Kaspersky araştırmasında, son iki yıldır Türk şirketlerine siber saldırı yüzde73 arttı. “Gölge Tehlike” yüzde 6 oranında!
DÜNYA geneli şirketlerin yüzde11’inin çalışanlar tarafından gölge “BT” kullanımından dolayı siber olaylara maruz kaldığı ortaya çıktı. Yapılan araştırmalar Türkiye’de bu oran %6. Gölge BT kullanım sonuçları ciddiyet açısından farklı olabiliyor. Ancak ister bir parça veri sızdırma olsun, isterse iş dünyasında somut hasar olsun, sonuçlar önemsenmeli.
GÖLGE BT NEDİR?
Gölge BT, şirketin BT altyapısının BT ve bilgi güvenliği departmanlarının yetki alanı dışında kalan, yani uygulamalar, cihazlar, genel bulut hizmetleri gibi bilgi güvenliği politikalarına uygun olarak kullanılmayan kısmıdır. Gölge BT’nin konuşlandırılması ve işletilmesi işletmeler için ciddi olumsuz sonuçlara yol açabiliyor. Kaspersky’nin son araştırmasına göre, 2022 ve 2023 yıllarında gölge BT’nin yetkisiz kullanımı nedeniyle meydana gelen siber olayların %16’sına maruz kalan sektörler arasında en çok etkilenen, BT sektörü oldu. Araştırma, bir dizi örnek ile bu durumu açıkça ortaya koyuyor. Sorundan etkilenen diğer sektörler ise, %13 ile kritik altyapısı ile taşımacılık ve lojistik oldu. Okta raporunun son vakası, gölge BT kullanımının tehlikelerini açıkça kanıtlar nitelikte. Bu yıl şirkete ait cihazda kişisel Google hesabı kullanan bir çalışan, istemeden de olsa tehdit aktörlerinin Okta’nın müşteri destek sistemine yetkisiz erişim sağlamasına izin verdi. Bu kişiler daha sonra saldırılarını gerçekleştirmek için kullanılabilecek oturum belirteç dosyaları ele geçirdi. Bu siber olay 20 gün sürdü ve 134 şirketin müşterisini etkiledi.
NELERE DİKKAT EDİLMELİ?
Peki BT ararken nelere dikkat edilmeli? Bunlar, çalışan bilgisayarlarına yüklenen yetkisiz uygulamalar, istenmeyen flash sürücüler, cep telefonları, dizüstü bilgisayar vb. olabiliyor… Ancak, bu konuda daha az dikkat çeken örnekler de var. Bunun biri, BT altyapısının modernizasyonu veya yeniden düzenlenmesinden sonra kalan terk edilmiş donanımlar… Bu donanımlar diğer çalışanlar tarafından ‘gölgede’ kullanılabiliyor ve er geç şirketin altyapısına girecek güvenlik açıkları edinebiliyor. BT uzmanı ve programcılar, çoğu zaman olduğu gibi, bir ekip/departman içindeki çalışmayı optimize etme veya dahili sorunları çözmek, işi daha hızlı ve verimli kılmak için kendilerine özel programlar oluşturabiliyor. Ancak, bu programları kullanmak için her zaman bilgi güvenliği departmanından yetki istemezler ve bu durum son derece olumsuz sonuçlara yol açabiliyor.
Kaspersky Bilgi Güvenliği Başkanı Alexey Vovk, şu bilgileri paylaştı “BT tarafından onaylanmayan uygulamaları, cihazları veya bulut hizmetleri kullanan çalışanlar, BT ürünleri güvenilir sağlayıcılardan geliyorsa korunduklarına ve güvende olduklarına inanır. Ancak, üçüncü taraf sağlayıcılar ‘şartlar ve koşullarda‘ sözde ‘paylaşılan sorumluluk modeli‘ kullanmaktadır. Buna göre, kullanıcılar ‘Kabul ediyorum‘ seçeneğini seçerek bu yazılımın düzenli güncellemelerini yapacaklarını ve bu yazılımın kullanımıyla ilgili olaylarda (kurumsal veri sızıntıları dahil) sorumluluğu üstleneceklerini onaylamaktadır. Ancak günün sonunda işletmeler, çalışanlar tarafından kullanıldığında gölge BT’yi kontrol etmek için araçlara ihtiyaç duyar. Kaspersky Endpoint Security for Business ve Kaspersky Endpoint Security Cloud, istenmeyen uygulamaların, web sitelerinin ve çevre birimlerinin kullanımını sınırlayan uygulama, web ve cihaz kontrolü işlevleriyle bu kontrolü sunar. Bilgi güvenliği departmanının, kontrolsüz ve güvenli olmayan donanım, hizmet ve yazılım uygulamaların yetkisiz kullanımını önlemek için şirketlerinin iç ağını düzenli taraması gerekir.”
Genel olarak, gölge BT’nin yaygın kullanımıyla ilgili durum, birçok kuruluşun çalışanlarının bu konudaki BT politikalarına karşı gelmelerinin bir sonucu zarar görecekleri herhangi bir belgelenmiş yaptırıma sahip olmamasından karmaşık hal alıyor. Dahası, gölge BT’nin 2025 yılına kadar kurumsal siber güvenliğe yönelik en önemli tehdit haline gelebileceği varsayılıyor. İyi haber ise, çalışanların gölge BT kullanma motivasyonu her zaman kötü niyetli değil, hatta çoğu zaman tam tersi. Birçok durumda çalışanlar bunu, izin verilen yazılım setinin yetersiz olduğuna inandıkları ya da sadece kişisel bilgisayarlarındaki tanıdık programı tercih ettikleri için kullandıkları ürünlerin işlevselliğini genişletme amaçlı kullanıyor.