin bir kısmını bu sorunla mücadeleye ayırma konusunda daha az isteksizler.
Liderlik ekipleri, siber riskleri çok da uzak olmayan bir geçmişte bir “eğer” senaryosu olarak görüyordu. Ancak son gelişmeler daha radikal bir bakış açısına yol açtı.
Bugünün liderleri, kurumsal düzeyde değişiklik yapabilecek tek kişiler oldukları için siber riskleri ciddiye almalı.
Dünya Ekonomik Forumu tarafından yayınlanan bir içgörü raporu, siber risk kurulu yönetişimi için altı ilkeyi özetlemektedir:
- Güvenlik bilincine sahip bireyleri karar verme pozisyonlarına dahil edin
- Siber riskin ekonomik etkisini anlayın
- Kurumsal tasarım siber güvenliği desteklemelidir
- Siber risk yönetimi, iş gereksinimleriyle uyumlu olmalıdır
- Sistemik dayanıklılık ve işbirliği
#3 Hibrit çalışma, büyük güvenlik zorlukları getiriyor
Hibrit ve tamamen uzak konumlar norm haline geliyor. Çalışanlar ve yöneticiler uyum sağlıyor, ancak bu ortamlardaki güvenlik riskleri ofiste olduğundan çok daha büyük.
Çalışanlar artık bir şirketin riskten kaçınmasında önemli bir faktör haline geldi. Bir kuruluşun veri ve iletişim sistemlerine ev veya kamu ağlarından erişmek, tehdit aktörlerine kapıyı açık bırakır. Yazıcılar ve kameralar gibi birçok ev cihazı varsayılan ayarlarda çalışarak daha fazla güvenlik açığı yaratıyor.
İşletmeler, riski en aza indirmek için güvenlik araçlarını ve protokollerini sürekli olarak yeniden değerlendirmek zorundadır.
Uzaktan çalışanların bu risklerden ve olası sonuçlarından haberdar edilmesi gerekir. Hibrit veya uzaktan çalışma ortamında aşağıdaki güvenlik önlemlerinin kullanılması çok önemlidir:
- Bir VPN (bir cihazdaki tüm verileri şifreleyen)
- Bir parola yöneticisi (tüm oturum açma bilgilerini tek, güvenli bir yerde saklar)
- Antivirüs yazılımı (kötü amaçlı yazılımları algılar ve siler)
#4 Fidye yazılımı sıklığında ve talep miktarlarında artış
Bir hizmet olarak fidye yazılımının ortaya çıkmasıyla, saldırganların artık kodlarını yazmaları gerekmiyor. RaaS, saldırganlara saldırıları çok daha yüksek bir oranda gerçekleştirmeleri için gerekli fidye yazılımı kodunu ve altyapısını sağlayan ücretli bir kötü amaçlı yazılımdır.
Artan tek şey saldırı oranı değil. Talep miktarları da tırmanmaya devam ediyor. Sadece 2021'de fidye yazılımı saldırıları dünyaya 20 milyar dolara mal oldu.
Tüm şirketlerin %37'si bir saldırı yaşadı. Ortalama fidye miktarı 2021'de bir önceki yıla göre %43 artarak 220.298$'a yükseldi.
Bir fidye yazılımı saldırısı sırasında ve sonrasında profesyonel bir olay müdahale destek ekibine sahip olmak çok önemlidir. Çoğu şirket, kurum içi bir siber güvenlik ekibini destekleyemez. Birçoğu, profesyonel siber güvenlik şirketlerinden dış kaynak kullanımına başvuruyor.
Bu nedenle, siber güvenlik sektörü son yıllarda büyük bir büyüme yaşıyor.
#5 İnsan hatası bir risk olmaya devam ediyor
IBM tarafından hazırlanan 2020 Veri İhlalinin Maliyeti raporu, veri ihlallerinin %95'inden insan hatasının sorumlu olduğunu buldu.
Veri ihlaline yol açabilecek iki tür çalışan hatası vardır:
- Beceriye dayalı hata – bir çalışanın doğru hareket tarzını bildiği ancak konsantrasyon, ihmal veya hata nedeniyle onu takip etmemesi durumunda ortaya çıkar.
- Karara dayalı hata – çalışanın hata yaptığına dair hiçbir fikri olmadığında ortaya çıkar. Bu, çalışanın gerekli bilgiye sahip olmadığı veya yeterli bilgiye sahip olmadığı durumlarda olur.
Hata yapmak insana mahsustur ve şirketler insan hatası riskini ortadan kaldıramaz. Ancak bu tür hataların olasılığını azaltabilirler.
İş liderleri, kuruluş genelinde derin bir güvenlik bilinci oluşturmalıdır. Kısa eğitim videoları nadiren yeterlidir ve çalışanlar genellikle eski alışkanlıklarına geri döner.
Bu konunun önceliklendirilmesinde köklü bir değişiklik yapılması gerekiyor.
#6 Saldırı yüzeylerinde genişleme
Geçmişte şirketlerin endişelenmesi gereken birkaç şey vardı: şirket içi ağları ve ona bağlı bir avuç bilgisayar.
Şimdi, bilgisayar korsanlarının saldırı gerçekleştirebileceği yüzlerce değilse de düzinelerce cihaz var.
Çalışanlar, şirketleri tarafından sağlananlara ek olarak, işle ilgili görevler için genellikle kişisel telefonlarını veya dizüstü bilgisayarlarını kullanır. Küresel işgücünün yarısından fazlası uzak ve ofise dönmek konusunda isteksiz. Bu, bir şirketin ağına daha da fazla cihazın bağlı olduğu anlamına gelir.
Bilgisayar korsanları, önceden bilgi ve çaba harcamadan telefonları ve diğer cihazları ihlal etmeyi kolaylaştıran gelişmiş araçlar ve kötü amaçlı yazılımlar kullanıyor.
Şirketler, artan iç risklerin yanı sıra, yüksek düzeyde bağlantılı tedarik zincirlerine artan bağımlılık konusunda da endişelenmek zorunda. Bu hiper bağlantı, saldırıların farklı ağlar ve kuruluşlar arasında yayılmasını kolaylaştırarak büyük miktarda veriyi tehlikeye atıyor.
#7 Siber güvenlik ağı
Çok sayıda bağlı cihazın getirdiği saldırı yüzeyi genişlemesine yanıt olarak şirketler yeni bir siber güvenlik yaklaşımı uyguluyor.
Siber güvenlik ağı, ağdaki her cihazı ayrı ayrı koruyan bir stratejidir. BT ortamını bir bütün olarak korumaya çalışan geleneksel güvenlik uygulamalarıyla çelişir.
Uzaktan çalışma ve bulut bilişimin norm olduğu çağda siber güvenlik ağı gereklidir. BT ortamındaki yüzlerce, hatta binlerce cihazı koruyacak tek bir çözüme sahip olmak artık mümkün değil.
Siber güvenlik ağı, her cihazı güvende tutmak için yaratıcı ve kullanıcı odaklı çözümler gerektirir. Kuruluşların her bir cihazı güvenli hale getirmek ve doğrulamak için dağıttığı en popüler çözümlerden bazıları şunlardır:
- Kullanıcıların kimliğini doğrulamak için çok faktörlü kimlik doğrulama
- Kritik kurumsal verileri korumak için veri şifreleme
- Kaybolan veya çalınan bir cihazdaki tüm verileri kaldırmak için uzaktan silme araçları
- Tüm ağ trafiğini şifrelemek için sanal özel ağlar
- Ağ üzerinden erişimi sınırlamak için en az ayrıcalıklı erişim yaklaşımı
- Olağandışı davranışları tespit etmek için izleme araçları
Son düşünceler
En son trendlerden haberdar olmak, veri ihlali ile veri güvenliği arasındaki fark olabilir. İş dünyası liderleri, siber güvenlikte yetenek eksikliğiyle uğraşırken işlerini sakince yapmakta zorlanıyorlar.
Bu arada, saldırıların kapsamı artıyor. İnsan hatası, veri ihlallerinin ana nedeni olmaya devam ediyor.
Yönetim kurulu toplantılarında siber güvenliği birinci öncelik haline getirmek ve çalışanları uygun şekilde eğitmek, bir kuruluşta siber dayanıklılığı artırmanın yollarından bazılarıdır.
Kuruluşlar, giderek daha büyük bir cihaz ağını korumak için siber güvenlik ağı gibi yeni yaklaşımlar kullanmaya da çalışmalıdır.
Yazar Hakkında
Lizzie Jacira bir siber güvenlik uzmanıdır. Bilgisayar bilimi alanında lisans derecesini aldıktan ve bir yazılım geliştiricisi olarak işe başladıktan sonra, üst düzey yöneticilerin siber güvenlik hakkında henüz ne kadar çok şey öğrenmediğini fark etti ve kariyer yolunu bir siber güvenlik danışmanı olarak değiştirdi. Bugün itibariyle yüzlerce işletmenin varlıklarını güvence altına almasına ve siber güvenlik alanındaki önemli trendleri takip etmesine yardımcı oldu.