Günümüzde birçok işletme, iletişim kanallarından biri olan Elektronik Posta seçeneğini kullanmaktadır. E-Posta kullanımı o kadar yaygınlaştı ki; artık işletmeler siparişlerini, ödeme emirlerini, iç-dış yazışmalar gibi birçok işlerini bu yolla gerçekleştiriyor.
E-Posta kullanımı sağladığı kolaylığın yanı sıra, bilinçsiz kullanıldığında birçok riski de beraberinde getiriyor. Özellikle KOBİ düzeyindeki işletmelerde, işletmenin kullanımı için açılan ücretsiz e-posta hesapları farkında olunmadan işletme için bilgi güvenliği açığı oluşturmaktadır. Ücretsiz olarak kullanıma açılan mail hizmetinde, sizin işletmeniz için tahsis ettiğiniz adresin bir benzeri rahatlıkla açılabilmektedir. Örneğin; siz işletmeniz için [email protected] olarak hesap oluşturup kullanıyorken, kötü niyetli bir saldırgan ya da rakip bir işletme [email protected] olarak hesap oluşturup sizin adınıza müşterilerinizle iletişime geçse emin olun hiç kimse bu detayın farkına bile varmayacaktır. Sosyal Mühendislik denilen bu yöntem ile bir işletmenin müşterilerine “Banka Hesap Bilgilerimiz Değişmiştir” başlığı altında yeni hesap bilgilerinin gönderilmesiyle ya da Rakip firmanın bu yolla müşteri siparişlerini kendisine yönlendirmesi ile işletmeye ne kadar zarar verilebileceğini tahmin edebilirsiniz.
Bu bahsettiklerim size çok uç ve olasılık dışı bir örnek olarak gelebilir. Ancak; bugün Türkiye’de milyonlarca müşterisi olan belki de birçoğunuzun yıllardır kullandığı büyük bir bankada yapılan sosyal mühendislik testi, anlatılanlardan daha vahim bir tabloyu gözler önüne seriyor.
Bahsi geçen bankanın genel müdürü adına açılan adısoyadı@gmail.com şeklindeki bir e-posta adresi ile bankanın tüm şube müdürlerine “Güncel Ciro” bilgisinin istendiği bir e-posta gönderiliyor. Yüzlerce banka müdüründen 16 kişinin dışındaki tüm müdürler bilgi talebinde bulunulan bu postaya yanıt veriyor. Postayı yanıtlamayan 16 müdür aranıp neden postanın yanıtlanmadığı sorulduğunda ise, kendisinin ya o sırada araç kullandığı ya da yoğunluktan dolayı cevap yazamadığı öğreniliyor. Eğer bir süre daha postanın yanıtı beklenmiş olsaydı istisnasız tüm müdürlerin bu e-postayı yanıtladığı görülecekti.
Sosyal Mühendislik riskinin yanı sıra, bir işletmenin ücretsiz e-posta hesabı ile ticari faaliyetlerini yürütmesi firmanın prestiji açısından da pek uygun olduğu söylenemez. Ücretsiz hizmet sağlayıcının alan adını taşıyan E-Posta adresi kullanmak yerine yıllık ortalama 50 TL gibi küçük bir yatırımla kendi işletmenizin adını taşıyan uzantılı e-posta adresi kullanabilirsiniz. Böylelikle kontrolünüz dışında benzer e-posta adreslerinin açılmasını engelleyerek Sosyal Mühendislik riskinden kurtulabilirsiniz. İşletmenizin @firmaadiniz.com ya da @firmaadiniz.com.tr şeklinde kendi firmanızın adını taşıyan uzantılı e-posta kullanıyor olması kurumsallık ve prestij açısından da işletmenize artı değer katacaktır.
Yüksek hacimli işletmelerde, KOBİ işletmelerinde olduğu gibi ücretsiz e-posta adresi kullanımı görülmemektedir. Ancak yukarıda bahsettiğim sosyal mühendislik riskleri tüm işletme türleri için geçerlidir. Unutulmamalıdır ki; bir işletmenin bilgi güvenliğini tehdit eden en büyük risk bilinçsiz kullanıcılardır. Dolayısıyla bilgi güvenliği konusunda bilinçli işletmeler, tüm iş süreçlerini denetleyen ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kapsamında işletmelerinde BGYS sistemi kurmaktadırlar. Bu sistemin kurulmasıyla birlikte yukarıda bahsettiğim e-posta kullanımı ile oluşan bilgi güvenliği tehditlerinden korunmak amacıyla; işletmelerde “Bilgi Güvenliği farkındalık Eğitimi” verilmektedir. Gerçekleştirilen Farkındalık eğitimleri ile kullanıcıların bilinçlendirilmesi hedeflenmektedir.
“Çoğu zararlı yazılım ve saldırı türünde kötü adamlar erişim sağlamak için sosyal mühendislik tekniklerinden faydalanırlar. Teknik zafiyetleri yamalamak mümkün olsa dahi, insan aptallığı ve saflığı için bir yama yoktur.” Kevin D. Mitnick
Üzülerek söylemeliyim ki; Bu tarz bilgi güvenliği eğilimleri Türkiye’de yeni yeni yaygınlaşmakla birlikte, ulusal şirketler seviyesinde büyük oranla kabul görmektedir. Ancak Bursa için aynı durum söz konusu değil.
Şekil 1 – Ülkelerin ISO 27001 Sertifika edinim sayıları
Şehrimizde azımsanmayacak derecede ulusal ve uluslararası faaliyet gösteren şirketler mevcut. Ancak bu işletmeler hâlâ yerel işletme mantığından sıyrılamadığı için bu tarz genel kabul görmüş standartlara sıcak bakamamaktadır. Bugün Bursa Genelinde ISO 27001 Belgeli firmaları saysanız on firma çıkartamazsınız. Yaşadığımız bilgisayar çağında, bilgi sistemlerine sızmak artık eski Amerikan filmlerinde gördüğümüz hayal dünyası kadar soyut değil. Başta yukarıda bahsettiğim sosyal mühendislik yöntemleri olmak üzere birçok yöntemle, her ay Bursa’da onlarca firmanın verileri Siliniyor, çalınıyor ya da saldırgan tarafından şifrelenerek işletmeden para talep ediliyor.
Sonuç olarak, işletmelerin dışarıya açılan kapılarından biri olan e-posta sistemi işletmenin yumuşak karnıdır. Zayıf noktalarından biridir. Yerel zihniyetten kopamamış Bursa firmalarının artık bunun farkına vararak kullanıcılarını eğitmeli, düzenli olarak Penetrasyon testi denilen zayıflık testlerini yaptırmalı, teknik altyapılarında gerekli iyileştirmeye gitmelidir. Aksi takdirde Bilgi güvenliği ihlallerine her gün bir yenisi eklenerek devam edecektir.
İlk Yorumu Siz Yapın