Siber Aptalʹ Olmaktan Nasıl Kurtulabilirsiniz?

Bilgisayar güvenliğinde en zayıf halkayı insanlar oluşturuyor. Peki siber suçluların işini kolaylaştıran aptallıklar yapmaktan nasıl kurtulabiliriz?Bilgisayar destek hattını aradığınızda, hattın diğer tarafındaki uzmanın sizi aptal yerine koyduğunu hissedersiniz. Telefondan duyulan derin iç çekişler ve tepeden bakan ses tonu bunu fark etmenizi sağlar.Aslında bizler için kullandıkları bir kısaltma da vardır: KİSAS. Açılımı, Klavye ile Sandalye Arasındaki Sorunʹdur. İşte bu sorun biziz.Şimdi bu tanıma öfkelenmeden önce kendinize sorun: En son ne zaman verilerimi yedekledim? Kaç farklı online hesabımda aynı şifreyi kullanıyorum? Kaç e-postadaki linke kimin yolladığını bilmeden tıkladım?Şifre seçimlerimizde ne kadar kötü olduğumuza dair her yıl çok sayıda örnek görüyoruz.Bunlar ˮ123456ˮ veya ˮpasswordˮ ile başlayıp, biraz daha gelişmiş ˮ12345678ˮ veya ˮadminˮ şifrelerine ilerleyen bir skalada değişiyor.Bunun gibi şifreler kullanıyorsanız, elinde bir çekiçle klavyeye birkaç saat boyunca rastgele vuran bir çocuk bile sizin hesabınızı ele geçirebilir.Gerçek şu ki, tembeliz.Kimlik ve erişim yönetimi şirketi OneLoginʹden Thomas Pedersen, ˮPek çok kişi şifrelerini unutuyor ve sonrasında bilgisayar destek hatlarının onlara verdiği geçici şifrelerle yola devam ediyorˮ diyor ve ekliyor: ˮSorun bu geçici şifrelerin bir ay gibi uzun süreler boyunca kullanılabilmesi. Bu yüzden büyük şirketlerde yüzlerce kişinin aynı şifreyi kullanması mümkün.ˮBu da hackerların kazıma yöntemi denen yöntemle, yani en sık kullanılan şifreleri milyonlarca hesapta otomatik olarak deneyerek yaptığı saldırıların başarıya ulaşma ihtimalini artırıyor.ˮHackerlar 5 bin, 6 bin denemeden birinde başarıya ulaşabilir.ˮBir hacker 5 bin hesaptan birini bile ele geçirse sistemin içine sızdıktan sonra çok daha büyük zararlar verebilir.6 adımda şifre güvenliği Aklınızda tutabileceğiniz en uzun şifreyi seçin, en az sekiz karakterden oluşsun Büyük ve küçük harfleri semboller ve rakamlarla birlikte kullanın Çocuğunuzun veya tuttuğunuz takımın adı gibi tahmin etmesi kolay şifreler seçmeyin Şifrelerinizi başka insanlarla paylaşmaktan sakının İki aşamalı güvenlik kullanın, şifrenizi girdikten sonra cep telefonunuza gelen ikinci bir şifreyle hesaplarınıza erişin Dashlane, Sticky Password veya Roboform gibi bir şifre yöneticisi kullanmayı değerlendirin Neredeyse her hafta, Facebook, British Airways, Reddit gibi büyük şirketlerin sistemlerinin ele geçirildiğine dair haberler okuyoruz.İki aşamalı güvenlik sistemleri veya parmak izi, ses, yüz tanıma gibi biyometrik sistemler her geçen gün daha popüler hale geliyor.Fakat biyometrik sistemlerin ofis bilgisayarlarında kullanılması kolay değil: Bilgisayarlarda bunların kullanılmasına olanak sağlayan cihazlar genellikle bulunmuyor.Siber güvenlik şirketi Bromiumʹun kurucularından Ian Pratt, bilgisayarlarımıza indirmememiz gereken şeyleri indirme konusunda da epey salakça davrandığımızı söylüyor.Tıkladığımız linklerde güvenlik sistemlerini aşmak için tasarlanmış kötü niyetli yazılımlar bulunma ihtimali var. Bunlar verilerimizi çalabilir ve hatta cihazlarımızın kontrolünü ele geçirebilir.Pratt ˮZararlı yazılımların yüzde 99ʹu, özel bir amaç için tasarlanmamış sıradan zararlı yazılımlarˮ diyor ve ekliyor: ˮBu yazılımlar agresif bir şekilde yayılmaya çalışıyor ama pek zeki sayılmazlar.ˮVeri güvenliği ihlallerinin yüzde 70ʹi talihsiz bir kullanıcının, hackerların sisteme sızmasına izin veren bir linke tıklamasıyla başlıyor.ˮBilgisayar departmanlarında çalışanlar, son yıllarda cep telefonları, dizüstü bilgisayarlar ve tabletlerin yayılmasıyla birlikte hayatlarının daha da zorlaştığını söylüyor.Bu yüzden çok sayıda büyük şirket, bilgisayarları insanların aptallığına rağmen güvenli kalacak bir şekilde tasarlamak için çaba sarf ediyor.Bromiumʹun geliştirdiği teknoloji, bilgisayardaki her işlemin birbirinden izole bir şekilde gerçekleşmesini sağlıyor. Buna teknoloji jargonunda sandbox (kum havuzu) deniyor.Ian Pratt, ˮBir bakıma gerçekleştirilen her işlem ayrı bilgisayarlarda gerçekleştirilmiş gibi oluyor. Bir işlemi bitirdiğinizde o bilgisayarı çöpe atıp bir sonraki işlem için yeni bir bilgisayar yaratmış gibi oluyorsunuzˮ diyor.Yani bir linke tıklayıp zararlı bir yazılım indirseniz bile o yazılım bilgisayarı veya bağlı olduğu ağı ele geçiremiyor.Fakat Barclays bankasının eski teknoloji şefi ve güvenlik şirketi Veracodeʹun danışmanı Paul Farrington kullanıcıların şirket ağları üzerinde yaptıklarını denetlemenin daha zor olduğunu söylüyor.Büyük şirketlerin hangi kullanıcının ne kadar yetkisi olması gerektiği konusunda genelde hiçbir fikri olmadığını belirten Farringtonʹun çalıştığı Veracode, büyük bir banka için yaptığı projede bankanın kaydetmediği bin 800 internet sitesi fark etti.Bu tahminlerin yüzde 50 üzerinde bir miktardı.ECS güvenlik firmasının kurucusu Nathan Dornbrookʹa göre şirketlerin sistemlerinin durumuyla ilgili yeterince bilgiye sahip olmaması yüzünden şirket ağlarında çok sayıda gereksiz bilgisayar bulunuyor.Dornbrook ˮBu bilgisayarlarda büyük veriler, şifreler, kullanıcı bilgileri ve sistemdeki diğer araçlara erişim sağlayacak bilgiler bulunuyorˮ diyor.Başka bir ifadeyle, bu bilgisayarlardan her biri sisteme açılan bir kapı oluyor.Dornbrook ˮBu bilgisayarlardan tek biri bile ele geçirildiğinde bütün sistemi kaybedebilirsinizˮ uyarısında bulunuyor.Bilgisayar destek birimlerinin iş yükü ve hepimiz birer KİSAS olması nedeniyle, uzmanlara göre otomatik güvenlik sistemlerinin gerekliliği artıyor.Örneğin ECS, bir başka güvenlik şirketi olan 1Eʹnin geliştirdiği Tachyon aracını kullanarak milyonlarca bilgisayarın son güncellemeleri almasını sağlıyor. Dornbrook, ˮÖbür türlü tepki verecek vakit bulamazdıkˮ diyor.Çok sayıda siber güvenlik şirketi firewall yöntemini terk ederek otomatik gerçek zamanlı trafik gözetimini kullanmaya başlıyor. Böylece sistemdeki sıra dışı trafikler daha kolay tespit edilebiliyor.Öte yandan birer KİSAS gibi davranmayı bırakmamız, işleri çok daha kolaylaştıracak.