KOBİ'ler İçin Siber Güvenlik Rehberi

Siber Güvenlik Nedir?

Siber güvenlik, işletmelerin bilgi sistemlerini, ağlarını ve verilerini kötü niyetli saldırılardan koruma sürecidir. Amaç, dijital varlıkların gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamaktır.

Bir İşletmede Siber Güvenlik Gereksinimleri

1- Ağ Güvenliği (Çok Kritik):

Ağ güvenliği, işletme altyapısının dış tehditlere karşı korunmasını içerir. Gerekli unsurlar:

• Güvenlik Duvarları: Şüpheli trafiği engellemek için.
• VPN (Sanal Özel Ağ): Çalışanların uzaktan güvenli erişimi için.
• IDS/IPS (Saldırı Tespit ve Önleme Sistemleri): Ağ üzerindeki anormal davranışları tespit eder ve engeller.

Örnek: Bir saldırgan, zayıf bir ağ güvenliğinden faydalanarak KOBİ’nin müşteri veritabanına erişebilir. Bu, KVKK kapsamında büyük yasal sorunlara neden olabilir (Türkiye Bilişim Derneği, 2022).

2- Hassas Sistemlere Güvenlik Katmanları (Çok Kritik):

Hassas sistemler: Müşteri veritabanları, finansal kayıt sistemleri, CRM yazılımları ve e-posta sunucuları.

• Ekstra Güvenlik Katmanları:
  • İki Faktörlü Kimlik Doğrulama (2FA): Kullanıcı adı ve şifreye ek olarak bir mobil doğrulama kodu.
  • Biyometrik Doğrulama: Parmak izi veya yüz tanıma sistemleriyle erişim.
  • Token Bazlı Erişim: Fiziksel veya dijital anahtarlarla erişim kontrolü.

Örnek Senaryo: Müşteri bilgilerini içeren bir CRM sistemine erişim sadece yetkilendirilmiş personel tarafından, 2FA ve biyometrik doğrulama ile sağlanmalıdır.

3- Veri Yedekleme Çözümleri (Kritik):

Rutin yedekleme stratejileri oluşturmak, veri kaybı riskini en aza indirir.

• Yerel Yedekleme: Fiziksel sunuculara yapılan yedekleme.
• Bulut Yedekleme: Google Drive, AWS veya Azure gibi güvenilir hizmetler üzerinden.
• Offline Yedekleme: İnternete bağlı olmayan cihazlarda yapılan yedekleme.

Önem: Fidye yazılım saldırılarında, sistemler bloke edilse bile yedeklerden geri dönmek mümkün olur (Gartner, 2021).

4- Kullanıcı Yetkilendirme (Kritik):

Tüm çalışanlara her şeye erişim verilmesi büyük bir güvenlik açığı yaratır.

• Erişim Rolleri: Her çalışanın yalnızca iş tanımına uygun sistemlere erişimi olmalı.
• İzleme ve Kayıt: Kim, ne zaman, hangi veriye erişti? Bu bilgiler kayıt altına alınmalı.
• Örnek Araç: Active Directory veya Okta gibi kimlik yönetim araçları.

Siber İhlallerin KOBİ’lere Etkileri

Veri Kaybı

Müşteri ve ticari bilgilerinin çalınması, itibar kaybı ve yasal yaptırımlara yol açar.

• Veri ihlallerinin yıllık maliyeti: 2023'te, küçük ve orta ölçekli işletmeler için ortalama veri ihlali maliyeti 3.5 milyon TL olarak hesaplanmıştır (IBM, 2023).
• Küresel veri ihlali olayları: 2022'de 22 milyar kayıt sızdırılmıştır (Statista, 2023).

Fidye Yazılım (Ransomware)

Saldırganlar sistemleri bloke ederek işletmelerden ödeme talep eder.

• Fidye yazılım saldırıları sayısı: Yılda 236 milyon saldırı kaydedilmiştir (SonicWall, 2023).
• Ortalama fidye miktarı: 2023'te 750.000 TL ödeme yapılmıştır (Chainalysis, 2023).

Yasal ve Finansal Riskler

Veri ihlali sonrası KVKK ihlalleri için işletmelere milyonlarca TL para cezası kesilebiliyor.

Türkiye'deki KVKK cezaları: 2022'de kesilen toplam ceza 50 milyon TL’yi aşmıştır.

Faaliyet Duraksamaları

Şirketler, saldırılar sonrası ortalama 23 iş günü boyunca normal faaliyetlerini sürdürememektedir (Ponemon Institute, 2023).

Siber Güvenlik Politikasının Oluşturulması Süreci ve Paydaşları

Bir siber güvenlik politikası, işletmenin dijital varlıklarını korumak için ihtiyaç duyduğu stratejik çerçeveyi oluşturur.

Politikanın Gerekliliği

• Politika oluşturulan şirketlerin %80’i, güvenlik açıklarını daha hızlı tespit edebilmekte ve saldırıları önleyebilmektedir (McKinsey, 2022).
• Politikası olmayan KOBİ’lerin %43’ü, siber saldırılar sonrası kalıcı zarar görmektedir (Verizon, 2023).

Süreç Adımları

1. Risk Değerlendirmesi: Hangi dijital varlıkların korunması gerektiği belirlenir.
2. Paydaş Belirleme: Yönetim kadrosu, IT ekibi ve dış danışmanlar dahil edilir.
3. Güvenlik Politikalarının Hazırlanması: Şifreleme, erişim kontrolü, yedekleme gibi spesifik kurallar belirlenir.
4. Eğitim ve Uygulama: Tüm çalışanlara politika anlatılır ve uygulanmaya başlanır.

Siber Güvenlik Politikasında Dış Danışmanların Rolü

• Danışmanlık Hizmetleri: Uzmanlar tarafından sağlanan hizmetler, güvenlik politikalarının eksiksiz oluşturulmasını sağlar.
• Maliyet: Ortalama bir KOBİ için kapsamlı bir siber güvenlik danışmanlığı maliyeti 30.000-50.000 TL arasındadır.
• Fayda: Danışmanlık alan şirketlerin saldırı önleme oranı, diğerlerine göre %60 daha yüksektir (Deloitte, 2023).

Danışmanlık Alternatiflerinin Değerlendirilmesi

• Eğer bütçe kısıtlıysa, yerel siber güvenlik firmalarıyla çalışmak veya sadece kritik süreçlerde danışmanlık almak mantıklı olabilir.
• Dış danışman yerine ücretsiz kaynaklardan (örneğin NIST çerçevesi) faydalanmak da başlangıç için bir alternatiftir.

KOBİ’ler İçin Adım Adım Siber Güvenlik

Yapılacaklar:

• Misafirler için Ayrı Wi-Fi Ağı: Misafirler için ayrı bir ağ oluşturun ve işletme ağından izole edin. Şirketin kapalı olduğu anlarda Wi-Fi ağını da kapatın. Pek çok routerda zaman programlaması yapılabilmektedir.
• Lisanslı Yazılım Kullanın: Ne olursa olsun lisanslı yazılım kullanın. Kırık yazılımlarda iki şekilde yüksek risk vardır. İlki zaten yüklediğiniz kaynak, sisteminize virüs sokmak için bu yazılımı sunuyordur. İkincisi ise, bir yazılımda güvenlik açığı bulunduğunda ana firma hemen güncelleme çıkarır. Hackerlar ise, bulunan açığa sahip yazılımları ararlar. Kolay hedef olursunuz. Günümüzde pek çok yazılım için abonelik modeli hem ekonomik, hem de güvenlik açısından iyi seçenektir.
• Sistem Güncellemeleri: Yazılım ve donanım güncellemelerini zamanında yaparak güvenlik açıklarını kapatın.
• Antivirüs Kullanın: Internet kalkanı özellikli ücretli sürüm antivirüs yazılımları her makinede mutlaka kurulu olsun.
• Güçlü Şifre Yönetimi: Şifreler en az 12 karakter, büyük/küçük harf ve özel karakter içermelidir. Otomatik olarak güvenli ve her seferinde farklı şifre üreten yazılımlar çok etkilidir. Tek şifre ile siz bu yazılımı açarsınız, bağlandığınız tüm sistemlerde farklı ve güçlü şifreler üretir ve yönetir. Böyle bir yazılım kullanmıyorsanız belli aralıklarla şifre değiştirmek önerilir. Çünkü herhangi bir şekilde şifreniz ele geçirildiğinde, hackerlar, daha doğrusu lamerlar bunu olası tüm servislerde dener. Yine bu gerekçe ile eğer sık şifre değiştirmek istemiyorsanız, şifrelerinizi en az üç gruba ayırın. Tanımadığınız, ya da devam edip etmeyeceğinizi bilmediğiniz servisler için bir şifre, sosyal medya, abonelikler vb. için bir şifre, ve bankacılık vb. için bir şifre belirleyin. Böylelikle güvenlik tedbirleri düşük bir eğlence sitesinde ele geçirilen şifreniz ile bankacılık işlemleri yapılamasın. Ancak yine de çift faktörlü doğrulama günümüzde olmazsa olmazdır.
• Fiziksel Güvenlik: Veri merkezlerine veya sunuculara fiziksel erişim yalnızca yetkili kişilere verilmelidir. Personelin dışarıdan dijital ürün getirmesine izin vermeyin. Şirket bilgisayarlarının özel kullanımının ve tersinin, yani özel bilgisayarların iş için kullanılmasının engellenmesi de faydalıdır.

Yapılmayacaklar:

• Tek bir şifreyi birden fazla sistemde kullanmak.
• Çalışanlara yetkisiz erişim sağlamak.
• Ucuz ama güvenilir olmayan güvenlik çözümlerine güvenmek.

Siber Güvenlik Sistemini Güncel Tutmak

Sürekli İzleme: Otomasyon araçları ve SIEM (Güvenlik Bilgileri ve Olay Yönetimi) sistemleri kullanılarak tehditler tespit edilir.

Eğitimlerin Güncellenmesi: Çalışanlar yeni tehditlere karşı bilgilendirilir.

Güvenlik Denetimleri: Yılda en az bir kez penetrasyon testi yapılmalıdır.

Politika Revizyonları: İşletmenin ihtiyaçlarına göre güvenlik politikaları düzenli olarak güncellenir.

Sonuç olarak, siber güvenlik politikaları ve stratejilerinin etkin şekilde uygulanması, KOBİ’lerin karşılaşabileceği tehditleri minimize eder.

Politikasız bir işletme, dijital dünyada hayatta kalmakta zorlanabilir; bu nedenle güvenlik önlemleri bir maliyet değil, bir yatırımdır.