Alman şirketlerindeki güvenlik durumu, dikkatsiz ve suçlu çalışanlar tarafından giderek daha fazla tehdit ediliyor. "Almanya'da Siber Güvenlik: İnsanların ve verilerin daha iyi korunması" başlıklı bir araştırma, Alman şirketlerinde çalışanlar tarafından sergilenen birçok suistimal biçimini ortaya koyuyor.
Ankete katılan şirketlerin yüzde 41'inde, son 12 aydaki veri kaybının nedeni kendi ihmalkar veya dikkatsiz çalışanlarıydı. Örneğin, kötü amaçlı yazılım bulaşmış e-posta eklerini açtılar, sahte web sitelerine eriştiler ve sahte çevrimiçi formlar doldurdular veya hassas bilgileri ifşa ettiler. Vakaların yüzde 30'unda, maruz kalınan veri ihlalinin ana nedeni, kötü niyetli veya suç amaçlı çalışanlardı.
eğitim yeterli değil
Proofpoint'ten Bert Skaletski, "Ankete katılan kuruluşların yüzde 82'si, çalışanlarının siber güvenlik tehditlerine ilişkin farkındalığını artırmak için sürekli bir eğitim programı yürütüyor" diyor. "Bu tür eğitim kursları, gelecek vaat eden herhangi bir BT güvenlik stratejisinin önemli bir parçasıdır. Cahil veya dikkatsiz çalışanların riskini önemli ölçüde azaltabilir ve örneğin kimlik avının tehlikelerinden haberdar olmalarını sağlayabilirsiniz. Ancak, eğitim tek başına dürüst olmayan amaçlarla çalışanlara karşı yeterli koruma sağlayamaz. Bunun yerine şirketler, kötü niyetli veya suç teşkil eden faaliyetlere karşı koymak için teknik önlemler almalıdır. Bu çalışma, bu tür önlemlerin önemli bir eksikliği olduğunu açıkça ortaya koymaktadır. Ankete katılan şirketlerin yalnızca yüzde 51'i, özellikle içeriden öğrenenlerin riskleriyle mücadele edecek teknolojiye sahip ve yalnızca yüzde 44'ünün içeriden gelen tehditlere yanıt vermek için özel bir planı var."
İnsan faktörünü ciddiye alın
Dünya Ekonomik Forumu'nun 95 Küresel Riskler Raporu'na göre, başarılı siber saldırıların yüzde 2022'i yalnızca insan eylemiyle mümkün oluyor. Bu nedenle şirketlere zarar vermek isteyen siber suçlular için en önemli hedef insanlardır. Ve çoğu durumda, suçlular hiç izinsiz girmezler. Yanlışlıkla yapılan bir tıklama veya yeniden kullanılan bir parola ile içeri alınırsınız. Şirketlerin yüzde 82'si artık bu konuyu siber güvenlik eğitim programlarıyla ele alıyor. Ancak, veri ihlallerinin yüzde 24'ünde eski çalışanlar hassas verileri yanlarında götürmüş olsalar da, kötü niyetli çalışanlara karşı yeterince çaba göstermiyorlar. Modern çalışma çağında, yani nerede olursanız olun, bu vakaları kontrol etmek ve kontrol altına almak özellikle zordur. Geleneksel ağ çevresi ortadan kalktığında, veri güvenliğine yönelik eski yaklaşım artık işe yaramıyor. Kuruluşların, uç noktadan bulut uygulamalarına, e-postaya ve web'e kadar modern ağ uç noktalarını koruyan bilgi korumasına ve içeriden öğrenilen risk çözümlerine yatırım yapması gerekir.
Merkezi çalışma sonuçları
Çalışma, bir dizi başka açıklayıcı bulgu sunmaktadır:
- Ankete katılan şirketlerin yüzde 41'inde veri kaybının nedeni kendi ihmalkar veya dikkatsiz çalışanlarıydı. Şirketin büyüklüğüne göre bariz farklar var: 5.000'den fazla çalışanı olan büyük şirketlerde bu sorun (yüzde 52), 1.000 ila 2.000 çalışanı olan şirketlere göre (yüzde 34) çok daha sık yaşanıyor.
- Ankete katılan tüm banka ve sigorta şirketleri, siber güvenlik konusunda sürekli bir eğitim programı ile çalışanlarını bilinçlendirmektedir. Öte yandan, perakende şirketlerinin sadece yüzde 59'u böyle bir program yürütüyor.
- Kötü amaçlı bağlantılara tıklamak (yüzde 46) ve bilinmeyen ekleri ve dosyaları indirmek (yüzde 41), BT güvenlik olaylarına yol açan en yaygın çalışan davranışlarıdır.
- Diğer yüksek riskli çalışan davranışları arasında bilinmeyen USB ortamı kullanmak (yüzde 30), kimlik bilgilerini başkalarıyla paylaşmak (yüzde 27), şirket cihazlarını aile ve arkadaşlarla paylaşmak (yüzde 22) ve güvenli olmayan özel veya genel Wi-Fi -Fi ağlarına bağlanmak yer alıyor. (yüzde 20).
- Alman şirketleri şu anda çalışanlarını çok sayıda ilgili BT güvenliği konusunda eğitiyor. Kuruluşların üçte ikisinden fazlası (yüzde 68) eğitimlerine veri korumayı dahil ediyor ve yüzde 56'sının müfredatlarında e-posta tabanlı tehditler var.
- E-postanın bir numaralı tehdit vektörü olduğu göz önüne alındığında, farkındalık eğitiminde öne çıkan bir konu olarak öne çıkmaması şaşırtıcı. 1.000 ila 2.000 çalışanı olan şirketlerde, kimlik avı ve BEC (yerel olarak "CEO dolandırıcılığı" olarak da bilinen İş E-postası Uzlaşması) gibi e-posta tabanlı tehditler, siber güvenlik müfredatının yalnızca yüzde 46'sını oluşturuyor.
- Şirketlerin yalnızca yaklaşık yüzde 36'sı çalışanlarını bulut güvenliği konusunda eğitiyor.
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.