siber güvenlik - Netizenlist.com

Attığınız USB’lere dikkat

Birçok bilgisayar kullanıcısı USB cihazlarını atarken, satarken veya başkasına verirken ne yazık ki verilerin silinmesi konusunda yeterince önlem almıyor. Bilgi güvenliği kuruluşu ESET, İngiltere’de yapılan bir araştırmayı mercek altına aldı. Buna göre ikinci el USB’lerde pek çok kişi hassas verilerini bırakıyor.

İngiltere’de bulunan Hertfordshire Üniversitesi’nden akademisyenler, kaçının hala önceki sahiplerinin bilgilerini içerdiğini görmek için USB’lere yönelik bir çalışma gerçekleştirdi. Araştırmacılar, Amerika Birleşik Devletleri’nde 100 ve İngiltere’de de 100 adet olmak üzere herkese açık platformlardan 200 adet ikinci el harici bellek (USB Memory) satın aldı.

Antivirüs yazılım kuruluşu ESET ve İngiliz tüketici bilgilendirme sitesi Comparitech’in bildirdiğine göre, çoğu USB sürücüsü, önceki sahiplerinden kalan veriler içeriyordu ve bu bilgiler neredeyse hiçbir çaba sarf edilmeden elde edilebilmekteydi.

Örnek vermek gerekirse, 20 kişi depolama cihazlarını temizlemek için herhangi bir girişimde bulunmamıştı.Bu cihazlar basitçe bilgisayara takmak, içeriklerini ortaya çıkarmak için yeterliydi.

Cihazların önceki sahipleri tespit edilebildi

Bununla birlikte, daha sık olmamakla birlikte veriler silinmişti; ancak bu ulaşılamayacak bir yerde oldukları anlamına gelmiyordu. Araştırmacılar yalnızca halka açık veri kurtarma yazılımları kullanarak 135 harici belleğin içeriklerini formatlanmış olsalar bile basit bir şekilde ele geçirilebildiğini ortaya koydu. Bunlar arasından 44 USB sürücü, cihazın önceki sahibinin kimliğini tespit edebilmek için yeterli bilgi içermekteydi.

USB’lerden neler çıktı?

Şaşırtıcı olmayan bir şekilde, harici sürücülerde bulunan veriler, kurumsal ve yasal belgelerden vergi formlarına, ödeme fişlerinden potansiyel olarak daha da endişe verici bulgulara kadar geniş bir alanı kapsamaktaydı. Bunlar arasında bir arama emriyle, para ve av tüfeği fotoğraflarının yanı sıra, isim ve iletişim bilgileriyle fotoğrafları bulunan orta yaşlı bir adam da yer aldı.

200’den sadece 34’ündeki bilgiler güvenli silinmiş

Bu arada, sadece 34 adet USB sürücü bir yazılım aracılığıyla güvenli şekilde silinirken, sadece bir tanesi şifrelenmişti ve yeni sahiplerin ulaşamayacağı şekilde bu cihazlara saklanan her türlü veriyi ulaşılamaz kılıyordu.

Ne yapılabilir?

Kullanmadığınız, birisine verdiğiniz, satmaya veya çöpe atmaya hazırlandığınızharici disklerdeki verilerinizi silmeye özen gösterin. Bununla birlikte ‘şifreleme’ (encryption) uygulamaları, verilerinizi meraklı gözlerden koruyacak şekilde güvende tutabileceğiniz iyi bir araçtır. Örneğin ESET Smart Security Premium yazılımında yer alan ESET Secure Data özelliği USB’yi şifreler ve parola olmadan verileri ulaşılamaz hale getirir.

Türkiye’de Her Üç Kullanıcıdan Biri İnternette Gizliliğini Nasıl Koruyacağını Bilmiyor

İnternet üzerinde paylaşılan kişisel veri miktarı artmaya devam ettikçe, bir kısım insan çevrim içi gizliliğin hiçbir şekilde korunamayacağını düşünmeye başladı. Kaspersky Labyaptığı son araştırmada, Türkiye’deki kullanıcıların yaklaşık üçte birinin (%37) internette gizliliklerini nasıl koruyacağını bilmediğini tespit etti. Gizlilik tükenişi olarak da adlandırılabilen bu dijital gizlilik sorunlarına karşı çaresiz kalma durumu, genellikle sosyal medyada çok fazla paylaşım yapmaya ve güvenlik risklerini göz ardı etmeye başlamak gibi sonuçlar doğuruyor. Ancak şimdi güvenliği göz ardı etmenin zamanı hiç değil. Gizlilik konusuna önem vermeyen kullanıcılar siber suçlular için kolay bir hedefe dönüşebiliyor.

Türkiye’de insanların neredeyse tamamının (%98) her gün defalarca girdiği internet, artık modern yaşamın vazgeçilmez bir parçası haline geldi. Bu da kullanıcıların kişisel bilgilerini kontrol altında tutmasını inanılmaz derecede zorlaştırıyor. Kaspersky Lab tarafından yapılan son araştırmada, Türkiye’deki kullanıcıların %16’sının kendileri veya aileleri hakkındaki herkese açık olmaması gereken özel bilgilere internette rastladığı belirlendi. 18 yaş altındakiler için ise bu oran META (Orta Doğu, Türkiye ve Afrika) bölgesinde %20’ye ulaşıyor.

İnternette daha az görülür olmak için çaba gösterip bunda başarısız olmak, “gizlilik tükenişi” adı verilen bir duruma yol açıyor. Gizlilik tükenişi, üçüncü tarafların kişisel bilgilerinizden yararlandığına ve buna direnç göstermenin anlamsız olduğuna inanıpsürekli gergin yaşamayla gelişiyor. Gerçekten de bazı insanlar gizlilik ihlallerine karşı yapılabilecek hiçbir şey olmadığını düşünüyor. Türkiye’de kullanıcıların %37’si internette gizliliklerini nasıl koruyacağını bilmiyor, %13’ü ise gizliliklerini artırmayla ilgilenmediklerini belirtiyor.

Gizlilik konusunda hissedilen bu çaresizlik insanların internet üzerindeki davranışlarını da etkiliyor. Türkiye’de kullanıcıların %11’i cihazlarından internete girerken gizliliklerini korumaya yarayan, tarayıcı geçmişini düzenli temizlemek veya çevrim içi takip özelliklerini engelleyen özel eklentiler kurmak gibi ekstra önlemler almıyor.

Kaspersky Lab Tüketici Ürünleri Pazarlama Müdürü Marina Titova, “Veri sızıntılarındaki artışla birlikte kişisel verileri yönetmenin de giderek zorlaşması, tüketicilerin kontrolü kaybettiklerini hissetmelerine ve dijital gizlilik konusunu düşünmekten bıkmalarına neden oluyor. Bu sorunu ortadan kaldıracak sihirli bir çözüm bulunmasa da riski azaltmak için birçok yol mevcut. Temel dijital hijyen ile başlayan bu süreç dijital gizliliği sağlamaya yardımcı olan gelişmiş araç ve teknolojilerin kullanılmasına kadar uzanıyor.” dedi.

Bu sorunu uzun süre görmezden gelmek büyük sorunlara yol açabiliyor. Günümüzde çok sayıda siber suçlu insanların gizliliklerini ihlal edip kişisel bilgilerinden yararlanarak para kazanmaya çalışıyor.

Dijital güvenliğinizi korumak istiyorsanız Kaspersky Lab size şu temel adımları izlemenizi öneriyor:

Dijital izlerinizi yönetmeye başlayın. Hesaplarınızın bir listesini tutun ve verilerinize herkesin erişip erişmediğini düzenli olarak kontrol edin. İkinci bir e-posta adresi alın.
İnternette dolaşmayı daha güvenli hale getirecek özel dijital araçlar kullanın. Bu araçlar Gizli Gezinti veya web kamerası ya da mikrofona erişebilen güvensiz uygulamaları tespit etme gibi özellikler sunar.
Gizlilik ihlali risklerini en aza indiren özelliklere sahip olan, Kaspersky Security Cloud,Kaspersky Secure Connectionve Kaspersky Password Manager gibi güvenilir bir güvenlik çözümü kullanın.

Kaspersky Lab çözümlerinizin verilerinizi ve çevrim içi kimliğinizi nasıl koruduğu hakkında daha fazla bilgi için resmi web sitemizi ziyaret edebilirsiniz.

Tüketicilerin gizlilikleri hakkında neler düşündüğüne dair daha fazla bilgi edinmek için şu adresi ziyaret edebilirsiniz:https://www.kaspersky.com/blog/privacy-report-2019/

Kimlik Avı Saldırıları 2018’de 500 Milyona Yaklaştı

Kaspersky Lab kimlik avı önleme sistemi 2018’de dolandırıcılık amaçlı web sayfalarına giriş denemelerini 482 milyondan fazla kez engelledi. 2017’de 236 milyon olan bu sayı bir yıl içinde iki kat artış gösterdi.Kimlik avı saldırılarında son birkaç yıldır artış gözleniyordu fakat 2018’de elde edilen sonuçlar bu tür saldırıların popülerliğinin önemli ölçüde yükseldiğini ortaya koydu. Kaspersky Lab, 2018’de Spam ve Kimlik Avı başlıklı yeni raporunda bunların yanı sıra başka bulgulara da yer verdi.

Çok çeşitli yollarla farklı amaçlar için kullanılabilen kimlik avı yöntemi, en esnek ‘sosyal mühendislik’ saldırıları arasında yer alıyor. Kimlik avı sayfası açmak isteyen saldırganların yapması gereken tek şey, popüler veya güvenilir bir web sitesinin kopyasını oluşturup kullanıcıları buraya çekerek kimlik bilgilerini girmelerini sağlamak oluyor. Bu bilgiler arasında banka hesabı parolaları, ödeme kartı ayrıntıları veya sosyal medya hesaplarına giriş için kimlik bilgileri yer alıyor.

Kimlik avı saldırıları, kullanıcıların bir dosya ekini indirmesini veya bir bağlantıya tıklamasını sağlayıp bilgisayara zararlı yazılım indirilmesi yoluyla da gerçekleşebiliyor. Bu tür saldırılar maddi zarardan tüm kurumsal ağın ele geçirilmesine kadar uzanan sonuçlara yol açabiliyor. Zararlı bağlantı veya dosya eki şeklinde yapılanlar başta olmak üzere, kimlik avı saldırıları kurumlara yönelik hedefli saldırılarda kullanılan en popüler yöntemler arasında yer alıyor.

2018’de yaşanan büyük artış aslında uzun süredir devam eden trendin bir parçası. 2017 ve 2016’da da bir önceki yıla göre %15 artış yaşanmıştı. Ancak 2018’de yeni bir zirve noktasına ulaşıldı.

Bu saldırılar özellikle finans sektörünü vurdu. Kaspersky Lab teknolojileri tarafından tespit edilen tüm kimlik avı saldırılarının %44’ü bankaları, ödeme sistemlerini ve internet mağazalarını hedef aldı. Bu da 2018’deki finansal kimlik avı saldırısı sayısının neredeyse 2017’deki toplam kimlik avı saldırılarına eşit olduğu anlamına geliyor.

Kimlik avı saldırısına uğrayan kullanıcı oranında lider bu yıl da Brezilya oldu. Saldırıya uğrayan kullanıcıların %28’i kimlik avı saldırısıyla karşılaştı. Bir yıl önce 7. sırada yer alan Portekiz bu yıl %23 ile ikinci olurken, Avustralya ise %21 oranla ikincilikten üçüncülüğe geriledi.

Kaspersky Lab Güvenlik Araştırmacısı Tatyana Sidorina, “Kullanıcıları dolandırıcılık sayfalarına yönlendirmekte kullanılan sosyal mühendislik yöntemlerinin verimliliğinin artması, kimlik avı saldırısı sayısının da artmasına neden oluyor. 2018’de sahte bildirimler gibi yeni yöntemlerle karşılaşmamıza ek olarak Kara Cuma ve tatil dönemlerinde kullanılan geleneksel tuzakların da iyileştirildiğini gözlemledik.Genel olarak, dolandırıcılar artık FIFA Dünya Kupası gibi önemli etkinliklerden daha fazla faydalanmaya başladılar.” dedi.

2018 spam ve kimlik avı raporunda yer alan diğer bulgular şunlar:

Tüm e-posta trafiğinde spam e-postaların oranı %52,48 oldu. Bu oran 2017’den 4,15 puan daha düşük.
Bu yıl en büyük spam kaynağı ülke Çin oldu (%11,69).
Spam e-postaların %74,15’i 2 KB’tan daha küçük boyuttaydı.
Zararlı spam e-postalar en sık, Win32.CVE-2017-11882 kod adlı filtreyle tespit edildi.
Kimlik avı önleme sistemi 482.465.211 kez uyarı verdi.
Tekil kullanıcıların %18,32’si kimlik avı saldırısıyla karşılaştı.

Kaspersky Lab uzmanları, kullanıcıların kendilerini kimlik avı saldırılarına korumaları için şunları tavsiye ediyor:

Bilmediğiniz veya beklemediğiniz mesajlardaki internet adreslerini her zaman kontrol edin. Yönlendirildiğiniz sitenin, mesajdaki bağlantının ve hatta göndericinin e-posta adresini kontrol ederek bağlantıların başka bir yere yönlendirmediğinden emin olun.
Web sitesinin gerçek ve güvenli olup olmadığından emin değilseniz kimlik bilgilerinizi girmeyin. Sahte bir siteye kullanıcı adı ve parola girmiş olabileceğinizi düşünüyorsanız hemen parolanızı değiştirin. Kart bilgilerinizin alındığına inanıyorsanız bankanızı veya ödeme sağlayıcınızı arayın.
Özellikle hassas web sitelerini ziyaret ederken güvenli bağlantı kullanın. Bilmediğiniz veya parola koruması olmayan herkese açık bir Wi-Fi ağı kullanmayın. Güvensiz bir bağlantı kullandığınızda siber suçlular haberiniz olmadan sizi kimlik avı sayfalarına yönlendirebilir. En üst düzeyde koruma için Kaspersky Secure Connection gibi veri trafiğinizi şifreleyen bir VPN çözümü kullanın.
Kaspersky Security Cloud ve Kaspersky Total Security gibi, davranış tabanlı kimlik avı teknolojilerinden yararlanan ve kimlik avı amaçlı sayfalara girmeye çalıştığınızda sizi uyaran, sağlam bir güvenlik çözümü kullanın.

Usb Sebepli Veri Sızıntılarını Engellemek İçin 3 Alternatif

Çalışanların şirket verilerini USB bellekler aracılığıyla bilinçli ya da bilinçsiz bir şekilde dışarıya sızdırması, veri sızıntılarının yaygın nedenlerinden biri olarak karşımıza çıkıyor. Bilişim güvenliği alanındaki dağıtım ve çözümleriyle pazarda lider konumda bulunan Komtera Teknoloji’nin güvenlik uzmanları, her şirketin ideal USB bellek politikasını oluşturması için 3 farklı alternatifi paylaşıyor.

USB belleklerin kullanımından kaynaklanan hatalar, şirketlerde veri sızıntıları yaratan faktörler arasında yer alıyor. Verilerin dışarıya kolayca sızmasına yol açan USB belleklere karşı tüm şirketlerin kendilerine özel bir USB bellek politikası geliştirmesi gerekiyor. Hem şirketlerin güvenlik seviyelerinin düşmemesi hem de çalışanların verimliklerini artıracak doğru araçlara sahip olması için bir USB bellek politikasının mutlaka uygulanmasını öneren Komtera Teknoloji güvenlik uzmanları, kurumların bu konudaki kararını kolaylaştırmak için USB belleklerin kullanımını tamamen engellemek, kısıtlamak ya da izin vermek olmak üzere 3 farklı politikanın olumlu ve olumsuz yönlerini paylaşıyor.

1. USB Bellekleri Tamamen Yasaklamak

Sahip olduğu teknoloji eski olsa da, USB bellekler veri hırsızlığında hala sık sık başvuruluyor. Bu nedenle özellikle pek çok yasal düzenlemeye uyması gereken bir sektörde hizmet veren ya da oldukça hassas kullanıcı verilerini depolayan şirketlerde USB belleklere hiçbir şekilde izin vermemek en mantıklı seçenek oluyor.

Daha önceden USB kullanımına izin veren şirketlerde bu kadar ciddi bir politika değişimi, neden USB cihazların artık şirket içerisinde kullanılamayacağının çalışanlara açık bir şekilde anlatılmasını ve diğer depolama metotlarıyla ilgili olasılık ve kuralların da bu süreçte gözden geçirilmesini gerektiriyor.

Hiçbir çalışanın cihazında USB bellek girişinin kullanılabilir halde bırakılmaması ve yeni çalışanlar işe alındığında onlara USB belleklere izin verilmediğinin belirtilerek güvenli lokal ya da bulut depolama yöntemleri için alternatiflerin anlatılması da önem taşıyor. Ekiplerin bulut tabanlı depolama seçeneklerinden faydalanmak istemesi durumunda, her kullanıcının güvenliğini güçlü şifreler ve çok faktörlü korumayla nasıl koruyacağını anladığından emin olunması riskleri ciddi ölçüde azaltıyor.

2. USB Bellek Kullanımını Sınırlamak

Her ne kadar bazı şirketler için ideali bu olsa da, USB bellekleri engellemek çoğunlukla pek pratik olmuyor. Çok fazla kısıtlamaların olduğu bir siber güvenlik politikası bazen çalışanların işlerini belli bir zamanda bitirememesine yol açarak hayal kırıklığı yaratıyor. Ayrıca bazı kullanıcıların bu ağır yasakları aşmak için ellerinden geleni yapması şirketlerini bir kaza ya da iç tehditten kaynaklanacak riskler karşısında daha zayıf hale düşürüyor.

Eğer bir şirkette düzenli olarak USB bellekleri kullanması şart olan belli bir çalışan grubu varsa kurumun siber güvenlik ekibi, belli sayıdaki kullanıcılara bu ayrıcalığı dikkatli gözetim altında tanıyabilir. Düzenli olarak seyahat etmesi ya da uzaktan çalışması gereken çalışanlar için USB bellekler kullanmak yerine güvenli bir VPN ile kurumsal sunuculara erişmesi gibi daha güvenli alternatif yollar üretebilir.

Her ne kadar bu durum siber güvenlik profesyonelleri için anlaşılmaz ya da imkansız gelse de, USB belleklerin çabuk kaybolabildiğine ya da tehlikeli kötü niyetli yazılımlar içerebildiğine yönelik risklerin farkında olmayan pek çok çalışan bulunuyor. Çalışanların kendi USB belleklerini iş amaçlı kullanmasına izin vermemek en iyisi olsa da, bunları nasıl güvenli kullanacakları öğretilerek gözlem altında izin verilebilir.

3. Tüm Çalışanların USB Bellek Kullanmasına İzin Vermek

Çalışanların nadiren USB bellek kullandığı ya da bu cihazlardan kaynaklanan bir siber güvenlik probleminin hiç yaşanmadığı şirketlerde USB’lere izin verilebilir ancak doğru önlemler alınmadığı takdirde USB’lerden kaynaklanan veri sızıntısı vakaları herhangi bir şirkette her an yaşanabilir. Bu nedenle liberal bir USB politikası ancak bu cihazların en güvenli şekilde nasıl kullanılabileceğine dair kullanıcı koçluğu ile beraber denenebilir. Kullanıcı ve veri güvenliği takip araçları ile detaylı araştırma ve gerçek zamanlı alarm kapasiteleri kazanarak potansiyel iç tehditleri fark etmede öne geçiliyor.

“Çalışanlarınızı İyi Tanıyın”

Şirket yöneticilerinin seçtiği USB politikası kadar çalışanlarına onların hem güvenli hem üretken olmasını sağlayacak doğru araçlar yaratmasının da önemli olduğunu belirten Komtera Teknoloji güvenlik uzmanları, çalışanlarla düzenli olarak konuşarak bu konuda sorular sorulmasını öneriyor. Komtera Teknoloji güvenlik uzmanları, çalışanların siber güvenlik kuralları hakkında ne düşündüklerini ve hangi araçlara ihtiyaç duyduklarını öğrenmek gibi amaçlarla yapılacak konuşmalar dışında düzenli güvenlik eğitimleri vermenin de sağlıklı bir siber güvenlik kültürü ile bilincinin oluşmasında önemli rol oynadığını vurguluyor.

Siber Korsanların 13 Milyon Euro Ele Geçirmeye Çalıştığı Banka Operasyonları Durduruldu

Sahip oldukları verilerin hem geniş kapsamlı hem de değerli olması nedeniyle finans sektörü, hackerler için en ilgi çekici sektörlerden biri olmaya devam ediyor. Dünyada 500 milyondan fazla kullanıcıyı koruyan Bitdefender Antivirüs, hackerlerin son kurbanı olan Malta merkezli Valletta Bankası’nın 13 milyon euroluk transfer girişimi saldırısından sonra yatırım işlemlerine ara vermek zorunda kalmasının Türkiye’deki bankalar ve diğer finans şirketleri için bir alarm niteliği taşıdığını belirterek uyarıyor.

Veri güvenliğinin oldukça önemli olduğu finans sektörü, siber dolandırıcılık, oltalama saldırıları, bankacılık trojanları gibi pek çok tehditle karşı karşıya kalıyor. Siber suçlular yıllardır bankaların peşinde olsa da, bu durum geçtiğimiz birkaç yıl içerisinde daha da popülarite kazanmış durumda. Hackerlerin geçtiğimiz günlerde 13 milyon euroluk uluslararası bir transfer girişiminde bulunması ile gündeme gelen Malta merkezli Valletta Bankası’nda yaşanan siber güvenlik vakasının Türkiye’deki bankaların ve finans kurumlarının da başına gelebileceğini belirten Bitdefender Antivirüs, finans sektöründeki şirketleri uyararak daha fazla önlem almaya çağırıyor.

13 Milyon Euroyu 4 Ülkeye Kaçırmaya Çalıştılar!

Times of Malta gazetesinin haberine göre hackerler geçtiğimiz günlerde Valletta Bankası’ndan toplam 13 milyon euro ele geçirerek İngiltere, Amerika, Çekya ve Hong Kong’a para transferi gerçekleştirmeyi denedi. Korku yaratan girişimin başarısız olduğu belirtilmesine rağmen banka herhangi bir riske karşı ATM’ler, mobil bankacılık ve e-mail servisleri dahil olmak üzere ülke genelindeki tüm işlemlere ara verirken ne olduğunu anlamayan müşteriler, oldukça endişelendi.

Mobil uygulama üzerinden yapılan saldırının ardından banka, soruşturma başlatmak adına hem yerel hem de uluslararası yasa uygulayıcılarına başvurdu. Konuyla ilgili konuşan Malta Başbakanı Joseph Muscat, dolandırıcılık girişiminin 30 dakika içerisinde engellenerek para akışına izin verilmediğini belirtti. Ancak hem bankanın hem de başbakanın hiçbir kullanıcı hesabı ve fonunun etkilenmediği konusunda garanti vermesine rağmen, müşteriler kişisel verilerinin ele geçirildiğine yönelik endişeler duymaya devam ediyor. Bankanın duyurusuna göre kullanıcılar artık bankanın verdiği ATM, internet bankacılığı ve mobil bankacılık hizmetlerinden faydalanabiliyor.

Finans Şirketlerinin %31’inin Siber Güvenlik Ekibi Yetersiz!

Finans sektöründeki güvenlik uzmanları, tehditlerin fazlalığına karşı kabiliyetleri yeterli olmayan çalışanlar, zaman ve bütçe eksikliği gibi sebeplerle şirketlerinin güvenlik seviyesini istenilen noktaya çıkarmayı başaramıyor.EY şirketinin bir anketine göre finansal hizmetler sektöründeki şirketlerin güvenlik ekiplerinin %31’i, kurumlarının ihtiyaçlarını kabiliyet eksikliği nedeniyle karşılayamıyor. Bu sorunlar, özellikle bankalarda güvenlik zafiyetleri oluşturarak verilerinin ve IT altyapılarının üçüncü partilerden kaynaklanan problemlere karşı güçlü olamamalarına yol açıyor.

Türkiye’deki Bankalar Da Benzer Saldırıların Hedefi Olabilir

Siber saldırılar, finans şirketlerinde yıkıcı ve uzun vadeli mali sonuçlar doğurabilir. Türkiye’deki bankaların da benzer bir durum yaşamasının oldukça olası gözüktüğünü belirten global güvenlik yazılımları şirketi Bitdefender Antivirüs, Türkiye’deki finans şirketlerini siber saldırganların kurbanı olmamaları için uyarıyor ve önemli tavsiyelerde bulunuyor.

• Dijital varlıklarınızın envanterini ve bulunduğu yeri temiz tutun, böylece siber suçlular sizin haberiniz olmadan sisteminize saldıramaz.

• İşletim sisteminiz ve uygulamalarınız dahil bütün yazılımları güncelleyin.

• Personellerin cihazlarındaki bilgiler dahil, bütün verileri her gün yedekleyin. Böylece eğer saldırıya uğrarsanız, şifrelenen verileri geri yükleyebilirsiniz. Önemli verileri mutlaka bilgisayarınıza ve ağınıza bağlantısı olmayan güvenli bir ortamda da yedekleyin.

• Bütün verileri şirketinizin ortak dosya paylaşım ağına koymayın. Paylaşım ağınızı bölümleyin.

• Şirket çalışanlarını siber güvenlik hakkında bilgilendirin. Bilinmeyen kaynaklardan gelen e-posta eklerini ve linkleri açmamaları konusunda onları uyarın. Unutmayın ki, bir şirket ancak en zayıf halkası kadar güvendedir.

• Eğer bir virüs şirket ağına erişirse, çalışanları bilgilendirecek bir iletişim stratejisi geliştirin.

• Herhangi bir saldırı olmadan önce, olması durumunda ne yapacağınızı yönetim kurulu ile kararlaştırın.

• Belirli cihaz ya da uygulamaların, satıcılarıyla iletişime geçip, yaşam döngülerinde siber güvenliklerini tekrar gözden geçirerek tehdit analizi uygulaması yapın.

• Bilgi güvenliği ekibine penetrasyon testi uygulamaları ve bir güvenlik açığı varsa bulmaları için talimat verin.

• Tüm cihazlarınız için zararlı yazılımları, kimlik avı ve saldırı girişimlerini tespit edip engelleyecek akıllı bir güvenlik çözümü edinin.

Yetişkin İçerikli Sitelerde Bilgilerini Çaldıranların Sayısı %100 Arttı

Yetişkinlere yönelik popüler websitelerinin özel erişim bilgilerini çalan zararlı yazılımların saldırısına uğrayan kullanıcıların sayısı bir yılda iki kattan fazla arttı. 2017’de bu tür zararlı yazılımlardan yaklaşık 50.000 kullanıcı etkilenmişken 2018’de bu sayı 110.000’e çıktı. Toplamda 850.000’den fazla saldırı tespit edildi. Dark Web piyasalarında çalıntı kimlik bilgisi satışları ve saldırı düzenleyen zararlı yazılım ailesi sayısı da artış gösterdi. Kaspersky Lab, yetişkinlere yönelik websitelerini kullananların 2018’de karşılaştıkları tehditleri ele aldığı raporda bunların yanı sıra başka bulgulara da yer verdi.

Yetişkinlere yönelik içerikler kurbanları zararlı bir websitesine yönlendirmek ve dolandırmak için iyi bir tuzak olarak kullanılsa da içeriğin kendisinin de değerli olabileceği daha önceleri düşünülmüyordu. Ancak yeni hazırlanan rapor, yetişkinlere yönelik sitelerde özel içeriklere erişebilen özel hesapların dolandırıcıların ilgisini çekmeye başladığını gösteriyor.

Yetişkinlere yönelik içeriklere sahip bir websitesindeki özel hesabın kimlik bilgilerini çalmak isteyen siber suçlular bunu botnet’ler ile zararlı yazılım dağıtarak yapıyor. Zararlı yazılım bulaşmış cihazlardan oluşan bu zincir, siber suçlunun amacına yönelik ek zararlı yazılımlar indirebiliyor. Kimlik bilgisi çalan botnet’ler genellikle, yetişkinlere yönelik websitelerini kullananlara saldırmak için yeniden programlanan bilindik bankacılık Truva atlarından oluşuyor. Veri trafiğini kesip kurbanları ziyaret etmek istediği websitesi gibi görünen sahte sayfalara yönlendiren bu yazılımlar, özel hesaba giriş yapmak için kullanılan bilgileri çalıyor. Siber suçlular arasında giderek daha popüler hale gelen bu yaklaşım genellikle kullanıcıların kişisel bilgilerinin açığa çıkmasına ve kullanılmasına neden oluyor. Ayrıca bazı kurbanlar yıllık 150 ABD doları verdikleri hesaplarına erişemez hale gelebiliyor.

Kaspersky Lab araştırmacıları, saldırıya uğrayan kullanıcıların artmasının yanı sıra bu zararlı yazılımların da çeşitlendiğini belirtiyor. Bu programlar tarafından yetişkinlere yönelik sitelerle alakalı düzenlenen saldırıların sayısı 2017’de 307.868’ken, 2018’de yaklaşık üç kat artarak 850.000’e ulaştı. Böyle bir artış, yetişkinlere yönelik sitelere giriş bilgilerini çalmak için botnet’ler tarafından dağıtılan zararlı yazılım ailelerinin sayısında da artış olduğunu gösteriyor. Kaspersky Lab uzmanları 2018’de bu tür saldırılar için 22 farklı bot tarafından dağıtılan beş bankacılık Truva atı ailesi tespit etti: Betabot, Gozi, Panda (popüler e-ticaret markalarını da hedef aldığı biliniyor), Jimy ve Ramnit. Gozi, Jimy ve Ramnit yetişkinlere yönelik sitelere giriş saldırılarında yeni kullanılmaya başlandı. 2017’de ise 27 farklı bot yalnızca üç zararlı yazılım ailesi dağıtıyordu. Bunlar Betabot, Neverquest ve Panda’ydı.

Saldırıların yoğunlaşmasının ardından Dark Web piyasalarında satışa çıkan çalıntı kimlik bilgilerinin sayısı da arttı. 2017’de yetişkinlere yönelik içerikli sitelere özel erişim sağlayan kimlik bilgisi teklifleri 5000 adet civarındayken 2018’de bu sayı iki katına çıkarak 10.000’i aştı. Ancak bunlar için talep edilen ücret, tek hesap için 5-10 ABD doları seviyesinde kaldı.

Kaspersky Lab Güvenlik Araştırmacısı Oleg Kupreev, “Yetişkinlere yönelik sitelere özel erişim bilgileri çalmaya değer gibi görünmeyebilir. Ancak Dark Web piyasalarında bu bilgilerin satışları artıyor ve bu tür zararlı yazılımların dağıtılması için daha fazla çaba harcanması bunun kârlı ve popüler bir iş haline geldiğini gösteriyor. Yetişkinlere yönelik içeriklere sahip web sitelerini kullananlar, bu tür zararlı yazılımların cihazlarında uzun süre fark edilmeden kalarak onları gizlice izleyebileceğini ve başkalarının da izlemesini sağlayabileceğini aklından çıkarmamalı. İlgili sitelerdeki hesaptan çıkış yapmayan bu yazılımlar hiç şüphe çekmeden çalışmaya devam edebiliyor. Özel hesaba sahip olmayan ziyaretçiler bile özel verilerini kaptırma riskiyle karşı karşıya.” dedi.

Bu trendin yanı sıra, Kaspersky Lab araştırmacıları ücretsiz içeriğe sahip en büyük yetişkinlere yönelik sitelerden birinin görünümünü alan kimlik avı sayfası üzerinden 2018’in dördüncü çeyreğinde düzenlenen saldırıların sayısının 2017’nin dördüncü çeyreğine göre 10 kat arttığını belirledi.

Kullanıcılar, yetişkinlere yönelik içeriğe sahip popüler siteler gibi görünen web sayfalarını toplamda 38.305 kez ziyaret etmeye çalıştı. Erişilen kimlik avı sayfalarının başında Pornhub adlı siteye benzeyen sayfa geliyor. Kullanıcılar bu websitesinin kimlik avı amaçlı sahte sürümüne 37.144 kez girmeye çalıştı. Youporn, Xhamster ve Xvideos için hazırlanan sahte sayfalara ise toplam 1161 kez erişilmeye çalışıldı.

Raporda yer alan diğer bulgular arasında şunlar yer alıyor:

İnternette yetişkinlere yönelik içerikleri aramak daha güvenli hale geldi: 2018’de 650.000 kullanıcı internet kaynaklı saldırıların hedefi oldu. Bu sayı, 2017’deki bir milyon saldırıdan %36 daha düşük.
Siber suçlular arama sonuçlarında zararlı yazılımları öne çıkarmak için popüler porno etiketlerini (Pornstar veya HD-porn gibi) etkin bir şekilde kullanıyor. 2018’de toplam 87.227 tekil kullanıcı bu tür zararlı yazılımlarla karşılaştı.
Yetişkin içeriği temalı zararlı yazılım örnekleri çok çeşitli olabiliyor. 642 zararlı yazılım ailesi ve 57 tür PC tehdidi bulunuyor.
Android cihazlarda yetişkin içeriği gibi görünen zararlı dosyaların %89’unun reklam yazılımı olduğu ortaya çıktı.

Kaspersky Lab, zararlı yazılım bulaşması riskini azaltmak için kullanıcılara şunlar tavsiye ediliyor:

Websitelerinin gerçek olup olmadığına daha fazla dikkat edin. Gerçek olduğundan emin olmadığınız ve ‘https’ ile başlamayan websitelerini ziyaret etmeyin. Özellikle kimlik bilgileri istendiğinde buna dikkat edin.

Özel hesabı etkinleştirmek ve aboneliği uzatmak için, kısıtlı limite sahip ayrı bir banka kartı kullanın. Bu şekilde, banka bilgileriniz çalınırsa finansal kayıptan kurtulabilirsiniz.

Bankacılık Truva atları da dahil birçok farklı tehdide karşı kapsamlı koruma sağlayan, Kaspersky Security Cloud ve Kaspersky Internet Security gibi güvenilir güvenlik çözümleri kullanın.

Farklı websiteleri veya hizmetler için aynı parolayı kesinlikle kullanmayın. Hatırlamak için zorlanmadan, güçlü ve ele geçirilemeyen parolalar oluşturmak için Kaspersky Password Manager gibi bir parola yöneticisi kullanın.

Şirketler ayrıca kurumsal politikalarına uymayan porno içerikli websiteleri gibi sitelere erişimi, Kaspersky Endpoint Security for Business gibi uç nokta çözümleriyle kısıtlayabilir. Spam e-posta ve kimlik avı korumasına ek olarak, bu çözümlerde uygulama ve web denetimleri, zararlı veya kimlik avı amaçlı adresleri tespit edip engelleyen tehdit koruması da bulunmalıdır.

Raporun tamamını Securelist.com adresinde okuyabilirsiniz.

Siber Suçlular 2018’de Basit Ddos Operasyonlarından Vazgeçti

Kötü niyetli rakipler ve internette başkalarına zarar vermek isteyenlerin en kolay erişebildiği saldırı türü, düşük maliyetli kiralık DDoS saldırıları oluyor. Hangi büyüklükte veya sektörde olursa olsun tüm şirketler bu tehditle karşılaşabiliyor. Kullanıcılar ve müşteriler şirketin internet üzerindeki kaynaklarına erişemediğinde bu durum gelir ve itibar kaybına yol açıyor. DDoS saldırı sayısı 2018’de azalmış olsa da saldırıların etkinliği azalmadığından henüz sevinmeyi gerektiren bir durum yok. Kaspersky Lab araştırmacılarına göre, kendisini basit DDoS saldırılarına karşı koruyacak çözümler kullanan kurum sayısı arttığından, saldırganlar 2019’da standart koruma önlemlerini aşmak ve bu tür tehditleri bir üst seviyeye taşımak için kendilerini geliştirecek.

Saldırı sayısı azalsa da Kaspersky Lab uzmanlarına göre ortalama saldırı süresinde artış var. Yıl başına kıyasla, saldırıların ortalama süresi iki kattan fazla arttı. 1. çeyrekte ortalama süre 95 dakikayken 4. çeyrekte bu süre 218 dakikaya ulaştı. 2018’de saldırıların neredeyse yarısını (%48) oluşturan UDP flood saldırılarının (saldırganların çok sayıda UDP paketi göndererek hedefin sunucu portlarını meşgul ederek müşterilerin erişmesini engellediği saldırılar) çok kısa sürdüğü ve 5 dakikayı nadiren aştığı gözlendi.

Kaspersky Lab uzmanlarına göre UDP flood saldırılarının süresindeki bu düşüş, kolay gerçekleştirilen saldırılara ilginin azaldığını gösteriyor. Bu tür DDoS saldırılarında karşı koruma yöntemleri çok yaygın kullanılıyor, böylece çok vaka etki yaratmadan yok oluyor. Araştırmacılar, saldırganların UDP flood saldırıları düzenleyerek hedefin korunup korunmadığını kontrol ettiğini düşünüyor. Denemelerin başarısız olduğu anlaşıldığında saldırı kesiliyor.

Aynı zamanda, HTTP istismarı gibi daha fazla zaman ve para gerektiren, daha karmaşık saldırılar daha uzun sürebiliyor. HTTP flood yöntemi ve HTTP bileşeniyle karışık saldırılar, payları az olsa da (sırasıyla %17 ve %14) tüm yıl boyunca düzenlenen DDoS saldırıların toplam süresinin %80’ini oluşturuyorlar.

Kaspersky DDoS Koruma Ekibi İş Geliştirme Müdürü Alexey Kiselev, “Basit DDoS saldırıları hedefine ulaşmadığında bu yolla para kazananların önünde iki seçenek oluyor. DDoS saldırılar için gereken kapasiteleri kripto madencilik gibi başka gelir kaynaklarına ayırmayı tercih edebilirler. Buna alternatif olarak, DDoS saldırısı düzenleyenler teknik becerilerini artırmak zorunda kalabilir çünkü müşterileri daha tecrübeli saldırganlar aramaya başlayacak. Tüm bunlar göz önünde bulundurulduğunda DDoS saldırılarının 2019’da gelişeceğini, şirketlerin bunları tespit etmek ve korumakta zorlanacağını söyleyebiliriz.” dedi.

Son çeyrekte elde edilen bulgulara göre, 4. çeyrekte en uzun süren DDoS saldırısı 329 saat (neredeyse 14 gün) sürdü. Bu uzunlukta bir saldırı en son 2015 sonunda kaydedilmişti.

En çok DDoS saldırısı düzenleyen ilk üç ülke değişmedi. Çin birinciliği korumasına rağmen %77,67’den %50,43’e geriledi. ABD ikinci sırada yer almaya devam ediyor. Üçüncülükte ise yine Avustralya var.

Hedef dağılımında ise Çin yine ilk sırada fakat oranı %43,26’ya düştü (3. çeyrekte %70,58’di).

çeyrekte en fazla komut ve kontrol sunucusuna ev sahipliği yapan ülkelerin sıralamasında değişiklikler görüldü. ABD bir önceki çeyrekte olduğu gibi ilk sırada yer alırken, İngiltere ve Hollanda ikincilik ve üçüncülüğü Rusya ve Yunanistan’dan aldı. Bunun, belirtilen ülkelerdeki etkin C&C Mirai sunucularının önemli ölçüde artması nedeniyle yaşandığı düşünülüyor.

Kaspersky Lab DDoS saldırılarından korunmak isteyen kurumlara şunları öneriyor:

Çalışanlarınıza bu gibi durumlarda nasıl davranılması gerektiğine dair eğitim verin.
Şirketinizin web sitelerinin ve web uygulamalarının yoğun trafikle baş edebileceğinden emin olun.
Saldırılardan korunmak için profesyonel güvenlik çözümleri kullanın.

Kullanım Kolaylığı Ve Bilgi Güvenliği İhtiyacı Arasında Denge Kurulmalı

Çoğu kullanıcı deneyimi projesinde, kullanımı artırmak, sadakat yaratmak, fonksiyonları bir araya toplamak, yapay zeka ile öğrenmek ve geliştirmek gibi parametreler temel alınsa da güvenlik göz ardı ediliyor. Bilişim güvenliği alanındaki dağıtım ve çözümleriyle pazarda lider konumda bulunan Komtera Teknoloji’nin Genel Müdür Yardımcısı Ziya Gökalp, kullanıcı deneyimi odaklı uygulamalarda kolay kullanım ve tasarım cazibesi özelliklerinin siber güvenlik ile entegre edilmesi gerektiğini belirtiyor.

Temel olarak kullanıcının bir ürün, sistem, uygulama veya hizmeti kullanma alışkanlıklarını, kullanım tutum ve davranışlarını inceleyen kullanıcı deneyimi, aynı zamanda insan ve bilgisayar arasındaki etkileşimin ve ürün sahipliğinin pratik, deneysel, davranışsal ve duygusal boyutlarını ele alan, değerli yönleri de açığa çıkararak organizasyonlara geri bildirim sağlayan konsept olarak tanımlanıyor. Müşterinin ihtiyaçlarını temel almakla beraber mühendislik, yapay zeka, pazarlama, grafik, endüstriyel ve arayüz tasarımı gibi birden fazla disiplini baz alarak ürün ve hizmet geliştirmenin örnek bir kullanıcı deneyimi için ilk gereksinim olduğunu dile getiren Komtera Teknoloji Genel Müdür Yardımcısı Ziya Gökalp, kullanıcı için kullanım deneyimini eğlenceli, basit ve fonksiyonel hale getirmenin kalite, fark ve sadakat yarattığının altını çiziyor.

Çoğu Kullanıcı Deneyimi Projesinde Güvenlik Göz Ardı Ediliyor

Çoğu kullanıcı deneyimi projesinde (UX), kullanıcılara kolay kullanım sunmak, tasarım ve estetik ile cazibe yaratmak, kullanımı artırmak, sadakat yaratmak, fonksiyonları bir araya toplamak, yapay zeka ile öğrenmek ve geliştirmek gibi parametreler temel alınsa da güvenlik göz ardı ediliyor. Güvenlik unsurunun göz önünde bulundurulduğu projelerde ürün veya hizmetin kullanımını kolaylaştırmak pek mümkün olmuyor. Kullanım kolaylığı sağlamak hedefli geliştirilen çoğu uygulama da, maalesef güvenlik açısından zafiyet ve risk barındırıyor. Günümüzde genel olarak organizasyonların uygulama geliştirirken güvenlik veya kolaylık özelliklerinden birini tercih etmek durumunda kaldıklarını dile getiren Ziya Gökalp, olması gerekenin UX fonksiyonları ile bilgi güvenliği ihtiyacı arasında denge kurabilmek olduğunu belirtiyor.

Salt kullanım kolaylığı ön planda tutulan pazarlama odaklı projeler kısa vadede kazanım yaratıyor gibi görünse de uzun vadede risk ve zafiyet unsuru içermesi nedeni ile veri kayıplarına, finansal ve ticari kaynakların çalınmasına, kişisel verilerin ifşasına sebebiyet veriyor. Bu durumdaki organizasyonlar veri kayıpları yaşarken müşteri kaybı nedeni ile oluşan finansal kayıplarla da yüzleşmek zorunda kalıyor.

Kullanıcılar Kişisel Veri Talep Eden Uygulamalara Daha Bilinçli Yaklaşıyor

Giderek yükselen kullanıcı bilinci günümüzün önemli konularından biri haline geliyor. Kullanıcılar, kullanımı kolay ve görsel tasarımı çekici uygulamalara rağbet gösterseler de, özellikle kişisel veri talep eden uygulamalara daha bilinçli yaklaşıyor ve güvenli olup olmadıklarını sorguluyor. Gökalp, “Yeni nesil UX projelerinde işlevsellik ve tasarım mimarisi korunurken aynı zamanda güvenlik denetimleri entegre edilmeli ve uygulama içindeki kullanıcıya ait kişisel davranışlar analiz edilerek güvenlik fonksiyonu olarak kullanılmalıdır. Bunu sağlayacak altyapı da ancak yapay zeka, makina öğrenimi ve güvenlik çözümlerinin entegrasyonu ile mümkün olabilir.” ifadelerinde bulunuyor.

UX uygulamasına ait kodların analiz edilmesi ve zafiyetlerin sürekli olarak giderilmesi, kullanıcı şifresi veya parola bilgisi yerine iki faktör doğrulama çözümleri veya biometrik doğrulama yöntemlerinin kullanılması, uygulamanın çalıştığı işletim sistemi üzerinden gelebilecek saldırıların RASP teknolojileri kullanılarak durdurulması, hem UX açısından kullanım kolaylığı hem de güvenlik açısından risk yönetimi sağlıyor. Ancak bu şekilde UX tasarımı, kullanım kolaylığı ve fonksiyonları ile bilgi güvenliği ihtiyacı arasında denge kurmak mümkün oluyor.

Çocukları İnternetteki Tehlikelerden Koruyun

Çocuklarının internetteki güvenliği için ebeveynlerin doğru adımlar atmasına yardımcı olmayı amaçlayan bağımsız yazılım denetçisi AV-TEST, çocukları çevrimiçi olduklarında korumak için özel olarak tasarlanan bir dizi çözümü değerlendirdi. Değerlendirmenin sonunda Kaspersky Safe Kids üç ONAY sertifikası aldı.

Küçük çocuklar internette daha fazla vakit geçirmeye başladıkça ebeveynler de onları çeşitli tehlikeler ve siber tehditlerden korumakla uğraşır hale geldi. Bu tehlikeler arasında uygunsuz içeriklere erişmek, siber zorbalıkla karşılaşmak veya özel verilerin habersiz paylaşımı gibi şeyler bulunuyor. Altı ila dokuz yaşlarındaki çocukların yarısından fazlası her gün internete giriyor. Türkiye’de ebeveynlerin %39’u çocuklarının internette ne yaptığını kontrol edemediğini düşünüyor. İşletim sistemleri yalnızca basit koruma araçları sunduğundan, ebeveynler çocuklarını gelişen ve büyüyen internet tehditlerine karşı korumak için daha iyi önlemler almak zorunda.

Piyasadaki en iyi çocuk koruma çözümlerinden biri olan Kaspersky Safe Kids; Windows, iOS ve Android işletim sistemlerindeki performansıyla bu üç sertifikayı almaya hak kazandı. AV-TEST; Windows 10 ve MacOS işletim sistemleri için geliştirilen 11 adet ebeveyn kontrolü aracı ile Android, iOS ve FireOS’teki 11 ebeveyn kontrolü uygulamasını değerlendirdi. Kaspersky Lab, sertifikaları bu değerlendirme sonucunda aldı.

Yapılan testlerde, üçüncü taraf çocuk güvenliği uygulamaları ve işletim sistemine dahil olan güvenlik araçlarının gençleri internette korumak için sunduğu filtreler ve ayarlar değerlendirildi. Bunlar arasında, siber zorbalığa karşı koruma, yetişkinlere yönelik içeriklere erişim kontrolü, özel verilerin aktarılmasına yönelik denetim, dijital cihazlarda geçirilen sürenin kontrol edilmesi, çevrimiçi para tuzaklarına karşı koruma, çocukların internet üzerinde kandırılmasına karşı koruma ve gizliliğin korunması yer aldı.

Günümüzde ebeveynler çocuklarını zararlı içerikler gibi tehditlere karşı korumakta zorlanıyor. Bu nedenle kapsamlı yazılımlara ihtiyaç duyuyorlar. Tam da bu amaçla geliştirilen Kaspersky Safe Kids masaüstü sürümü, rakiplerine ve işletim sistemindeki dahili araçlara kıyasla, çocukları zararlı web sitelerinden koruma konusunda çok daha etkili bulundu. Etkili bir filtreye sahip olan Kaspersky Safe Kids, yapılan testte 10 içerik kategorisinden yedisinde yetişkinlere yönelik materyalleri engelledi. Pornografi veya kumar siteleri gibi bilinen içerik türlerinin yanı sıra Kaspersky Safe Kids genellikle göz ardı edilen içerikleri de engelliyor ve ebeveynlerin içini rahat ettiriyor. Göz ardı edilen fakat Kaspersky Safe Kids tarafından engellenebilen içerikler arasında yasa dışı veri ve dosya paylaşımı, silah, mühimmat ve şiddet içeriklerine sahip siteler yer alıyor.

Testte ayrıca, Kaspersky Safe Kids uygulaması ve masaüstü sürümünün yalnızca daha fazla yasaklı siteyi engellemekle kalmayıp çocukları işletim sistemindeki dahili araçların yapabildiğinden daha çok güvenlik tehdidine karşı koruduğu da belirlendi. Bu tehditler arasında gizli veri aktarımı ve çevrim içi para tuzaklarına karşı koruma yer alıyor. Kaspersky Safe Kids masaüstü sürümü, çocukların internetteki bazı kişiler tarafından kandırılıp kötü emellere alet edilmesine karşı koruma konusunda onay sertifikası alan tek çözüm oldu. Yapılan bazı araştırmalara göre internette çocukları 45 dakikada kandırmanın mümkün olduğu dikkate alındığında, bu özellik ebeveynler için büyük önem taşıyor.

Kaspersky Lab Tehdit Araştırmalarından Sorumlu Başkan Yardımcısı Timur Biyachuev konu hakkında şunları söyledi: “Kaspersky Safe Kids uygulamamızın AV-TEST’in onayını almasından mutluluk duyuyoruz. Bu sertifikalar, çocukları internette karşılaşabilecekleri tehditler ve durumlardan koruma kararlılığımızı güçlendiriyor. Bu tür bağımsız değerlendirmeler, tüketicilerin hangi güvenlik ürünlerine güvenebileceğini göstermesi açısından büyük önem taşıyor.”

Dijital Dönüşüm Projelerinde Siber Güvenliğe Dikkat

Organizasyonlar, dijital dönüşümü sürdürdükçe ve yeni teknolojiler ile desteklenen iş süreçleri ile bilgi ağları arası entegrasyonu benimsedikçe güvenlik sorunları artıyor. Bilişim güvenliği alanındaki dağıtım ve çözümleriyle pazarda lider konumda bulunan Komtera Teknoloji’nin Genel Müdür Yardımcısı Ziya Gökalp,bu nedenle dijital dönüşüm projelerini siber güvenlik odaklı gerçekleştirmenin kaçınılmaz bir hal aldığının altını çiziyor.

Organizasyonların daha iyi sonuç elde etmesi için iş modellerini ve iş süreçlerini mikro düzeyde ele alan, aynı zamanda işletmelerin daha inovatif, etkin, verimli sürdürülebilir, hızlı ve büyüme odaklı olabilmeleri üzerine tasarlanan dijital dönüşüm projeleri, veri sınıflandırma, veri odaklı karar verme, otomasyon, yapay zeka, bulut bilişim, mobil uygulama destekli alt yapı, doküman yönetimi, elektronik süreç yönetimi, nesnelerin interneti gibi süreçleri de ele alıyor. Komtera Teknoloji Genel Müdür Yardımcızı Ziya Gökalp, etkili bir dijital dönüşüm sağlayabilmenin ancak iş ortaklarının, tedarikçilerin, müşterilerin ve diğer paydaşların içine alındığı, hatta birimler arasında ortak çalışmanın ve çabanın sarf edildiği projeler ile mümkün olacağını dile getiriyor.

Dijital Dönüşüm Projeleri Siber Güvenlik Odaklı Gerçekleştirilmeli

Dijital dönüşümü sağlarken veri odaklı karar verme süreçlerinin yönetileceği iş ve bilgi sistemlerinin, uygulamaların veya otomasyonların birbirleriyle entegre edilmesi yeni güvenlik sorunlarını ve zafiyetleri beraberinde getiriyor. Gökalp, “Organizasyonların, tedarikçilerin ve iş ortaklarının IT sistemlerinin birbirleriyle entegre olması, bulut bilişim sistemlerinin kullanılması ve müşterilerin gerçek zamanlı olarak sistemlere bir mobil uygulama kullanarak erişim yapması, bağımsız kurumsal ağların etkileşimine yol açıyor ve ağlardan birine sızılması durumunda saldırganlar etkileşim içinde olan tüm ağlara erişilebiliyor.” ifadelerinde bulunuyor.

Paydaşlardan birine ait ağa sızan bir saldırgan, çok biçimli polimorfik bir sofistike atak ile geleneksel güvenlik sistemleri tarafından tespit edilmekten kaçınabilen, değişebilen ve uyarlanabilen bir malware virüsünü diğer paydaş ağlara da yayabiliyor. Komtera Teknoloji Genel Müdür Yardımcısı Ziya Gökalp, paydaşların farklı yazılım geliştirme metodolojileri ile ürettiği uygulamalar, statik kod zafiyet analizine tabi tutulmuyorsa, kod tabanlı açıklardan doğan saldırılara maruz kalmalarının kaçınılmaz olacağını belirtiyor. Görünürlüğü yoksun kılan, birbirleriyle iyi entegre olamayan, bilgi zafiyetleri konusunda birbirleriyle istihbarat paylaşımı yapamayan, riskleri ve atakları önleme konusunda entegre politika uygulayamayan paydaşlara ait farklı bilgi güvenlik sistemlerini aşan saldırganlar, sistemlere erişerek veri hırsızlığı yapabiliyor.

IoT ve Bulut Teknolojilerine Yönelik Saldırılar Artıyor

Bir başka ifade ile organizasyonlar dijital dönüşümü sürdürdükçe ve yeni teknolojiler ile desteklenen iş süreçleri ve bilgi ağları arası entegrasyonu benimsedikçe güvenlik sorunları artıyor. Özellikle IoT teknolojilerinin ve çoklu bulut ortamlarının hızlı bir şekilde benimsenmesi ve kullanıma alınmasının, küresel ölçüde saldırı oranlarını ve ağa sızmaları artırdığını vurgulayan Gökalp, bu nedenle dijital dönüşüm projelerini siber güvenlik odaklı gerçekleştirmenin kaçınılmaz bir hal aldığının altını çiziyor. Dijital dönüşümün etkileşimde bulunduğu tüm paydaşlara ait sistemleri, uygulamaları, ağları entegre ederken yine paydaşlara ait siber güvenlik altyapılarının da entegre edilmesi, izlenmesi, kontrol edilmesi, denetlenmesi ve ortak bilgi güvenlik politikaları ile yönetilmesi gerekiyor.

Bu sürecin sağlıklı yönetilebilmesi, çoğu zaman dijital dönüşüm projelerinde ortak bir siber güvenlik birimi kurulmasını gerektiriyor. Kurulan birimin, farklı ağlardaki sisteme ait davranışları ve veri akışını mikro düzeyde analiz etmesini, saldırı tespiti ve veri kaybı önleme konusunda senkronize sistemler kullanmasını, gerçek zamanlı risk değerleme ve zafiyet yönetimi yapmasını zorunlu kılıyor.

Usb Bellekteki Verileri Korumanın 7 Yolu

Günümüzde depolama aracı olarak sık kullanılan USB belleklerde çeşitli nedenlerle yaşanan veri kayıpları, kullanıcılar için büyük problemler yaratıyor. Veri Kurtarma Hizmetleri Genel Müdürü Serap Günal, USB belleklerdeki verileri güvende tutacak 7 öneride bulunuyor.

En sık kullanılan depolama aygıtlarından USB belleklerin yanlış kullanımı, veri kayıplarına yol açarak önemli dosyaların riske atılmasına neden olabiliyor. USB belleği bilgisayardan aniden çekip çıkartmak, içinde bulunan dosyaları yanlışlıkla silmek, belleği virüs bulunan bir bilgisayarda kullanarak işlevsiz hale getirmek, yetkisiz bir kişinin müdahalesiyle veri kaybetmek gibi problemlerin USB belleklerde veri kaybı yarattığını belirten Veri Kurtarma Hizmetleri Genel Müdürü Serap Günal, kullanıcıların veri kaybı yaşamasını önleyecek 7 öneriyi paylaşıyor.

1. Bilgisayardan çıkartırken “güvenli çıkart” komutunu kullanın. USB belleklerle ilgili yapılan en yaygın hata, işlem bittiğinde bilgisayardan hemen çekip çıkartılmaları oluyor. Ancak bu alışkanlık, henüz aktarılamamış bilgilerin kaybına yol açabiliyor. Bu durumu önlemek için usb belleklerin, “çıkart” komutu tamamlanınca çıkartılması gerekiyor.

2. Kullanıcı izinlerini düzenleyin. USB belleklere ve içindeki verilere yetkisiz kişilerin ulaşması ihtimaline karşılık kullanıcı izinlerinin sınırlandırılması cihaz güvenliğini artırıyor. Ekrandan disk kısmına sağ tıklamanın ardından “güvenlik” ve “düzelt” seçeneklerine ulaşarak yapılabilen bu ayarlamayla erişim izninin herkese tanınmasının önüne geçiliyor.

3. Virüs kontrolü yapın. USB belleklerin, güvenliğinden emin olunmayan bilgisayarlara takılması veri kayıplarına adeta davetiye çıkarıyor. Böyle bir problemle yüzleşmemek için bilgisayarların güncel antivirüs programlarıyla desteklenmesine ihtiyaç duyuluyor.

4. Ortak alanlarda bulunan bilgisayarları kullanırken daha çok dikkat edin. Çoğu kullanıcı, acil ihtiyaç anlarında USB belleği herhangi bir bilgisayara takarak işlem yapmaktan çekinmiyor. Ancak özellikle internet cafe, otel, kütüphane gibi ortak alanlarda bulunan bilgisayarlarda USB bellek kullanımı, verileri risk altında bırakıyor. Bilgisayardaki bir virüs ya da güvenli olmayan herhangi bir kaynaktan indirilmiş bir dosya veya program, USB diskteki verileri bozabiliyor.

5. Rutin olarak tarayın. USB belleklerde düzenli olarak yapılacak veri taraması, veri kaybının yaşanmaması için oldukça önem taşıyor. Ayrıca USB diskinizde bulunan tüm dosyaları silmek istiyorsanız direkt format atmak daha iyi bir çözümdür.

6. Veri transferi gerçekleştirirken çevrimiçi olmayın. İnternete bağlı cihazlarda USB belleklerin virüs gibi sebeplerle zarar görme ihtimali çok yüksek olmasa da, özellikle kritik dosyaların USB belleğe aktarılması sırasında internet bağlantısının kapatılması, verilerinize yönelik riskleri azaltıyor.

7. Şifreleyin. USB belleklerin şifrelenmesi de verilerin korunma düzeyini oldukça artıran önlemler arasında yer alıyor. Belleğin cihaza her takılışında istenen şifre sayesinde yetkisiz kullanıcıların bellekteki dosyalara erişme tehlikesi neredeyse ortadan kalktığı için veri kaybı yaşama ihtimalinden uzaklaşılmış oluyor.

2019 Endüstriyel Kontrol Sistemleri Siber Güvenlik Öngörüleri

Enerji tesislerinden, sağlık sistemlerine, savunma sanayiinden üretim tesislerine kadar birçok kritik altyapının omurgasını oluşturan Endüstriyel Kontrol Sistemleri’nin (EKS/SCADA) önemi, her geçen gün daha fazla artıyor. Söz konusu sistemlerin zarar gördüğü ve çalışamaz hale geldiği durumlarda, büyük boyutlu sektörel, ulusal ve küresel maddi ve manevi zararlarla karşılaşılacağı da bir gerçek.

2000’den bu yana, BT, OT ve IoT bütünsel siber güvenlik yaklaşımıyla, projelendirme, danışmanlık ve denetim hizmetleri sunan, sektörünün lider siber güvenlik entegratörü Biznet Bilişim; 2015 yılında konunun önemine dikkat çekerek bu alandaki çalışmalarını başlattı. 2018 yılında Biznet Bilişim, Operasyonel Teknoloji güvenliği alanında yürüttüğü öncü çalışmaların sonucunu aldı ve ilk Türk hizmet firması olarak Gartner 2018 raporunda yer alan, bu alandaki ilk Türk hizmet firması oldu. Biznet Bilişim ayrıca, bu alandaki deneyimiyle, 2019 yılı EKS öngörülerini kamuoyu ile paylaştı.

3 yıl içinde, güvenli olmayan EKS altyapıları nedeniyle, çevre ve insanların zarar görmesi olasılığı çok yüksek.

Gartner’ın yakın zamanda yayınlanan raporunda, “3 yıl içerisinde, güvenli olmayan endüstriyel kontrol sistemleri ve OT altyapıları nedeniyle, çevre ve/veya insanların zarar görmesinin” ön görüldüğünü anımsatan Biznet Bilişim EKS Siber Güvenlik Hizmetleri Yöneticisi Can Demirel “İşte bu ifade, yaptığımız işin ne kadar önemli ve gerçekten ne kadar kritik olduğunu gösteriyor. EKS Siber Güvenlik Ekibimiz, insanlar evlerine girip, elektrik düğmesine bastıklarında, elektriğin gelmesi; musluğu açtıklarında suyun akması; hastaneye gittiklerinde, medikal cihazların çalışması; uçağın zamanında kalkması; trenin zamanında gelmesi gibi günlük hayatımızı ciddi derecede etkileyen kritik altyapılardan aldığımız servisin kesintiye uğramaması için çalışıyor. O yüzden bizim temel misyonumuz, sağladığımız çözümler ve danışmanlık hizmetleri ile başta ülkemiz olmak üzere, yakın bölgedeki kritik altyapıların siber dayanıklılığının artırılmasını sağlamaktır” dedi.

Biznet Bilişim olarak, bu hayati alanla ilgili stratejilerinden ve verdikleri hizmetten de bahseden Demirel; sözlerine şöyle devam etti: “Firma olarak, temel stratejimiz olan, BT, OT ve IoT alanlarındaki bütünsel siber güvenlik yaklaşımımız, belki de en çok kritik altyapılar için hayati öneme sahip. Biznet olarak bu alanda neler yaptığımızı ise, şöyle özetleyebilirim: Güvenlik Testleri başlığında, saldırgan bakış açısıyla, en az bilgi ile altyapı üzerindeki bileşenleri güvenlik testine tabi tutuyoruz. Ek olarak, EKS bileşenleri sızma testine tabi tutuluyor. Konfigürasyon Denetimleri başlığında ise, EKS altyapılarının güvenliği ve sürekliliğini ilgilendiren bileşenleri, sistem yöneticisi gözüyle denetime tabi tutuyoruz. Süreç Denetimleri başlığı ise, işletim süreçlerinin güvenlik bakış açısıyla denetlenmesidir. Fiziksel Denetimler de, altyapı bünyesinde kritik işlevlere hizmet eden kontrol odaları, veri merkezleri ve işletmenin genel güvenlik durumunun, en iyi uygulama örneklerine göre denetlenmesini kapsıyor. Son olarak, EPDK EKS Bilişim Güvenliği Yönetmeliği Uyumluluk Hizmetlerimizden bahsetmek istiyorum. Yönetmeliğin öngördüğü envanter çıkarma, risk analizi yapma ve risk aksiyon planlarının hazırlanması konularında danışmanlık hizmeti sunarak; kurumların yönetmeliğe uyumlu hale gelmeleri sağlıyoruz. Ayrıca, özellikle bu alana ilişkin farkındalığı artırmak için, geçen sene Türkiye’nin ilk EKS Siber Güvenlik Konferansı’nı düzenledik. Ek olarak, bu alana dair yetişmiş insan kaynağı probleminin çözümüne destek olmak için,Türkiye’nin ilk EKS Siber Güvenlik Öğrenci Kampı’nı düzenledik.”

2019, çok daha sofistike ve çevresel zarar, can ve mal kaybı ile sonuçlanabilecek saldırılara şahit olacağımız bir yıl olabilir.

Can Demirel, kritik altyapılar özelinde, bu saldırıların, doğrudan zarar vermeye odaklı olabileceği gibi; uzun vadeye yayılmış ve bilgi toplama amaçlı da olabileceğini vurgulayarak; şunları söyledi: . “Ayrıca, Endüstri 4.0 ile beraber tüm dünyayı etkisi altına alan dijitalleşme trendinin EKS alanında da etkisini göstermesi ve endüstriyel işletmelerin artan verimlilik talepleri; IoT cihaz ve teknolojilerinin (wirelessHART, akıllı sayaçlar ve smartgrid projeleri vb.) kritik altyapılarda ve OT ağlarında kullanım oranını artırdı. Elbette bu durum, çok sayıda siber güvenlik zafiyetini de beraberinde getiriyor. 2019 yılı, IoT ve uygulamalarının daha sık kullanılmaya başlanacağı ve bu yeni teknolojilerin de, yeni saldırı vektörü olarak karşımıza çıkacağı bir yıl olacak. İlk olarak 2017 Aralık ayında tespit edilen ve doğrudan Emergency Shut Down (Acil Kapama – ESD) / Safety Instrumented System (Güvenlik Enstrümanlı Sistem – SIS) unsurlarını hedefleyen bu alandaki ilk ve tek saldırı olan TRITON / TRISIS / HATMAN, kritik altyapılara yönelik saldırıların doğrudan çevresel zarar ya da can ve mal kaybına neden olabileceğini gözler önüne serdi.”

Ayrıca siber kara borsada EKS zafiyetlerine olan talebin arttığını vurgulayan Demirel; “2019 yılında saldırganların, EKS spesifik bilgilerini artırarak daha özelleşmiş ve hedef odaklı saldırılar düzenleyeceğini düşünüyorum.” dedi.

Enerji Piyasası Denetleme Kurulu, regülasyonların hem kapsamlarını hem de sayısını artıracak.

Avrupa’daki regülasyon kurulunun (Networking and Information Security – NIS) yayımladığı direktifler incelendiğinde, her endüstri için farklı standartlar belirlendiğinin altını çizen Demirel, şöyle devam etti:

“2019 yılında, ülkemizde enerji alanında regülasyon ve standartları belirleyen Enerji Piyasası Denetleme Kurulu’nun (EDPK) sektöre yönelik siber güvenlik çalışmalarının sayısını artırarak, yeni regülasyonları hayata geçireceğini öngörüyoruz. Ayrıca, kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyeti ilk olarak 2017 yılında ortaya çıktı ve giderek artan bir grafik çizerek, dünya çapında hızla yükselen trendlerden birisi oldu. 2018 yılında da artarak devam eden bu hassasiyet sonucunda, ABD ve İngiltere’nin uygulamaya koyduğu üretici kara liste uygulamasından, çokuluslu teknoloji şirketleri etkilendi. Bu yaklaşım sadece, yeterli ve yerli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olmakla beraber; kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesini ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesini gerektiriyor. Aksi halde ulusal kritik altyapıları, siber saldırıların odak noktası olacak. Kritik altyapıların ekonomi ve ulusal güvenlik açısından önemi düşünüldüğünde, Siber Milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS Siber Güvenliği olacağını ön görüyoruz.”

Türkiye’de de kurumlar arası siber istihbarat paylaşımının ilk adımları atılacak.

2018 yılında Endüstriyel Kontrol Sistemleri’ne yönelik saldırıların sayısının da dramatik bir şekilde arttığını ifade eden Demirel, sözlerini şöyle tamamladı:

“Dünya’da, sadece 2018 yılı ilk çeyreğinde tespit edilen saldırıların sayısının, 2017’nin aynı dönemine göre yüzde 40 daha fazla olduğu görülmekte. Bu durum EKS ve Kritik Altyapılar için siber istihbarat konusunun ne kadar önemli olduğunu bir kez daha kanıtladı. 2019 yılında, gerek kamu kuruluşları ve özel endüstriyel işletmeler, gerekse devletlerarasındaki siber istihbarat paylaşımının sınırlarının çizileceğini, siber istihbarat paylaşımının globalde artarak devam edeceğini ve Türkiye’de de kurumlar arası siber istihbarat paylaşımının ilk adımlarının atılacağını düşünüyoruz. Bu anlamda kurum ve kuruluşların daha fazla simülasyon, test ve tatbikat çalışması gerçekleştireceklerini de öngörüyoruz. Geçen yıl konuşmacı olarak katkı sunduğumuz, yılın en önemli EKS siber güvenlik etkinliklerinden biri olan “SANS ICS” etkinliğinin ana söylemi, “Defense is doable” idi. Bu söylemin önemine ve içeriğine inanıyoruz. Tüm bu gelişmeler ışığında savunmanın hala yapılabilir olduğunu düşünüyoruz. Savunmanın bir parçası olarak “Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2018 Yılı Tahminleri” raporunda özetlediğimiz gibi, uçtan uca güvenlik, fiziksel güvenlik, tedarikçi güvenliği, güvenli tasarım ve yetkin uzman ihtiyaçları kritik altyapılarda artarak devam edecek. Bunlara ek olarak, savunma için endüstriyel altyapılarda görünürlük ihtiyacı artacak. Ağ görünürlüğünü artırıp EKS-OT altyapılarının siber dayanıklılığını iyileştirmek için anomali tespit çözümleri daha popüler hale gelerek, işletmelerin ana gündem maddelerinden biri olacak. Endüstriyel Kontrol Sistemleri’nin güvenliğinin tek bir metot ya da yöntemle sağlanamayacağını, Siber Güvenlik 2018 Yılı Tahminleri raporumuzda önemle belirtmiştik. 2019 yılında şirketlerin, olası tüm siber risklerini minimize edeceklerini ve bilgi güvenliğinde büyük resmi tamamlayacak şekilde bir yapılandırmaya gideceklerini öngörüyoruz. Bu öngörünün bir yansıması olarak, kritik altyapılara sahip işletmelerin geleneksel hizmet ve ürünlerin yanı sıra, Olay Müdahale ve EKS’ye özel Güvenlik Operasyon Merkezleri (SOC) gibi derin teknik bilgi gerektiren hizmetlere olan taleplerinde de bir artış bekliyoruz.”

Dolandırıcıların En Sık Kullandığı 5 Hile

Kaspersky Lab uzmanları, kullanıcı verilerinin dolandırıcılar için çok değerli bir varlık olduğunun altını çiziyor. Medyada geniş yer bulan olaylar ve istenmeyen e-postalarla ilgili yapılan analizler de bunu kanıtlar nitelikte. Siber saldırganların kullandığı sürekli gelişen yöntemlere karşı iki kat dikkatli olmak, özellikle de çevrim içi saldırılar söz konusu olduğunda çok büyük önem taşıyor.

İstenmeyen e-postaların ana hedefi, kimlik avı ve sosyal mühendislik yöntemleri kullanarak kişilerin hesaplarını veya banka kart bilgilerini ele geçirmek olduğundan, dolandırıcılar genellikle insanlardan bilgi sızdırma amacıyla toplu e-posta gönderiyor. Bu da istenmeyen e-postalar ve kimlik avı saldırılarının sıklıkla birlikte kullanıldığını gösteriyor. Kullanıcıların bu tür saldırıla karşı daha dikkatli olmasına yardımcı olmak isteyen Kaspersky Lab, dolandırıcıların en çok kullandığı 5 hileyi açıkladı:

1. Sosyal ağlardan gelen sahte bildirimler

Dolandırıcıların en sık kullandığı yöntem, popüler sosyal ağlardan geliyor gibi görünen sahte bildirimleridir. Bunlar genellikle yeni arkadaşlar, onların yaptıkları, yorumlar, beğeniler ve benzeri konularda olur. Bu tür mesajlar genellikle gerçeklerinden ayırt edilemez. Tek fark, çoğunlukla tespit edilmesi kolay olmayan kimlik avı bağlantıları içermeleridir. Bağlantıyı takip eden kullanıcıdan, kullanıcı adını ve şifresini sahte bir oturum açma sayfasına girmesi istenir.

Bir diğer yaygın kullanım ise sözde sosyal ağlardan gelen ve örneğin hesabınızda şüpheli bir etkinliğin tespit edildiğini veya yeni bir özelliğin kullanıma sunulduğunu ve şartları onaylamayan kullanıcıların hesaplarının engelleneceği tehdidini içeren mesajlardır. Durum ne olursa olsun, mesajda kimlik avı giriş sayfasının bağlantısına sahip bir düğme yer alır.

2. Bankacılık kimlik avı

Kullanıcıların banka kartı bilgilerini çalmayı amaçlayan kimlik avı saldırıları hala en popüler dolandırıcılık türü. Sahte mesajlar, banka veya ödeme sistemleri adına gönderilebilir. En yaygın mesaj konuları, müşterinin kişisel hesabının engellenmesi veya hesapta “şüpheli hareket” tespit edilmesi ile ilgilidir.

Hesaba erişimin yeniden sağlanması, kimlik bilgilerinin onaylanması veya yapılan işlemin iptali bahanesiyle kullanıcıdan sahte banka web sitesine banka kartı bilgilerini (genellikle CVV/CVC kodu dahil) girmesi istenir. Bu bilgiler alındığında, dolandırıcılar derhal kurbanın hesabından para çeker.Ödeme sistemlerinde de sistem aynı şekilde işler ancak bu durumlarda, kurbanlardan sadece hesaplarına giriş yapmaları istenir.

3. Popüler hizmetler ve satıcılardan gelen sahte bildirimler

Benzer şekilde, popüler çevrim içi mağazaların, dağıtım hizmetlerinin, rezervasyon sitelerinin, multimedya platformlarının, iş arama web sitelerinin ve diğer popüler çevrim içi hizmetlerin adları kullanılarak sahte bildirimler oluşturulur. Siber suçlular, mesajlarının bu tür hizmetleri kullanan ve panik halinde ne görürse görsün tıklayacak veya dokunacak olan bir kısım kullanıcılara ulaşma ihtimaline güvenir.

4. E-posta hizmetlerinden gelen sahte bildirimler

Dolandırıcılar, bu tür istenmeyen e-postaları, e-posta hizmeti kullanıcılarının kullanıcı adlarını ve şifrelerini elde etmek için gönderir. Yaygın olarak kullanılan iki bahaneden biri şudur: Kullanıcılar, şifrelerini yenilemeye veya güya dolu olan posta kutusunun hacmini artırmaya yönlendirilir. Bahanenin, posta kutusunun hacmini artırmaya yönelik olduğu durumlarda, kimlik avı bağlantısı, depolama kapasitesinde ciddi bir artış olacağını vaat eder. Yüksek miktarda veri depolama ihtiyacının sürekli olarak arttığı bulut bilişim çağında, bu vaat pek de şüpheli görünmez.

5. “Nijeryalı Prens” dolandırıcılığı

Son olarak, en eski istenmeyen e-posta türlerinden biri de hala kullanılmaya devam ediyor. Bu dolandırıcılık türünde ölmüş bir milyonerin avukatı veya bir akrabasına yapılacak bir ödeme karşılığında bir servet vaat edilir. Aynı konunun değişik bir versiyonunda dolandırıcı, zor durumdaki bir ünlü olarak karşımıza çıkar. Mağdurlara, banka hesaplarında mahsur kalmış parasını çekmek için talihsiz bir milyonere yardım etmeleri karşılığında büyük bir ödül vaat edilir. Bunu yapmak için öncelikle, mağdurların kendileri hakkında ayrıntılı bilgiler (pasaport bilgileri, hesap verileri vb.) vermesi ve evrak işleri için makul bir miktar para göndermesi gereklidir.

Kaspersky Lab uzmanlarına göre, dolandırıcıların favori konuları ve yöntemlerinin listesi bu kadarla sınırlı değil. Ancak, yukarıda anlatılan beş yöntem en etkili ve en yaygın olanlar arasında yer alıyor. Dolandırıcıların kurbanı olmamak için daha dikkatli olmak gerekli. Bunun için bazı tavsiyeleri aşağıda bulabilirsiniz:

Bir şirketten veya bir hizmetten gelen bir bildirim mesajı aldığınızda, mesajın doğru adresten gönderilip gönderilmediğini kontrol edin. Örneğin Google’da, ileti no-reply@accounts.google.com adresinden gelmelidir. no-reply@accounts. google.scroogle.com ya da buna benzer bir adresten gelmemelidir.
Böyle bir mesajdaki bağlantıyı takip ettiğinizde, sahte bir siteye değil gerçek web sitesine yönlendirildiğinizden tekrar emin olun.
İstenmeyen e-postalara ve kimlik avı saldırılarına karşı koruma özelliği olan güvenilir bir güvenlik çözümü kullanın. Bu çözüm, sahte e-postaları tespit edecek ve sizi açıkça uyaracaktır.

Kamu Kurumlarının Siber Direncini Artıracak 6 Adım

Amerika’da yapılan yeni bir araştırma, kamu kurumlarının yüksek siber güvenlik risk düzeyine sahip olduğunu gösteriyor. Bilişim güvenliği alanındaki dağıtım ve çözümleriyle pazarda lider konumda bulunan Komtera Teknoloji’nin güvenlik uzmanları, siber dirençlerini geliştirmeleri için kamu kurumlarının uygulaması gereken 6 adımı sıralıyor.

Yasalar, Siber Direncin Yanında

Pozitif gelişmelerde yeni yasal süreçlerin de etkisi bulunuyor. Geçtiğimiz yıl Trump, kamu ağlarının ve kritik altyapının güçlendirilmesi için hükümete emir vermişti. Kongrenin Kamusal Teknolojiyi Modernleştirme isimli bir yasayı oluşturması ile kamu ağlarındaki esnekliğin ve IT altyapı modernlik seviyesinin yakında artması bekleniyor. Beyaz Saray, geçtiğimiz Eylül ayında da devlet dairelerindeki siber direnci geliştirecek yeni bir siber güvenlik stratejisini duyurmuştu. Bu gelişmelere karşın, geçtiğimiz Eylül’de Devlet Sorumluluk Ofisi’nin yayınladığı rapor, çoğu devlet kurumunun yeni kurallara uymadığını gösteriyor. Araştırmalara göre bu kurumlar en çok yüksek değerli varlıklarını belirleyebilme, esnekliğin artırılması gereken alanlarda korumayı tasarlama ve bu alanlardaki yatırımları paylaştırmada sorun yaşıyor.

Siber Direnci Artıracak 6 Adım

İş geliştirme süreçleri, modernizasyon ve siber direnç kombinasyonunun başarı getireceğini dile getiren Komtera Teknoloji güvenlik uzmanları, siber saldırı altında olmaya devam edecek kamu kurumlarının siber direncini artırmaları için sistemlerine adapte etmesi gereken 6 adımı paylaşıyor.

1. Sürekli yapılması gereken, temel görevlerde eksiksiz olun. Yamalar, güncellemeler ve erişim izinleri denetimleri gibi rutin görevlerde çok iyi olun.

2. Güvenliğinizi artırmak için bulut hizmetlerini destekleyin. Bulut teknolojilerinden faydalanarak elastik iş yükü ve çoklu işlem kapasitesi avantajlarını kullanarak siber saldırganların verilerinize ulaşıp kurumunuza zarar verme ihtimalini düşürün.

3. Veri merkezli güvenliği adapte edin. Şifreleme, güçlü hesap ve erişim yönetimi gibi otomatik ya da elle yönetilen tüm konularda veri güvenliğinin günbegün tüm operasyonlarda gözetildiğinden emin olun.

4. Uygulama güvenliğini atlatmayın. Otomatik taramalar ve testler uygulayarak uygulamalardaki potansiyel zafiyetleri devamlı ve düzenli olarak kontrol edin. Böylece saldırganların saldırı yüzeyi yaratmak için vermeleri gereken eforu artırarak onları vazgeçirin.

5. Yazılım temelli ağ kullanımını artırın. Siber saldırganlar, bulamadıkları bir şeye saldıramazlar. Ağ olarak yazılım tabanlı bir sistem kullanmayı seçerek ağ güvenliğini artırın ve siber saldırganların boşa kürek çekmesini sağlayın.

6. Proaktif bir savunma yaratın. Yapay zeka ve güvenlik otomasyonu araçlarını kullanarak sorunları kısa zamanda fark edip hızlıca savunma yolları üretin. IT çevrenize sürekli uygulayacağınız testlerle zayıflıklarınızı saldırganlar fark etmeden önce siz fark edin. Siber tehditleri takip edin ve en önemli tehditler başta olmak üzere önceliklerinizi belirleyin.

Gençler Ve Çocuklar İçin Kişisel Veri Uyarısı

Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir, “Özellikle gençlerimizin çocuklarımızın online platformlarda uğrayacakları mağduriyetler konusunda onları bilinçlendirmek istiyoruz. Teknolojiyi kullanacağız ama bu kullanım bilinçli olmalı. Verilerimizi teslim ederken her zaman iki kez düşünmeliyiz” dedi.

Kişisel Verileri Koruma Günü kapsamında yapılan slogan ve makale yarışması sonuçlandı. Ödül töreninde açılış konuşmasını yapan Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir, Türkiye’de artık kişisel verilerin gelişigüzel işlenemeyeceğini ve paylaşılamayacağını söyledi.Prof. Dr. Faruk Bilir, “Kişisel verilerin korunmasından maksat kişinin bizzat kendisinin korunmasıdır” diyerek şu mesajları verdi:

“Şuna karar vermemiz gerekiyor. Biz mi kişisel verilerimizi kontrol edeceğiz yoksa kişisel verilerimiz mi bizi kontrol edecek? Tabi ki bizim kişisel verileri kontrol etmemiz gerekiyor. Aksi takdirde hiç yapmam dediğimiz bir davranışı yapmaya, ya da internetten almam dediğimiz bir ürünü almaya zorlanabiliriz. Kişisel verilerin korunmasında insan onuru ve kişilik hakkı bulunmaktadır. Bu koruma mahremiyet ve insan odaklı bir korunmadır. Verilerimin geleceğini kontrol etme yetkisi kendimize aittir. İnsan değerlidir. Dolayısıyla değerli olanın verileri de değerlidir.

Özellikle gençlerimizin çocuklarımızın online platformlarda uğrayacakları mağduriyetler konusunda onları bilinçlendirmek istiyoruz. Teknolojiyi kullanacağız ama bu kullanım bilinçli olmalı. Verilerimizi teslim ederken her zaman iki kez düşünmeliyiz.

Kişisel veriler artık gelişigüzel işlenemeyecek

Kurulduğumuz tarihten itibaren bu konuda rehberler hazırladık, kurul ve ilke kararları aldık. Kişisel veri, kimliği belirli veya belirlenebilir bir kişiye ilişkin her türlü bilgidir. Bizi doğrudan veya dolaylı olarak tanımlayan her bilgi kişisel veridir. Kimlik, iletişim, sağlık, genetik veya biyometrik verilerimiz, alışkanlıklarımız, tercihlerimiz… Bunların hepsi bizim kişisel verilerimizdir. Bunların paylaşılmasında kanun bir disiplin ve usuller getirmiştir. Artık Türkiye’de kişisel veriler keyfi olarak işlenmeyecek ve gelişigüzel paylaşılamayacaktır. Kişisel verilerin işlenmesinde bazı şartlara uyulması gerekir. Bir dayanağının olması gerekir. Kişisel verilerken işlenirken veya paylaşılırken bir bilgilendirme yapılması gerekir. Aynı zamanda bu verilerin güvenliğinin de sağlanması gerekir.

Yarışmaların kazananları

7 Nisan Kişisel Verileri Koruma Günü kapsamında düzenlenen Liseler arasındaki slogan yarışmasında, Saniye Hüseyin Balya Mesleki ve Teknik Anadolu Lisesi öğrencisi Furkan Duysak “Kişisel verilerini muhafaza et geleceğine hükmet” sloganıyla birinci oldu. Slogan yarışmasında diğer kazanalar ise şu şekilde:

İkinci: “Kişisel verilerinizin nesnesi değil öznesi olun”, İlayda Doğan, Özel Beyoğlu Doğa Anadolu Lisesi.

Üçüncü: “Kişisel verilerimi koruyorum güven içinde yaşıyorum”, Kardelen Emine Ertuğrul, Isparta Gazi Sosyal bilimler lisesi

Dördüncü: “Kişisel verilerinde önemlidir mahremiyet, göster biraz hassasiyet”, Kırşehir Kaman Bilim Sanat Merkezi Mert Can Bektaş

Beşinci: “Kişisel verileri senin hazinendir korunursa sadece senindir.” Barış Boran Bölükçaşı, Keşan Anadolu Lisesi

Makale yarışmasında birincilik ödülü ise sahipsiz kaldı. Ödül kazanan makaleler ise şunlar oldu:

Üçüncü: Avrupa Birliği Koruma Tüzüğünün Ülke Dışı Uygulama Yetkisi ve Bu Yetkinin Uluslararası Hukukta Meşruiyeti, Ufuk Dal

İkinci: Kişisel Verilerin Reklam Amaçlı İşlenmesinde Hukuka Uygunluk Sebepleri, Salih Polater.

Yarışmada kazananlara sembolik miktarlarda para ödülü ve kuruma ait yayınlar verildi.