İstatistikler, 2022 yılı boyunca tüm küçük ve orta ölçekli işletmelerin %60’ından fazlasının siber saldırılara maruz kaldığını gösteriyor. Ticaret Örgütü’ne göre, KOBİ’ler var olan tüm işletmelerin %90’ından fazlasını temsil ediyor ve küresel ekonomiye büyük katkı sağlıyor. Siber saldırılar nedeniyle bu işletmeler gizli bilgileri kaptırabilir, mali kaynakları, değerli pazar paylarını kaybedebilirler. Ayrıca, suçluların hedefe ulaşırken kullanmaya çalıştıkları pek çok yol söz konusu oluyor. Bu yüzden KOBİ’ler için bir siber güvenlik sorunu, en zorlu kriz türlerinden birisi demek.
Kaspersky uzmanları, KOBİ’lerin sahip olabileceği güvenlik açıklarını analiz ederek girişimcilerin 2023’te bilmesi gereken bazı önemli siber tehditleri özetledi.
1. Çalışanların neden olduğu veri sızıntıları
Bir şirketten veri sızdırmanın çeşitli yolları bulunuyor ve bazı durumlarda bu sızıntı, istemeden de olabiliyor. Pandemi sırasında pek çok çalışan uzaktan çalışırken, çevrimiçi oyun oynamak, film izlemek veya e-öğrenme platformlarını kullanmak gibi amaçlar için kendilerine tahsis edilen kurumsal bilgisayarları kullandı ki bu, kuruluşlar için finansal tehdit oluşturuyor.
Uzaktan çalışma sistemi hayatın bir parçası olmaya devam ediyor ve her ne kadar 2020 boyunca çalışanların % 46’sı daha önce hiç uzaktan çalışmamış olsa da, şimdi üçte ikisi ofise geri dönmeyeceklerini belirtiyor, geri kalanı ise hibrit yöntemle çalışmaya devam ettiklerini söylüyor.
Pandemi sonrasında siber güvenlik seviyesinde ve uzaktan çalışmanın kuruluşlar tarafından kabul görme durumunda iyileşmeler yaşandı. Bununla birlikte, eğlence amaçlı kullanılan kurumsal bilgisayarlar, bir şirketin ağına ilk erişimin en önemli yollarından biri olmaya devam ediyor. Bir dizinin herhangi bir bölümünü veya yeni yayınlanan bir filmi indirmek için alternatif kaynaklar arayan kullanıcılar da Truva atları, casus yazılımlar ve arka kapılar (backdoor) ile reklam yazılımları da dahil olmak üzere, çok sayıda kötü amaçlı yazılım türleriyle karşılaşıyorlar.
Kaspersky istatistiklerine göre, dijital yayın platformu kisvesi altında tehditlerle karşılaşan kullanıcıların %35’i Truva atlarından etkilendi. Bu tür kötü amaçlı yazılımlar, eğer bir şirket bilgisayarına bulaşırsa, saldırganlar şirket ağına sızabiliyor ve hem iş geliştirme sırları hem de çalışanların kişisel verileri dahil olmak üzere hassas bilgileri bulup çalabiliyor.
Ayrıca, dünya genelinde şirketlerin eski çalışanlarını olası veri sızıntılarından sorumlu tutma gibi bir eğilim de söz konusu. Ancak, yakın zamanda ankete katılan kuruluşların yöneticilerinin yalnızca yarısı, eski çalışanların bulut hizmetlerinde depolanan şirket verilerine erişemediğinden veya şirket hesaplarını kullanamadığından emin. Açıkçası eski bir çalışan, böyle bir kaynağa erişimi olduğunu bile hatırlamayabiliyor. Ancak aynı düzenleyiciler tarafından yapılan rutin bir kontrol, yetkisi olmayan kişilerin aslında gizli bilgilere erişebildiğini ortaya çıkarabiliyor ve bu da para cezasına neden olabiliyor.
2. DDoS saldırıları
Dağıtılmış Ağ Saldırıları, genellikle Dağıtılmış Hizmet Reddi (DDoS) saldırıları adıyla biliniyor. Bu tür saldırılar, bir şirketin web sitesini sağlayan altyapı gibi, herhangi bir ağ kaynağı için geçerli olan belirli kapasite sınırlarından faydalanıyor. DDoS saldırısı, saldırıya uğrayan web kaynağına birden çok istek göndererek web sitesinin çok sayıda isteği işleme kapasitesini aşmayı ve doğru şekilde çalışmasını engellemeyi amaçlıyor.
Saldırganlar, genellikle DDoS saldırılarından etkilenen bankalar, medya varlıkları veya perakendeciler gibi kuruluşlara yönelik eylemler gerçekleştirmek için farklı kaynaklara başvuruyor. Son zamanlarda, siber suçlular Alman gıda dağıtım hizmetini hedef aldı ve Takeaway.com’dan (Lieferando.de) trafik akışını devam ettirmek için iki bitcoin (yaklaşık 11.000 $) ödeme talep ettiler.
Ayrıca, çevrimiçi perakendecilere yönelik DDoS saldırıları, müşterilerinin en aktif olduğu tatil dönemlerinde artış eğiliminde. Oyun şirketlerinin büyüyor olmasına yönelik artan bir eğilim de söz konusu. Bu sebeple Final Fantasy 14’ün Kuzey Amerika veri merkezleri Ağustos ayı başlarında saldırıya uğradı. Oyuncular bağlantı, oturum açma ve veri paylaşımı gibi pek sorun yaşadı. Blizzard’ın çok oyunculu oyunları — Call of Duty, World of Warcraft, Overwatch, Hearthstone ve Diablo: Immortal – yine DDos saldırılarına maruz kaldılar. Bu arada, birçok DDoS saldırısı duyurulmuyor çünkü maliyetleri genellikle çok büyük olmuyor.
3. Tedarik zinciri
Tedarik zinciri aracılığıyla saldırıya uğramak, genellikle bir kuruluşun bir süredir kullanmakta olduğu bir hizmet veya programın kötücül hale geldiği anlamına geliyor. Bunlar, şirketin satıcıları veya tedarikçileri aracılığıyla gerçekleştirilen saldırılar ve buna verilebilecek örnekler arasında finans kurumları, lojistik ortaklar ve hatta mesela bir yemek dağıtım hizmeti bile yer alabiliyor. Ve bu tür eylemler, çetrefilliği veya yıkıcılığı bakımından farklılık gösterebiliyor.
Örnek vermek gerekirse, saldırganlar M.E.Doc adlı muhasebe yazılımının otomatik güncelleme sistemine sızarak, ExPetr (diğer adıyla NotPetya) adlı fidye yazılımını tüm müşterilere göndermeye zorlamıştı. Sonuç olarak, ExPetr hem büyük şirketleri hem de küçük işletmeleri etkileyerek milyonlarca dolar zarara neden oldu.
Başka bir örnek, sistem kayıt defteri temizliği için kullanılan en popüler yazılımlardan biri olan CCleaner’dır ve hem ev kullanıcıları hem de sistem yöneticileri tarafından yaygın olarak kullanılıyor. Bir noktada saldırganlar, program geliştiricisinin derleme ortamına sızmayı başararak bazı sürümleri bir arka kapı (backdoor) ile donatmayı başarmıştı. Sonuç olarak, bir ay boyunca bu güvenliği ihlal edilmiş sürümler şirketin resmi web sitelerinden dağıtıldı, 2,27 milyon kez indirildi ve kötü amaçlı yazılımın en az 1,65 milyon kopyası suçluların sunucularıyla iletişim kurmaya çalıştı.
Dikkatimizi çeken en yeni örnekler, Güneydoğu Asya’da vuku bulan DiceyF olaylarıdır. Bu saldırılarda başlıca hedefler, Ocean’s Eleven tarzında saldırıya uğrayan bir çevrimiçi Casino geliştiricisi ve operatörü ile bir müşteri destek platformuydu.
4. Kötü amaçlı yazılımlar
Eğer birisi yasal olmayan dosyaları indirdiyse, bu dosyaların zarar vermediğinden emin olmak gerekiyor. En çok ortaya çıkan tehditler, bir şirketin verilerini, parasını ve hatta sahiplerinin kişisel bilgilerini kovalayan şifreleyiciler oluyor. Şunu da söylemek gerek, orta ölçekli işletmelerin dörtte birinden fazlası maliyetleri düşürmek için korsan veya lisanssız yazılımları tercih ediyor. Bu tür yazılımlar, şirket bilgisayarlarından ve ağlarından yararlanabilecek bazı kötü amaçlı veya istenmeyen dosyaları içerebiliyor.
Ek olarak, işletme sahipleri arabulucuların farkında olmalı zira bu tür grup katmanları 2023’te KOBİ’lere türlü şekillerde zarar verecek. Bu yazılımların yasa dışı erişime sahip olan müşterileri arasında, kripto hırsızlığı yapanlar, bankacılık şifre hırsızları, fidye yazılımlarını kullananlar, çerez (cookie) hırsızları ve diğer sorunlu kötü amaçlı yazılım müşterileri bulunuyor. En bilinen örneklerden biri, bankacılık kimlik bilgilerini çalan ve dünyanın dört bir yanındaki kuruluşları hedef alan kötü amaçlı yazılım Emotet.
Küçük ve orta ölçekli işletmeleri hedefleyen bir diğer grup, en çok yasal, finansal ve seyahat kuruluşlarına yönelik saldırılarıyla tanınan Deathstalker. Grubun ana hedefleri, VIP’ler ve büyük finansal varlıklar ile ilgili yasal anlaşmazlıklar, rekabetçi iş zekası, birleşme ve devralmalara ilişkin içgörülerle ilgili gizli bilgilerin yağmalanmasına dayanıyor.
5. Sosyal mühendislik
COVID-19 salgınının başlamasından bu yana birçok şirket iş akışlarının çoğunu çevrimiçi hale getirdi ve yeni iş birliği araçlarını kullanmayı öğrendi. Özellikle, Microsoft’un Office 365 paketi çok daha fazla kullanıldı ve haliyle, kimlik avı saldırılarının bu kullanıcıların hesaplarını daha fazla hedeflemesi kimseyi şaşırtmıyor. Dolandırıcılar, ofis kullanıcılarının Microsoft’un oturum açma sayfası gibi görünen bir web sitesine şifrelerini girmelerini sağlamak için her türlü numaraya başvuruyor.
Kaspersky, kimlik avı dolandırıcılarının işletme sahiplerini nasıl kandırmaya çalıştıklarının, bazıları oldukça ayrıntılı birçok yeni yolunu ortaya çıkartmayı başardı. Bazıları da sahte web sitelerini paylaşarak veya sahte muhasebe belgeleriyle e–posta göndererek, kredi veya teslimat hizmetlerini taklit etmeye devam ediyor.
Bazı saldırganlar kurbanlarından para kazanabilmek için meşru çevrimiçi platformlar gibi görünebiliyor. Bu, Wise Transfer gibi oldukça popüler bir para transfer hizmeti bile olabilir.
Kaspersky uzmanları tarafından keşfedilen bir diğer kırmızı bayrak, Google Translate kullanılarak çevrilen sayfa bağlantıları. Bu senaryoda saldırganlar, siber güvenlik mekanizmalarını atlamak için Google Translate’i kullanıyor. E-postayı gönderenler, ekin yalnızca alıcıya sunulan ve “sözleşme toplantısı sunumu ve müteakip ödemeler için incelenmesi gereken bir tür ödeme belgesi olduğunu” iddia ediyor. Aç düğmesi bağlantısı ise Google Translate tarafından çevrilmiş bir siteye işaret ediyor. Ancak eklenen bağlantı, saldırganlar tarafından kurbanlarından para çalmak için oluşturulan sahte bir siteye kapı açıyor.
Siber suçlular, lisanssız yazılımlar, kimlik avı siteleri, e–postalar, işletmelerin güvenlik ağındaki ihlaller ve hatta büyük DDoS saldırıları yoluyla kurbanlarına mümkün olan her yolu kullanarak ulaşmaya çalışacak. Ancak Kaspersky tarafından yakın zamanda yapılan bir anket, KOBİ’lerin sadece %41’inin bir kriz önleme planına sahip olduğunu gösteriyor. Bu nedenle şirketlerin siber güvenliği önemsemesi ve saldırı sonrasındaki BT güvenlik olayı düzeltmesinin ne kadar zorlu olabileceğini anlaması önem taşıyor. Kaspersky bunu, kuruluşların bünyesinde uygulanacak koruyucu ve güvenilir önlemlerle sonuçlanacağını umduğu doğru bir eğilim olarak görüyor.
İşletmeleri siber saldırılardan korumak için Kaspersky şunları öneriyor:
“Standart bir kullanıcı hesabı parolasının en az sekiz harf, bir rakam, büyük ve küçük harfler ve bir özel karakter içermesini gerektiren güçlü bir parola politikası uygulayın. Güvenliğinin ihlal edildiğine dair herhangi bir şüphe varsa, bu parolaların değiştirildiğinden emin olun. Bu yaklaşımı ek çaba harcamadan uygulamaya koymak için, yerleşik ve kapsamlı parola yöneticisi olan bir güvenlik çözümü kullanın.
Bir yazılım ve cihaz üreticisinden gelen güncellemeleri göz ardı etmeyin. Bunlar genellikle yalnızca yeni özellikler ve arayüz geliştirmeleri getirmekle kalmaz, aynı zamanda henüz fark edilmemiş güvenlik açıklarını da giderir.
Çalışanlar arasında yüksek düzeydeki güvenlik bilincini sürdürülebilir kılın. Çalışanlarınızı mevcut tehditler, kişisel ve profesyonel yaşamlarını korumanın yolları hakkında daha fazla bilgi edinmeleri ve bu konularda ücretsiz kurslar almaları için teşvik edin. Çalışanlar için kapsamlı ve etkili üçüncü taraf eğitim programları yürütmek, bilgi işlem departmanına zaman kazandırmak ve iyi sonuçlar almak için doğru bir yoldur.”