Siber Güvenlik Mitleri

2023 yılına çok yaklaştığımız şu günlerde, siber güvenlik çalışanları olarak saldırganların her gün yeni ve daha karmaşık saldırılarla geliştirdiği aktiviler, yeni veri sızıntısı haberleri, yeni fidye yazılım çeşitleri, kritiklik seviyesi yüksek zafiyetler ve buna benzer birçok gelişmenin içinde boğulmuş durumdayız. Bu yazımda size kurumsal anlamda siber güvenlikten bahsetmek yerine kişisel anlamda siber güvenlik hakkında bilgisi olmayan kişilerin siber güvenlikle ilgili yanlış inanışa kapıldığı ya da dikkat etmediği ancak önemli olduğunu düşündüğüm başlıca birkaç noktadan bahsedeceğim.

İş dışında görüştüğüm çevreyle ne zaman siber güvenlik üzerine sohbet etsem hep beni hayrete düşürürler. Beni en çok şaşırtan yaklaşımlardan biri: "Bu olaylar benim başıma gelmez, saldırganlar sadece zengin ya da önemli kişileri hedef alırlar." ya da "Benim zaten internette önemli bir bilgim yok. Bana niye gelsinler?".

Aslında önemli olan sizin ne kadar önemli ya da ne kadar zengin olduğunuz değil. Sizi hedef yapan, saldırganların zafiyetleri tararken otomatik araçlar kullanarak sizi bulması da olabilir. Belki dijital sistemlerinizde bir bitcoin cüzdanınız yok. Finansal işlemlerinizi farklı kanallardan gerçekleştiriyorsunuz. Peki ya sosyal medya? Ya özel olduğunu düşündüğünüz çeşitli fotoğraflarınız ya da aktif olarak kullandığınız bir e-posta adresinizin güvenliği?

Unutmayın. Siber saldırganların hedefi olmak için çok değerli ya da gizli bir bilgiye sahip olmanız gerekmez.

Antivirüs gerçeğinden bahsetmeden olmaz çünkü ilk güvenlik çözümlerinden biri olduğu için siber güvenlik üzerine bilgisi olsun ya da olmasın herkes bilgisayar virüsleri ve antivirüs kelimelerini duymuştur. "Abi x antivirüs programı var, onu kullandığım için benim kafam rahat." gibi sözler duyuyorum. Kafanızın rahat olması için bir sebep yok. Varlıklarınızı korumak için bir kişisel sistemlerinizde güvenlik çözümü kullanmak elbette doğru bir yaklaşım. Ancak bu şekilde tüm zararlı aktivitelerden korunacağınıza inanıyorsanız üzgünüm, yanıldınız. En iyi antivirüs yazılımını kullanıyorum demeyin. Özellikle son birkaç yıl içinde artan sosyal mühendislik saldırıları bize bir kez daha siber güvenliğin herkese ait bir sorumluluk olduğunu hatırlattı. Bu nedenle yapmamız gereken şey mümkün olduğunca kendimizi saldırılardan korumak için farkındalığımızı geliştirmek ve sadece bir güvenlik ürününe bağlı kalmaktan kaçınmak olmalıdır.

İnternette gezinirken geçirdiğiniz her an risk altında olabilir misiniz? Burada amacım felaket tellallığı yapmak değil. Bugün ne kadar usta bir şoför olursanız olun, arabaya binip trafiğe çıktığınızda kaza riskinizi de başlatmış oluyorsunuz. Bazen şöyle şeyler duyuyorum: "Ya ben zaten güvenmediğim sitelere girmiyorum. Benim bir güvenlik yazılımına ihtiyacım yok." Ehliyetimi ilk aldığımda babama arabayla şuraya buraya gidebilir miyim derdim. Babam derdi ki oğlum ben sana güveniyorum ama karşıdan gelenlere güvenmiyorum. Bizde bu mesleğin temelleri babadan atılmış herhalde. :)

Tek başına sizi saldırganlardan koruyabilecek bir güvenlik yazılımı olmadığından emin olabilirsiniz. Çünkü henüz keşfedilmemiş zafiyetler siber güvenlik araştırmacıları ve saldırganlar tarafından keşfedilmeyi

bekliyor. Yani her zaman risk vardır. Siber güvenlik ile doğrudan ilgilenmeyen ve kendi sistemini korumak isteyen kişiler olarak hiçbir çözümün %100 güvenli olmadığını anlamak en önemli noktalardan biri.

Peki ya e-posta güvenliğindeki şaşırtıcı gerçek ne? "Ben sadece tanıdıklarımdan gelen e-postaları açıyorum, o yüzden güvendeyim." Bu durumda ilk akla gelen antitez, saldırganın gönderdiği e-postayı sizin tanıdığınızdan gönderilmiş gibi göstermeye çalışarak yaptığı saldırılar. Evet, eğer tanıdıklarınızın sistemi ele geçirilmiş bir sistem değilse haklısınız. Peki ya tanıdıklarınız farkında olmadan aslında sistemleri ele geçirilmişse? Bu durumda güvendliğiniz e-posta adreslerinden içeriği zararlı bir e-postanın size iletilmesiyle karşılaşabilirsiniz. Günlük yaşamımızda kimlik kartımız, pasaportumuz ya da ehliyetimiz ne kadar önemliyse internet dünyasında kullandığımız e-posta adresimiz de o kadar önemlidir. Dolayısıyla gelen her e-postanın sizinle ilgili olup olmadığını, göndericisini ve alıcısını kontrol etmelisiniz. Ayrıca e-posta içinde geçen bağlantılar ya da ekleri de göz ardı etmemelisiniz. Gelen bağlantı ya da ek gerçekten gerekli mi?

Hiçbir önlem almadığınızı düşünemiyorum ancak konu ister kişisel siber güvenliğinizi sağlamak olsun ister kurumsal siber güvenliğinizi sağlamak olsun, her zaman hazırlıklı olmalısınız. Unutmayın, saldırganlar sizin aldığınız önemlemleri aşmak için çalışıyorlar.