Bir zamanlar, evden çalışmak bir lükstü. Şimdi ise dünyanın dört bir yanındaki insanların Koronavirüse karşı kendilerini izole etmesiyle birlikte çalışanlar için bir gereklilik haline geldi.
Bununla birlikte, bu eşi görülmemiş zamanlarda sizden ve evden çalışan ekip üyelerinizden avantaj sağlamayı deneyen yeni siber güvenlik riski formlarına maruz kalabilirsiniz.
Bu nedenle ev ofis güvenliğiniz hakkında düşünmeye başlamak göz ardı edilemeyecek bir durum haline geldi.
Evden çalışmak, çalışanların ve işverenlerin bilgi sahibi olması gereken birçok güvenlik güçlüğünü beraberinde getirmektedir. Bir de iyi haberimiz var: En iyi uzaktan çalışma uygulamalarından faydalanılarak bu tehditlerin büyük bir bölümü oldukça kolay bir şekilde ortadan kaldırılabilir.
Sizin ve ekibinizin makul düzeyde bir evden çalışma güvenlik ilkesine bağlı kalarak çalışmasını sağlamak için bilmeniz gereken en iyi on güvenlik önerisini burada bulabilirsiniz…
1. Kapsamlı bir antivirüs yazılımına yatırım yapın
Size verebileceğimiz en basit ama en etkili öneri, kendiniz ve çalışanlarınız için kapsamlı bir antivirüs paketine yatırım yapmanız olacak.
Kaynaklara göre, işletmelerin küresel olarak her yıl siber suçlardan 1,5 milyar ABD Doları zarar gördüğü tahmin ediliyor. Korsanların hassas dosyalara erişmek için insanların ev internet ağlarındaki ve işletme VPN'lerindeki açıklardan yararlanmayı amaçladığı düşünüldüğünde, bu değerin bu yıl artış göstermesini bekleyebiliriz.
Bu saldırılar sizi, işletmenizi ve çalışanlarınızı fidye yazılımı saldırıları, DDoS saldırıları, kötü amaçlı yazılım, casus yazılım ve diğer ihlal türleriyle karşı karşıya bırakabilir.
Antivirüs paketleri yükünüzü hafifleterek aşağıdakiler gibi tehdit durumlarına karşı otomatik uzaktan çalışma güvenliği sunar:
- Sıfır gün saldırıları (yamayla etkisiz hale getirilmeden önce güvenlik zaaflarından faydalanan virüsler)
- Kötü amaçlı yazılım, casus yazılım ve virüsler
- Trojanlar ve solucanlar
- E-postayla gönderilenler dahil olmak üzere kimlik avı dolandırıcılıkları
Kapsamlı antivirüs paketleri yalnızca çevrimiçi güvenlik tehditlerini %100'e kadar savuşturmakla kalmaz, aynı zamanda yeni ve büyümekte olan tehditlere karşı en iyi durumda kalabilmek için kendini otomatik olarak günceller.
Paketler ayrıca diğer işlemlerinizin arka planında gizli bir şekilde, yaptıkları zorlu işten haberiniz bile olmadan çalışır.
2. Ailenizi iş cihazlarından uzak tutun
Kendinize ve teknolojiyi yoğun şekilde kullanan çalışanlarınıza çevrimiçi güvenliği sağlama konuşunda güvenseniz bile şirket bilgisayarlarının bu dönemde küçük çocukların ve çalışanların diğer aile üyelerinin erişimine açık olabileceğini unutmamak gerekir.
Bu nedenle, çalışanlarınızı cihazlarını güvende tutmaları ve diğer aile üyelerinin şirkete ait dizüstü bilgisayarlara, cep telefonlarına ve diğer donanım türlerine erişmesine izin vermemeleri konusunda nazik bir şekilde uyarmanız faydalı olabilir. Ayrıca çalışanlara diğer üçüncü tarafların hassas dosyalara erişmesini önlemek için cihazlarında parola koruması kullanmaları gerektiğini hatırlatmak önemlidir.
3. Kayar web kamerası kapağı satın alın
Önümüzdeki hafta ve aylarda web kamerası kullanımını gerektiren telekonferanslar ve görüntülü aramalar hiç olmadığı kadar önemli bir hale gelecek.
Aslında, dünyada karantina altında olan birçok kişi web kameralarını iş arkadaşlarıyla "Cuma akşamı sohbetleri" gerçekleştirmek, boş zamanlarında dil kurslarına katılmak, şahsi olarak ziyaret edemedikleri aile üyeleriyle görüntülü aramalar yapmak gibi farklı amaçlarla kullanmaya başladı bile.
Bununla birlikte, teknolojiyi üst düzeyde kullanabilen korsanların web kameranıza izinsiz şekilde kolayca erişerek gizliliğinizi risk altına atabileceği unutulmamalıdır. Daha da kötüsü, fiziksel çalışma alanınızda bulunan hassas belgeler, web kameranıza sızan korsanlar tarafından görüntülenebilir.
Web kameranız cihazınızdan bağımsız ise kullanmadığınızda kameranızın fişini çekmelisiniz. Web kameranız dahili ise web kameranıza saldırı olduğunu belirten bir işaret olmayacağından ekstra önlemler almanız gerekecektir.
İhtiyaçlarınıza uygun tüm şekil, boyut ve renkteki kayar web kamerası kapakları çevrimiçi olarak kolayca bulunmaktadır. Çoğunlukla web kameranızın etrafına sabitlenen yapışkan bir kısımla gelen bu eklentiler kolaylıkla monte edilebilir türdendir.
Video konferans yazılımınızı kullanırken, platformunuzda bulunuyorsa "arka plan bulanıklaştırma" gibi işlevleri kullanmak isteyebilirsiniz. Bu eylem, konferanslarınıza katılan kişilerin arka planınızda bulunan ve genellikle siz veya müşterileriniz hakkında hassas veriler içeren nesnelere gizlice bakmasını önler.
4. Şirket VPN'inizin mümkün olduğunca güçlü olduğundan emin olun
Bu dönemde şirketinizin Sanal Özel Ağına (VPN bağlantısı) hiç olmadığı kadar fazla bilgisayarın bağlandığına şahit olabilirsiniz. Bu durum, korsanların sızıntı sağlayabilecekleri bir çok yeni ev ofis güvenlik "arka kapısı" ortaya çıkarabilir.
Her şeyden önce, çalışanlarınıza kuruluşunuzun evden çalışma güvenlik ilkesini hatırlatmalı ve çalışanlarınızın bu ilkelere harfiyen uyduğundan emin olmalısınız.
Bunu yaparken bir yandan da VPN'inizi daha güvenli hale getirmek için aşağıdaki gibi yöntemlere odaklanabilirsiniz:
- Mümkün olan en güçlü kimlik doğrulaması yöntemini kullanın: Birçok VPN, yalnızca kullanıcı adı ve parola kullanımını tercih eder ancak bu dönemde sisteminizi akıllı kart kullanma yöntemine yükseltmeyi düşünebilirsiniz.
- VPN erişimi için şifreleme yönteminizi iyileştirin: Örneğin, yalnızca Noktadan Noktaya Tünelleme Protokolü kullanıyorsanız sisteminizi İkinci Katman Tünelleme Protokolüne (L2TP) yükseltmeyi düşünebilirsiniz.
- Çalışanlarınızın parolalarını düzenli olarak güncellediğinden emin olun: Bir çalışanınızın parolası ele geçirilir ve korsanların girişini kolaylaştırırsa VPN'inizin ne kadar güçlü olduğu anlamını yitirecektir. Tüm çalışanlarınızdan parolalarını daha güçlü ve daha güvenli olacak şekilde güncellemelerini isteyerek bu durumu önleyebilirsiniz.
- Çalışanlarınızın VPN ağını yalnızca ihtiyaç duyduklarında kullandıklarından emin olun: Şirkete ait dizüstü bilgisayarları akşam saatlerinde veya hafta sonlarında kişisel işleri için kullanan çalışanlarınıza VPN ağını kapatmalarını hatırlatın.
- Çalışanların güvenli ağları kullanarak oturum açtığından emin olun: Çalışanlar evden çalışırken kendi ev ağlarını ve internet bağlantılarını kullanırlar. Maalesef bu bağlantılar da ele geçirilebilir. Bu nedenle, çalışanlarınıza kablosuz yönlendiricilerini ve kişisel güvenlik duvarlarını yapılandırmayı ve ev ağlarını güvende tutmayı öğretmelisiniz.
Bu makalede daha önce belirtildiği gibi VPN'inizi koruyacak kapsamlı bir güvenlik ve antivirüs yazılımına da yatırım yapmalısınız.
5. Merkezi bir depolama çözümü kullanın
Şirketiniz bulut veya sunucu depolama kullanıyorsa tüm çalışanlarınızın bu çözümü kullandığından emin olun.
Çalışanlarınızın depolama hizmetiniz hakkında bilgi sahibi olmadığını veya dosyaları yerel olarak depolamaya devam ettiğini düşünüyorsanız merkezi hizmet hakkında bilgi sahibi olduklarından emin olmak için bu çalışanlarla en kısa sürede iletişime geçin.
Bu yöntem sayesinde, şirketiniz ele geçirilirse ve yerel dosyalarınız kaybolur, imha edilir veya ele geçirilirse önemli belgelerin yedeklerine ulaşma şansınız olur.
Bu yöntem ayrıca önemli belgelerin merkezi depolama çözümünüze eklenen güvenlik duvarıyla korunarak daha güvende kalmasını sağlar.
6. Ev kablosuz ağınızın güvende olmasını sağlayın
Evden çalışırken güvenliğinizi garanti altına almanın en kolay yollarından biri Wi-Fi ağınızın güvenliğini artırmaktır.
Bu bilgilerin, evden çalışırken ev Wi-Fi ağlarını koruma altına alması gereken tüm çalışanlara iletilmesi önemlidir.
Ev Wi-Fi ağınızın güvenliğini iyileştirmek ve kendinizi istenmeyen girişlerden korumak için bugünden itibaren uygulamaya koyabileceğiniz bazı basit adımları aşağıda bulabilirsiniz:
- Güçlü ve benzersiz bir parola oluşturun: Bu işlemi yönlendirici ayarları sayfasına gidip (tarayıcınıza "192.168.1.1" yazın) geçerli kullanıcı adı ve parolanızı girerek ve ardından ayarlar altında parolanızı değiştirerek gerçekleştirebilirsiniz. Tahmin edilmesi güç bir parola belirleyin: İdeal olarak parola, küçük ve büyük harfler, sayılar ve noktalama işaretlerinden oluşmalıdır.
- SSID'nizi değiştirin: Bu, kablosuz ağınızın adıdır. Bu da yönlendirici ayarları sayfanızda değiştirilebilir. Gizli ve tahmin edilmesi zor bir ad belirleyin. Adınızı, ev adresinizi veya sizi tanımlamakta kullanılabilecek bir bilgiyi kullanmayın.
- Ağ Şifrelemeyi etkinleştirin: Bu eylem, genellikle kablosuz yapılandırma sayfanızda güvenlik ayarları altında gerçekleştirilebilir. WEP, WPA ve WPA2 gibi birçok güvenlik yöntemi arasından seçim yapabilirsiniz. Yeni bir donanım (2006'dan daha sonra) kullanıyorsanız en güçlü yöntem WPA2 seçeneğidir.
- Erişimi özel MAC adresleriyle sınırlayın: Ağınıza bağlanan tüm cihazlara benzersiz bir MAC adresi atanır (her bir cihazın adresini Komut İstemi penceresini açıp "ipconfig/all" girişini yaparak bulabilirsiniz). Doğrulanan cihazların adreslerini biliyorsanız bunları kablosuz yönlendiricinizin ayarlarına ekleyerek yalnızca bu cihazların Wi-Fi ağınıza bağlanmasını sağlayabilirsiniz.
- Ürün yazılımınızı yükseltin: Kablosuz ağ sağlayıcınız sıklıkla yamalar ve yazılım güncellemeleri sunar. Bunlar bazen önemli güvenlik güncellemeleri barındırır. Yönlendiricinizin ayarlar sayfasını düzenli olarak ziyaret edip en son ürün yazılımını çalıştırdığınızdan emin olun.
7. Video konferans güvenlik riskleri hakkında bilgi sahibi olun
Çalışanlarınız öngörülebilir bir süre boyunca evden çalışacaksa sizin ve çalışanlarınızın video konferans yazılımını kullanmanız kaçınılmaz olacaktır.
Bununla birlikte, bazı video konferans hizmetlerinin son dönemde güvenlik ihlalleri yaşadığını duymuş olabilirsiniz.
Popüler video konferans platformu Zoom, yazılımındaki güvenlik noksanlıklarının hızlı bir şekilde giderildiğini kabul etti ve şirket CEO'su tüm kaynaklarını gizliliğin ve güvenliğin iyileştirilmesine yönlendirdi. Bunun nedeni, "Zoom bombalama" adı verilen saldırının sıklıkla gerçekleşmesiydi. Bu durum, davet edilmeyen bir kişinin video konferansa erişim hakkı kazanması ve diğer kullanıcıyı zor duruma sokmak ve kullanıcıya zarar vermek için konferansa dahil olmasıyla gerçekleşir (birçok kullanıcı şimdiden bu durumu deneyimledi). Siz ve şirketiniz birincil video konferans aracı olarak Zoom'u kullanıyorsanız bu olası ihlaller hakkında bilgi sahibi olun.
Video konferanslarınız istila edilir ve izlenirse işletmenizin ve/veya müşterilerinizin hassas bilgilerine sızılması riski ortaya çıkabilir. Ayrıca çalışanlarınız korsanların kişisel ve rahatsız edici saldırılarından zarar görebilir.
FBI, Zoom platformunda gerçekleşen saldırılara yanıt olarak, kullanıcıların video konferans yazılımı kullanırken kendilerini korumaları için bir öneri paketi yayınladı.
FBI'ın önerisi şu unsurları içeriyor:
- Parolayla giriş koşulu getirerek veya bekleme odasından konuk girişini kontrol ederek görüşmelerin gizli olmasını sağlama.
- Tedarikçileri belirlerken güvenlik gereksinimlerini göz önünde bulundurma. Örneğin, uçtan uca şifreleme gerekiyorsa tedarikçi bunu sağlıyor mu?
- En yeni yamaları ve yazılım güncellemelerini kurarak VTC yazılımının güncel olmasını sağlama.
Birçok yayıncı, Zoom'un uçtan uca şifreleme kullanmadığını ve daha güvenli bir seçenek arayanların Webex, Microsoft Teams veya Google Duo platformlarını tercih edebileceklerini belirtiyor.
8. Parolalarınızın güçlü ve güvenli olduğundan emin olun
Evden çalışırken kendinizi korumanın en basit ancak genellikle en fazla göz ardı edilen yöntemlerinden biri parolalarını güçlendirmek ve cihazlarınız arasında maksimum seviyede parola koruması sağlamaktır.
Federal Ticaret Komisyonu konuyla ilgili şunları öneriyor:
"Tüm cihazlarınızda ve uygulamalarınızda parola kullanın. Parolalarınızın uzun, güçlü ve benzersiz olduğundan emin olun: Parolalar sayı, sembol, büyük ve küçük harfleri içermeli ve en az 12 karakterden oluşmalıdır."
Komisyon ayrıca cihazınız ele geçirildiğinde veya yanlış kişilerin eline düştüğünde üçüncü tarafların hassas dosyalarınıza erişimini daha zor hale getirmek için dizüstü bilgisayarınıza ve diğer bilgisayarlarınıza tüm erişimleriniz için bir parola ekranı eklemenizi öneriyor.
9. Çevrimiçi bankacılık güvenliğinizi artırın
İşletme hesaplarından sorumlu olduğunuz bir görevde bulunuyorsanız paranızın mümkün olan en güvenli şekilde saklanmasını ve aktarılmasını sağlamak için elinizden gelen her şeyi yaptığınızdan emin olmak istersiniz. Bu dönemde isteyeceğiniz en son şey, çevrimiçi bankacılık platformlarınızın birinde bir güvenlik ihlaliyle karşılaşmaktır.
Her şeyden önce, fonların idaresinde yalnızca güvenilir yazılım ve hizmetler kullanmak önemlidir. Yalnızca bildiğiniz ve aşina olduğunuz hizmetleri kullanın. Belirli bir platformun güvenilirliğinden emin değilseniz platformu kullanmadan önce çevrimiçi yorumları araştırın ve daha fazla bilgi edinin. Güvenilir kuruluşlar, web sitelerinde endişeli kişilerin sorularını yanıtlayabilecek iletişim sorumlularının bilgilerini sunar.
Bir bankacılık web sitesine erişirken, Güvenli Köprü Metni Aktarım Protokolünü kullanarak oturum açtığınızdan emin olun. Bunun anlamı URL adresinin yalnızca http:// ile değil https:// ile başlamasıdır. Ayrıca çoğu internet tarayıcısındaki URL çubuğunun sol tarafında web sitesinin onaylı bir güvenlik sertifikasına sahip olduğunu belirten kilit simgesi bulunur.
Bunun yanı sıra işletmenizin ve kişisel banka hesaplarınızın güvenliğini artırmak için bu fırsatı değerlendirmelisiniz. Parolaları daha güçlü hale getirin, daha fazla bilgi ekleyin ve mümkünse tüm çevrimiçi ödemelerinizin fiziksel ödeme kartı gerektirmesini sağlamak için bankanızdan kart okuyucu talebinde bulunun. Mobil bankacılığa geçme seçeneğiniz bulunuyorsa birçok platform şimdi doğrulanmış parmak iziyle oturum açma gerekliliğiyle süreci daha güvenli hale getiriyor.
Bu kriz dönemi maalesef birçok yeni korsan, dolandırıcı ve kimlik hırsızı tipine yeni bir kapı açıyor. Bu dolandırıcılar e-posta, sosyal medya reklamları veya telefon gibi araçları kullanarak sizi hedefleyebilir. Büyük bir satın alım veya bağış yaparken işleminizi gerçekleştirmenize yardımcı olmak için banka bilgilerinizi isteyebilirler. Banka bilgilerinizi kimseye vermeyin veya söyledikleri kişi olduklarından emin olduğunuz kişiler dışında isteğiniz dışında size ulaşan hiçbir satıcıya fon aktarmayın.
Dolandırıcıların hassas bilgilerinizi vermeniz veya fon aktarmanız için sizi kandırmak amacıyla iş arkadaşlarınızı, müşterilerinizi veya bankanız da dahil olmak üzere profesyonel kuruluşları taklit edebileceklerini unutmayın. Bu dönemde daha çok tedbirli olun ve karşınızdaki kişilerden iddia ettikleri kişi olduklarını ispatlayan kanıtlar istemekten çekinmeyin.
10. E-posta güvenliğine özen gösterin
E-postalar, bu dönemde siz ve iş arkadaşlarınız için birincil iletişim yöntemi haline gelmektedir. Bununla birlikte, e-postalar açıklarından en kolay yararlanılan ve en kolay ele geçirilen iletişim yöntemlerinden biridir.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), çalışanlarını evden çalışma sırasında korumak için e-posta kullanımı dahil olmak üzere birçok öneride bulunmaktadır.
Kuruluş, daha yaygın hale gelmeye başlayan kimlik avı dolandırıcılıklarına dikkat çekmenin yanı sıra e-posta hesaplarının korunması için aşağıdaki önlemleri tavsiye ediyor:
- E-postalarınıza yalnızca, kullanıcı ve/veya cihaz için kullanıcı doğrulaması gerçekleştiren bir şifreli ağ bağlantısı oluşturan ve kullanıcı ile hizmetleriniz arasında aktarılan verileri şifreleyen şirket VPN'iniz kullanılarak erişilebildiğinden emin olun. Zaten bir VPN kullanıyorsanız tüm güvenlik yamalarının uygulandığından emin olun.
- Çalışanlar ofisten veya evden uzak olduklarında cihazlarının çalınması (veya kaybolması) riski artar. Cihazlarının, kullanılmadıklarında verileri şifrelediğinden emin olun. Böylece kaybolma veya çalınma durumunda cihazdaki e-posta verileri korunacaktır. Birçok modern cihazda şifreleme özelliği dahili olarak bulunur ancak bu özelliğin açılması ve yapılandırılması gerekebilir. Çalışanlarınız e-postalara ve diğer hassas dosyalara kendi cihazlarını kullanarak erişim sağlıyorsa NCSC, bu cihazların korunmasına yardımcı olmak için özel talimatlar yayınlamıştır.
- Her gün farklı biçimlerle karşımıza çıkan kimlik avı saldırılarına karşı hazırlıklı olun. NCSC, bu saldırıların belirlenmesine ve önlenmesine yönelik talimatlar yayınlamıştır. Bu önerileri çalışanlarınıza iletmeniz faydalı olabilir.
İlgili makaleler:
Kötü Amaçlı Yazılım Nedir ve Buna Karşı Nasıl Koruma Sağlanır?
Virüs ve Kötü Amaçlı Yazılım Algılaması
Küçük İşletme Siber Güvenlik İpuçları: Temel Bilgileri Anlama