Çalışanlar Veri İhlali Pandemisini Umursamıyor

Son on yıl boyunca veri ihlallerinin sayısı, sıklığı ve ciddiyeti açısından patlama yaşandı. Sızdıran veritabanlarının ve yasa dışı siber suçluların yükünü taşımaya devam ettikçe, tüketicilerin güvenliğe ilişkin kaygıları da benzer şekilde yeni boyutlara ulaştı. Kuruluşların güvenlik yapısı her zamankinden daha da inceliyor, ancak endişe verici bir rapor, önemli sayıda ABD çalışanının bunu umursamadığını ortaya çıkardı.

 

Veri İhlalleri Tehlikesi

Son derece gizli verilerin özgür ve ayrım gözetmeksizin paylaşılması nedeniyle veri ihlalleri son derece tehlikelidir. Bu durum, kredi raporlama şirketi Equifax’ın yakın zamanda yaşadığı ihlalden daha açık bir şekilde görülemiyor. 2017’nin ortalarına doğru Equifax, saldırganların 143 milyon ABD’li müşterinin kişisel mali verilerini kazımak için kullandığı sızdıran bir API’nin hatasına düştü. 2018’de ilk raporun hazırlanmasından bir ay sonra, potansiyel olarak etkilenen kişiler listesine 2,4 milyon kişi daha eklendi.

Equifax, veri ihlallerinden zarar gören tek finans kurumu değil: 2019’da Capital One bankası, sonunda bilgisayar korsanlarının 2005 ile 2019 yılları arasında 100 milyon Amerikalı ve 6 milyon Kanadalı’nın kişisel bilgilerine eriştiğini kabul etti. aktörler bilgileri kredi kartı başvurularından elde etti. Buna tam adlar, adresler, iletişim bilgileri, doğum tarihleri ​​ve gelir dahildir. Saldırganlar, her kurbanın bireysel ayrıntılarının yanı sıra kredi puanlarını, banka bakiyelerini, ödeme geçmişlerini, 140.000 ABD vatandaşının sosyal güvenlik numaralarını ve yaklaşık 1 milyon Kanada Sosyal Sigorta numarasını da topladı.

Çoğu kötü niyetli veri ihlalinin aksine, Credit One ihlalinin arkasındaki suçlu yakalandı ve işlediği suçlardan dolayı suçlandı. Eski bir Amazon Web Hizmetleri çalışanı olan Paige Thompson, metodolojisi hakkında kod derleme sitesi GitHub’a gönderi paylaştı. Kısa bir süre sonra suçlandı ve tüm suçları kabul etti.

Bu veri ihlallerinin yeraltı pazarlarına saldığı mali ve kişisel olarak tanımlanabilir bilgiler, çeşitli suç eylemleri için kullanılabilir. Örneğin hırsızlık, boşaltılmış bir banka hesabına veya başka birinin burnunun dibinden alınmış bir kredi limitine benzeyebilir. Ancak bu veri ihlallerinin finansal cazibesi hırsızlığın da ötesine geçiyor: Finansal hizmet kurumlarının üçte ikisi, özellikle pazar stratejilerini hedef alan saldırılarla karşılaştı. Bu ekonomik casusluk, saldırganların içeriden bilgi ticareti saldırıları düzenlemesine ve piyasada ön plana çıkmasına olanak tanır.

 

Veri İhlali Salgını

Bu veri ihlallerinin nedeni büyük ölçüde insan hatasıdır. Verizon’un 2022 raporuna göre tüm veri ihlallerinin %82’si doğrudan insan unsurlarından kaynaklanıyor. Bu, çalışanların yanlış yapılandırma yoluyla veya daha sonra yasa dışı aktörlerin kuruluşun sistemlerine erişmesine izin veren bir hata yaparak bilgileri doğrudan ifşa ettiği olayları içerir.

Bu tehditle mücadele etmek için kuruluşların insan hatalarının müşterilerini nasıl etkilediğini anlamaları ve riskin gerçek ciddiyetini takdir etmeleri gerekiyor. Aynı rapor, işletmelerin nasıl dikkat etmesi gerektiğini de ortaya koyuyor: Kimlik avı ve iş e-postası güvenliği dolandırıcılığı gibi insan kaynaklı saldırıların maliyeti, çalınan bireysel kayıt başına yaklaşık 5,01 ABD dolarıdır. Pek çok olgun kuruluşun ölçeği, her müşteri için toplanan veri zenginliğinin yanı sıra, bizi her şeyden önce vurguncu siber suçlulara fayda sağlayan bir veri ihlali salgınıyla karşı karşıya bırakıyor.

 

Çalışanlar Umursamıyor

Veritabanlarının giderek daha da sızdırıldığı gerçeğiyle karşı karşıya kalan 1.500 ABD çalışanıyla yakın zamanda yapılan bir anket , siber risklerle ilgili kendi endişe düzeylerini keşfetmeye çalıştı. Ankete katılanların üçte birinden fazlası iş yerinde veri hırsızlığı konusunda çok az endişe duyduğunu veya hiç endişe duymadığını ifade etti; Çalışanların dörtte biri siber suçluların hedefi olamayacaklarına inanıyordu.

Her zaman mevcut olan veri ihlali riskini göz ardı eden endişe verici derecede yüksek sayıda çalışan, daha fazla eğitimin gerekli olduğunun somut kanıtıdır. Şirket verilerinin korunmasından kimin sorumlu olduğu konusunda da açıkça kafa karışıklığı var. Ankete katılan çalışanların %75’inden fazlası şirket verilerini korumanın BT departmanının sorumluluğunda olduğuna inanıyor ve her bireyin günlük rolleri için kullandıkları verileri korumada oynadığı kilit rolü tamamen gözden kaçırıyor.

Gerçek şu ki ABD şirketleri siber güvenliğin önemini vurgulamakta başarısız oluyor. Ankete katılan çalışanların yalnızca %41’i siber güvenlik ve tehdit farkındalığı eğitiminin zorunlu olduğu bir şirkette çalışıyor. %43’ü herhangi bir siber güvenlik eğitimine katılmadığını belirtirken, %31’i şirketlerinin herhangi bir güvenlik eğitimi vermediğini belirtti. Şaşırtıcı bir şekilde, bu inanılmaz derecede düşük oranlar ilgi eksikliğinden kaynaklanmıyor. Aslında siber güvenlik tamamen ilgi çekici olarak kabul ediliyor ve %77’si de buna inanıyor. Ankete katılanların %57’si, teklif verildiğinde eğitime başlamış veya tamamlamıştır.

Sonsuz veri ihlallerinin suçunu bireysel insan hatalarına yüklemek kolaydır. Ancak yasa dışı siber suçluların saldırılarından ve giderek sıkılaşan düzenlemelerden sağ çıkabilmek için kuruluşların kendi veri güvenliklerini tamamen sahiplenmeleri gerektiği giderek daha açık hale geliyor.

 

İnsan Hatası Siber Güvenlikten Nasıl Çıkarılır?

Organizasyonel gücü oluşturan insanlar, herhangi bir siber saldırıya karşı ilk savunma hattıdır. Bir saldırıyı tespit edebilmek bir garanti değildir ancak eğitim ve öğretim, bir kuruluşun güvenlik duruşunu büyük ölçüde hızlandırabilecek en güçlü siber güvenlik biçimlerinden bazılarıdır.

Ancak çalışanlar tek savunma hattı olamaz. Hibrit bir yaklaşım, insanların tanımlanmasına ve raporlanmasına olanak tanır, ancak aynı zamanda yeni ve beklenmedik saldırılara yönelik boşlukları da doldurması gerekir. Otomatik erişim kontrolleri yeni nesil güvenlikteki en son adımı temsil eder; Burada üçüncü taraf bir güvenlik çözümü, verileri kurumsal güvenliğin ön saflarına yerleştirir. Otomatik bir çözüm, yönetilmeyen verileri sınıflandırmadan ve olası erişim açıklarını değerlendirmeden önce keşfeder.

Çözüm, buradan hassas verilere kimin eriştiğini ve bu verilerin nereye gittiğini sürekli olarak izler. Kaba bir çevre oluşturduğunuzda, saldırganın son derece gizli verileri alıp kaçmasından önce anormal davranışı tespit etmek ve potansiyel veri sızıntısını işaretlemek mümkün hale gelir. Sürekli izleme ve yanlış pozitif azaltmanın yanı sıra, olaya müdahale süresi de büyük ölçüde hızlanır. Çalışanların siber saldırılara olan ilgisini teşvik ederek ve çevreyi yeni nesil güvenlik araçlarıyla güçlendirerek hem çalışanları hem de müşterilerinizi veri ihlali salgınından koruyabilirsiniz.