2020 RSA Konferansı’ndaki oturumları incelerken, Ölçeğe göre siber etkin suçlarla mücadele: Kolluk kuvvetlerini ileri taşımak adlı bir konuşma gözüme çarptı. Law & Order dizisinin sadık bir takipçisi ve siber güvenlik işinde biri olarak, kötü bir hacker’ı konu alan, fakat New York Polis Departmanı’nda (NYPD) geçen bir televizyon dizisi canlandı gözümde.
Konuşmacı Nick Selby‘nin anlatacak harika bir hikayesi vardı. New York City’nin siber suçlarla ilgili sorunu çok büyük; tam dokuz haneli bir sorun. Selby, dijital dünyaya doğanlardan boomer jenerasyonuna kadar herkesin, siber suçlulara, telefon dolandırıcılarına, fidye yazılımlarına, para transferine ihtiyaç duyan bir Nijeryalı amcaya ve çok daha fazlasına kurban düştüğünü anlattı.
Bu kurbanlar çoğunlukla NYPD’yi arıyordu. Ne var ki, bu tarz aramalara cevap veren memurlar Bitcoin gibi teknik kelimeleri duyduklarında hiçbir şey anlamıyordu, çünkü bunlar siber terimlerdi. Polis memurlarının ve dedektiflerin zihinsel haritalarında siber, diğer bazı kurumların ele aldığı bir şeydi. Kurbanlara FBI’a başvurmayı tavsiye etmekten başka yapabildikleri bir şey yoktu.
New York büyüklüğünde bir şehir için bu bir sorundu. Selby bunun fakındaydı; Selby’yi NYPD’deki kültürü değiştirmek ve memurları siber güvenlik konusunda eğitmek üzere görevlendiren üst düzey yöneticileri de farkındaydı.
Sunumun tamamı çok ilgi çekiciydi; ekibin siber suçları durdurmak ve insanların zorluklarla kazandığı paralarını geri almalarına yardımcı olmak için yaptığı tüm harika şeyler konuşuldu. Ben bütün hikayeyi burada tekrar anlatmayacağım, ama konuşmanın tamamını aşağıdaki bağlantıdan izlemenizi şiddetle tavsiye ediyorum:
Bununla birlikte, sunumda beni etkileyen en önemli şey şuydu: Selby’nin kültürü değiştirmesi ve polis memurlarını siber güvenliği önemseyecek şekilde eğitimden geçirmesi gerekmişti.
Güvenlik eğitimine önayak olan herkes muhtemelen aşağıdaki gibi rahatsız edici sorular veya yorumlar almıştır:
Finansta çalışıyorum, siber güvenlikten bana ne?
Ön büroda çalışıyorum, bana ne?
Hizmet masasındayım, güvenliğin ne olduğunu biliyorum!
En sevdiğim ofis içi sızlanma ise şu:
Öf, güvenlik eğitimi mi, YİNE Mİ?
Hepimiz benzer şeyler yaşadık ve yaptığımız iş için gerekli olmadığını düşündüğümüz bir şeyler yapmak zorunda kaldık. Ancak buradaki sorun, siber güvenliğin her şeyle ilgili olması. Cidden. Ortalama iş yerinden sadece birkaç örnek vereceğim:
- Finans: Parayı yönetiyorlar. Yanlış hesaba para gönderilmesiniyle ilgili kaç dolandırıcılıktan bahsettik?
- Resepsiyon: Gördüğünüz ilk yüz; herkesin binaya girmesine izin veren kişi. Resepsiyon görevlileri ayrıca çoğunlukla konuklara Wi-Fi kimlik bilgilerini de verir. Kurumsal ağlara kötü amaçlı donanımlar bağlayan dolandırıcılar gibi kişilerden korunmada resepsiyon masasının rolünü düşünün.
- Servis masası: Bilgisayarları onarıyor, aygıtları yönetiyorlar. Bir PowerPoint dosyasını bir bilgisayardan diğerine aktarmanız gerektiğinde size kim USB bellek veriyor? BT olmadığında, insanlar ofiste başıboş buldukları sürücüleri kullanabilirler.
Ne demeye çalıştığımı anlıyorsunuz, değil mi? Tüm çalışanlar teknik olarak saldırı vektörleridir; sadece genellikle yukarıda bahsettiğim çizgide düşünmezler.
NYPD’den ne öğrenebiliriz?
Kurumsal siber güvenlik eğitmenlerinin aksine, NYPD polis memurlarını eğitiyordu; bununla birlikte görevleri ve karşılaştıkları zorluklar kurumsal siber güvenlikle benzerdi. Dolayısıyla temel ilkeleri de öyle:
- Basit tutun. Belki de NYPD ekibinin başarısındaki en büyük faktör, eğitimi açık ve net tutmalarıydı. Eğitim seanslarındaki slayt sayısını 20’den az tuttuklarını sanıyorum. Personeliniz için eğitim materyalleri planlarken, bu materyallerin kursiyerlere bu konuyu neden önemsemeleri gerektiğini ve nasıl başarılı olacaklarını gösteren açık hedefler içerdiğinden emin olun.
- İnsanları güçlendirin. Selby ve ekibinin kullandığı bir başka havalı yaklaşım ise, polislerin siber suçlularla mücadele edebilmelerine ve uygun araştırmaları yapabilmelerine yardımcı olacak bir uygulama sunmaktı. Şirketiniz için bir uygulama yaratmanız gerektiğini söylemiyorum. Bunun yerine, çalışanlarınızın eğitimi uygulamaya koyabilmesini sağlayacak yollar bulun. Şüpheli bir şey görürlerse bunu nasıl rapor edecekler? Kimlik avı e-postası alırlarsa bu e-postayı tüm şirket için nasıl engelleyebilirler veya nereye göndermeliler?
- Sonuçları gösterin. NYPD ölçebildiği her şeyi ölçer. Departman, bu “siberi” de ölçmeye başladı. Böylece polisler, çalışmalarının bölgelerinde daha fazla suçun soruşturulmasına yardımcı olduğunu görebildiler. Ayrıca sorunun ne kadar büyük olduğunu ve siber suçlarla mücadelede rollerinin ne kadar yardımcı olduğunu da gördüler. Çalışanlarınız suçlularla savaşmıyor olabilir, ancak onlara farkındalıklarının gerçekten neleri daha iyi hale getirdiğini gösterebilirsiniz. Örneğin, dokuz fidye yazılımı saldırısının önüne geçildiğini veya yılda 200 kimlik avı e-postasının engellendiğini düzenli güncellemelerle paylaşmak iyi bir fikir olabilir.
Eğitiminizin yüksek teknoloji içermesi veya pahalı olması gerekmez. Kurum içi uzmanlığınızı paylaşmak bile kuruluşunuzda büyük değişikliklere yol açabilir.
Bir siber güvenlik eğitim planı hazırlamak, bu yıl işletmeniz için planladığınız şeylerden biri olmasa bile, biz sizin yerinize her şeyi düşündük. Kaspersky, çalışanlarınızı siber güvenlik hakkında bilinçlendirmeye başlamak için çalışanlarınızla paylaşabileceğiniz ücretsiz bir güvenlik eğitimi dersi sunuyor.