Teknoloji endüstrisinde uzaktan çalışma hayatı evden çalışma, serbest çalışma, danışmanlık, girişimcilik gibi yanlış bilinen ifadelerin aksine, meşru bir şirket için düzenli bir şekilde fiziksel olarak ofiste olmanın istenmediği durumları kapsayan çalışma biçimidir. Kısacası uzaktan çalışma maaş, avantajlar ve iş arkadaşları gibi gerçek bir işi konumdan bağımsızdır.
Yapılan istatistiklere göre gelecekte dünya çapında 300 milyondan fazla insanın uzaktan çalışması beklenmektedir. Çoğu çalışan da gizli şirket bilgilerine kendi ev internetlerinden evdeki bilgisayar ve özel telefonlarını kullanarak ulaşmaktadır. Dijital araçlar uzaktan çalışmak için birçok fayda sağlasa da bir anda büyük çaptaki verileri bu ortamlara taşımak beklenmedik siber sıkıntılara yol açabilir.
Örneğin, uzaktan çalışan bir personele COVID-19 ile ilgili gerçek olmayan bir sağlık kurumundan bir e-posta gelebilir. Ekteki güncel haberleri okumak isteyen çalışan ise bilgisayarına zararlı yazılım yükleyebilir. Başka bir örnekte ise sosyal mühendislik yapılarak kendisini şirket çalışanı gibi gösteren saldırganlar çalışanı bir takım zararlı süreçlere sürükleyebilir. COVID-19 gibi tüm dünyayı etkileyen bu insani krizde siber güvenliği konuşmak talihsiz bir gerçekliktir.
Ocak başında COVID-19 markalı alan adlarının alınmaya başlandığı tespit edilmişti. Kendilerini gerçek COVID-19 siteleri gibi maskeleyen siber suçlular, insanlara resmi kuruluşlardan geliyormuş gibi zararlı yazılımlar içeren e-postalar atıyordu. Genelde bu e-postalarda güncel bilgilerin olduğu söylenen bir üniversite linki paylaşılıyor ve kurban zararlı bir yazılım yüklüyordu. Bu zararlı yazılımlar kurbanın gizliliğini ihmal ederek kurbanın şirket numarasını, parolalarını ve kişisel bilgilerini ele geçiriyordu.
Şirketler bu tür risklerin farkında olmalı ve önlemler almalıdır. Uzaktan çalışanlar yeni alınan güvenli uzaktan çalışma kurallarıyla ilgili bilgilendirilmeli ve eğitilmelidir. Örneğin çalışanlara COVID-19 oltalama e-postaları ile ilgili eğitim düzenlenebilir, şirket çalışanı olarak kendini tanıtan her telefona inanmamaları söylenmelidir. Uzaktan çalışanların birbirleri arasında gerçekleştirdikleri iletişim sırasında kimliklerini doğrulamaları da önemli olabilecek ayrıntılardan bir diğeridir.
Şirket ofislerinde genelde bağlantı ethernet kabloları ya da kablosuz ağ ile sağlanmaktadır. Bu durumda fiziksel güvenlik ile bilgiler güvende tutulmaktadır. Uzaktan çalışmada ise insanlar şirket bilgisayarlarını hatta kendi bilgisayarlarını şirket sunucularına bağlanmak için kullanabilirler. Bu durumda alınabilecek önlemlerden bazıları şirket sistemlerine kayıtlı olan cihazların listesini tutmak ve MAC adreslerinde yetkili insanların yetkili cihazlarla eşleşmesine dikkat etmektir.
Bir diğer önemli nokta ise şirket ağına bağlantının VPN üzerinden yapılması ve iki faktörlü kimlik doğrulama yapılmasının gerekliliğidir. Bu önlemler ajanların şirket sunucusu ve uç noktalar arasında gerçekleşen konuşmaları ele geçirmesini engellemektedir. Benzer şekilde kullanılan güvenlik duvarlarının yapılandırılması, ağın uzaktan çalışmayı destekleyecek şekilde olması gerekmektedir. Kapasite uzaktan çalışanlar için arttırılmalı ve gerekirse bulut servislerinden yararlanılmalıdır.
Bulut bilişim servislerinden yararlanma senaryosu öncesinde bilgi güvenliği standartlarının göz ardı edilmemesi önemli bir husustur. Ağda konumlandırılan ürünler ve sistemlerin güvenlik açıklığı ve zafiyetlerinin tespiti, ardından bu açıklıkların giderilmesi ile bilgi güvenliği konusundaki riskler en aza indirilmelidir. Bulut bilişim söz konusu olduğunda da standart olarak kabul edilen belgelendirmeleri yapmak ve gerekli denetimleri gerçekleştirmek kurumları siber saldırılara karşı daha güvenli hale getirecektir.
Siber saldırılar COVID-19 virüsüne benzemektedir. Sistemlerinizi güncel tutmak, ellerinizi sıkça yıkamaya benzer. Kimlik avı e-postalarına tıklamamak yüzünüze dokunmamak gibidir. İlk başta göz korkutucu görünebilir, ancak bu önlemlerin etkisi azımsanmayacak kadar fazladır ve uzaktan çalışma şekli artan bir şekilde gelecekte hayatın bir gerçeği haline geldiğinden dolayı gelecekte de uygulanmaya devam edilmelidir.
Kaynak: HAVELSAN Dergisi 6. sayı / Siber Güvenlik Mühendisi Can Doğu