Siber güvenlik alanında donanımsal önlemler ne kadar gelişmiş olursa olsun, insan faktörü her zaman potansiyel bir risk unsuru olarak karşımıza çıkmaya devam ediyor. Bu nedenle, her seviyedeki çalışanın siber güvenlik konusunda bilinçlendirilmesi ve düzenli eğitimler alması gerektiğinin altını çiziyoruz. Ancak, son yıllarda yapılan araştırmalar bu eğitimlerin her zaman yeterli olmadığını gösteriyor.
2023 yılında yapılan bir araştırmaya göre [1], çalışanların çoğu siber güvenlik risklerinin farkında olmasına rağmen, riskli davranışlarını sürdürmeye devam ediyor. Bu davranışlar arasında bilinmeyen kaynaklardan e-posta açma, yetişkin içerikli sitelere erişim, izinsiz uygulama indirme ve kişisel cihazları iş amaçlı kullanma gibi eylemler bulunuyor.
Araştırmalar, çalışanların siber güvenlik eğitimlerine rağmen riskli davranışlarına devam etmelerinin birkaç nedenini ortaya koyuyor:
1. Eğitimlerin Yetersizliği: Eğitimlerin sıklığı ve içeriği yeterli olmayabilir. Örneğin, çalışanlar siber güvenlik tehditleri hakkında bilgilendirilse bile, eğitimlerin güncellenmemesi veya pratik uygulamaların eksikliği nedeniyle bilgileri unutabilirler. Etkili bir siber güvenlik farkındalık programı, sürekli iyileştirme odaklı ve teknolojik gelişmelere uyum sağlayacak şekilde tasarlanmalıdır.
2. Bilinçsizlik: Çalışanlar, riskli davranışlarının sonuçları hakkında yeterince bilgilendirilmeyebilir. Örneğin, bir çalışanın kişisel bilgilerinin çalınma riskini anlamaması, güvensiz web sitelerini ziyaret etmesine neden olabilir. Eğitimlerde güvenlik bilgisinin yanı sıra, riskli davranışların sonuçları da vurgulanmalıdır.
3. Umursamazlık: Çalışanlar, risklerin farkında olsalar bile umursamaz davranabilirler. Örneğin, bir çalışan, şirket politikalarını ihlal ederek kişisel cihazını iş ağına bağlayabilir. Bu tür davranışlar, şirketin siber güvenlik politikalarının ve sonuçlarının sürekli hatırlatılması gerektiğini göstermektedir.
4. Kolaylık: İnsanlar genellikle en kolay yolunu tercih ederler, bu da güvenli olmayan yöntemleri seçmelerine neden olabilir. Örneğin, çalışanlar, daha hızlı erişim için güçlü parola yerine basit parolalar kullanabilirler. Eğitimlerde, güvenliğin kolaylık üzerinde öncelikli olduğu vurgulanmalıdır.
5. Bireysel Risk Algısı: Çalışanlar, kişisel bilgilerinin de tehlikede olabileceğinin farkında olmayabilirler. Örneğin, bir çalışan, iş bilgisayarını kişisel alışveriş için kullanarak kişisel finansal bilgilerini riske atabilir. Eğitimlerde, siber güvenlik ihlallerinin kişisel sonuçlarına dikkat çekilmelidir.
6. "Başıma Gelmez" Düşüncesi: Bazı çalışanlar, başkalarının başına gelen olayların kendilerine olmayacağını düşünebilirler. Bu yanılgı, rehavete ve dikkatsizliğe yol açabilir. Eğitimlerde, siber saldırıların herkese olabileceği gerçeği vurgulanmalıdır.
7. Güvenlik Yanılgısı: Mevcut siber güvenlik önlemlerinin yeterli olduğunu düşünerek rehavete kapılabilirler. Örneğin, bir çalışan, antivirüs yazılımının tüm tehditlere karşı koruma sağladığını düşünerek dikkatsiz davranabilir. Eğitimlerde, siber güvenlik önlemlerinin sürekli güncellenmesi gerektiği vurgulanmalıdır.
2024 Yılı Beklentileri
2024 yılı için tahminlerimize göre, siber güvenlik eğitimlerinin içeriği ve yöntemleri daha da geliştirilerek, çalışanların riskli davranışlarını azaltmada daha etkili olacak. Ayrıca, yapay zeka ve makine öğrenimi teknolojilerinin kullanımı artarak, çalışanların davranışlarını analiz edip kişiselleştirilmiş eğitimler sunulacak. Böylece, siber güvenlik farkındalığının artırılması ve riskli davranışların önlenmesi konusunda daha başarılı adımlar atılacak.
IBM'in yaptığı araştırma sonuçlarına göre [2], kuruluşlar artan siber tehditlere karşı koymak için geniş AI altyapılarına yatırım yapacak ve bu, CISO'ların kritik verilerin güvenliğini yeniden tanımlamasını gerektirecek. Araştırma sonuçlarından, veri güvenliği, koruma ve gizlilik önlemlerinin bir AI destekli iş modelinin başarısı için kritik olduğunu görebiliyoruz. Verilerin ortam boyunca daha dinamik ve aktif hale gelmesiyle, kritik verilerin keşfi, sınıflandırılması ve önceliklendirilmesi, güvenlik ekipleri için 2024 yılında önemli bir eylem olacak.
WatchGuard Technologies'in tahminlerine göre [3], 2024 yılında yönetilen hizmet sağlayıcılarının (MSP'ler) otomatikleştirilmiş platformlar aracılığıyla güvenlik hizmetlerine olan talebi artacak. Yaklaşık 3.4 milyon açık siber güvenlik işi ve mevcut yetenekler için yoğun rekabetle, daha fazla küçük ve orta ölçekli şirket, MSP'ler ve MSSP'ler gibi güvenilir yönetilen hizmet ve güvenlik hizmeti sağlayıcılarına başvuracak. MSP'ler ve MSSP'ler, büyüyen talebi ve kıt personel kaynaklarını karşılamak için yapay zeka (AI) ve makine öğrenimi (ML) kullanılarak ağır otomasyonla birleştirilmiş birleşik güvenlik platformlarına iki katına çıkacak.
ISACA'nın belirttiği gibi [4], yapay zeka, büyük veri miktarlarını analiz ederek insanların gözden kaçırabileceği tehditleri tespit edebilir ve tekrar eden görevleri otomatikleştirebilir. Siber güvenlik farkındalığı sürekli bir süreçtir ve sürekli iyileştirmeye odaklanarak ve teknolojik gelişmelere ve bir organizasyonun misyonlarına ve önceliklerine uyum sağlayarak gerçekleştirildiğinde en etkili olacaktır.
2024 yılında siber güvenlik alanında beklenen diğer önemli gelişmeler arasında kuantum dirençli şifreleme algoritmalarının standardizasyonu ve kimlik ve erişim yönetimindeki yenilikler yer alıyor. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yönetilen kriptografik teknikler sayesinde bugün veriler özel tutulmaktadır. Ancak, bir kuantum bilgisayarın güçlü olması durumunda, mevcut şifreleme algoritmalarını kırmak mümkün olabilir. Bu yıl NIST, dört kuantum dirençli şifreleme algoritmasını standartlaştırmak için çalışmalarını sürdürecek [5].
Gartner'a göre, modern gizlilik düzenlemeleri tüketici verilerinin çoğunu kapsayacak, ancak organizasyonların az bir kısmı gizliliği rekabet avantajı olarak kullanmayı başarabilecek. Gartner, güvenlikten sorumlu kişilerin giderek rekabetçi bir pazarda fark yaratmak ve engellenmeden büyümek için GDPR ile uyumlu kapsamlı bir gizlilik standardını uygulamalarını öneriyor [6].
Bu tahminler ve araştırma sonuçları ışığında, kuruluşların 2024 yılında siber güvenlik stratejilerini güçlendirmek ve çalışanlarını daha iyi eğitmek için yapay zeka ve makine öğrenimi gibi teknolojilerden yararlanmaları beklenmektedir. Bu sayede, siber güvenlik farkındalığının artırılması ve riskli davranışların önlenmesi konusunda daha başarılı adımlar atılacaktır.
Referanslar:
[1] Siber Güvenlik Davranışları Araştırması, Siber Güvenlik Enstitüsü, 2023.
[2] Cybersecurity trends: IBM’s predictions for 2024 - https://securityintelligence.com/articles/cybersecurity-trends-ibm-predictions-2024/
[3] WatchGuard Threat Lab Analysts Release 2024 Cybersecurity Predictions - https://www.watchguard.com/wgrd-news/press-releases/watchguard-threat-lab-analysts-release-2024-cybersecurity-predictions
[4] Track These 7 Trends for Proactive Cybersecurity in 2024 - https://www.isaca.org/resources/news-and-trends/industry-news/2023/track-these-7-trends-for-proactive-cybersecurity-in-2024
[5] Securing the Future: Cybersecurity Trends and Predictions for 2024 - https://www.automation.com/en-us/articles/february-2024/securing-future-cybersecurity-trends-2024
[6] Gartner Unveils Top Eight Cybersecurity Predictions for 2023-2024 - https://www.gartner.com/en/newsroom/press-releases/2023-03-28-gartner-unveils-top-8-cybersecurity-predictions-for-2023-2024