Veri ihlali, DDoS saldırısı, kötü amaçlı yazılım (malware), fidye yazılım (ransomware) ve ‘phishing’ gibi terimleri haberlerde görmeden bir günümüz bile geçmiyor. Gelişmiş web güvenliği ihtiyacı kritik bir konu ve göz ardı edilmemeli. Bazı sektörler, diğerlerine göre saldırılara karşı daha hassas ancak herkesin hedef olabileceğini de unutmamak gerek.
Saldırılara karşı en hassas beş sektöre geçmeden önce, ilk evvel neyin/nelerin tehlikede olduğuna göz atalım. Hacker’ların verilerinizle neler yapabileceğini görmeniz, veri ihlalinin nelere yol açabileceğini tahmin etmeniz açısından faydalı olacaktır.
Web güvenliği ders 1: Hacker’lar hangi verilerin peşinde?
“Hacking” denilen eylem zaman, efor ve risk gerektiriyor; bu nedenle insanların bu yasadışı faaliyete neden bulaştıklarını merak ediyorsunuzdur. Bunun cevabı basit: kişisel, kişiyi tanımlamak için kullanılan bilgileri ele geçirmek için. Söz konusu bilgiler arasında T.C. kimlik numarası, adres, doğum tarihi, kredi kartı numarası gibi bilgiler bulunuyor.
Hacker’ların bu bilgilerin peşine düşme nedenlerini iki maddede genelleyebiliriz:
- Politik kazançlar (ülkeler arası saldırılar)
- Finansal kazançlar
İkinci madde, daha sıklıkla rastlanan bir motivasyon ve bu nedenle yazımızın asıl konusu.
Web güvenliği ders 2: Kişisel bilgiler
Hacker’lar çoğu zaman kişisel bilgilerinizle direkt olarak ilgilenmezler. Ancak ele geçirdikleri bilgileri, özellikle toplu şekilde olmak üzere “dark web” olarak da bilinen, online kara borsada sattıklarında gelir elde ederler. Dark web kullanıcılarını tespit etmek oldukça zordur çünkü lokasyonları ve bilgileri gibi izleri bulunmaz haldedir. Siber suçlular, dark web’e başkalarının kişisel bilgilerini almak için girerler ve bunun sonucu da genellikle kimlik hırsızlığına varır.
Peki, kişisel bilgilerinizin değeri ne? Bir kişinin tüm kişisel bilgileri genellikle bir hırsız tarafından 21.35 Dolara alınıyor.
Pek çok insan, farklı hesaplar için aynı şifreyi kullandığı için veri ihlali sırasında şifrelerin çalınması durumunda siber hırsızlar bunu farklı hesaplara erişim elde etmek için de kullanacaktır.
Gelişmiş web güvenliği söz konusu olduğunda çok basit bir adım gibi görünse de şifrelerinizin güçlü, değişik ve güncel olması önemli.
Ele geçirilen kişisel bilgiler, sahibinden fidye istemek için kullanılabiliyor ancak hacker’lar genellikle bunları sahibiyle etkileşime geçmeden satışa sunmayı tercih ediyor. İnternetteki pek çok web sitesi değerli kişisel bilgileri depolasa da, bunları direkt olarak kullanan sektörler saldırılara karşı daha hassas durumda.
Gelişmiş web güvenliği ihtiyacı gerçekten olan 5 sektör
Evet, kişisel bilgileri kabul eden ve toplayan her işletme hacker’ların hedefi olabilir. Ancak bazı sektörler, topladıkları verilerin türü nedeniyle online veriler söz konusu olduğunda daha riskli durumda. Belirlediğimiz ilk 5 sektör şöyle:
- Sağlık
- Finansal hizmetler
- Devlet kurumları
- Ticari kuruluşlar
- Ulaşım
İşletmeniz bu sektörlerden birinde mi faaliyet gösteriyor? Web güvenliği konusuna daha fazla odaklanıp, müşterilerinizin güvenliğini sağlayacak önlemler almanız gerekebilir.
1. Sağlık sektörü ve web güvenliği
Sağlık sektörü, 2016 yılında hacker’ların ana hedefleri arasında yer alan sektörlerdendi ve bu konumda kalması bekleniyor. Bu sektör, aralarında iletişim bilgileri, sağlık sigortası bilgileri, kimlik numaraları ve ödeme bilgileri de olmak üzere oldukça fazla sayıda ve çeşitte kişisel bilgi barındırıyor.
Sağlıkla ilgili bilgiler, genellikle sahte sigorta ödemesi talepleri ve reçeteli ilaç alımlarında kullanılıyor.
Özellikle hastaneler, fidye yazılımların ana hedeflerinden biri olarak dikkat çekiyor. Tek bir başarılı saldırı bile bilgisayarların ve ekipmanların kitlenmesine neden olabilir. Tehlikede olan özel, kişisel bilgiler ve hayatlar söz konusu olduğu için bu fidyeler genellikle ödeniyor.
2. Finansal hizmetler ve web güvenliği
Finansal hizmetler şirketlerinin neden sıklıkla hack’lendiğini tahmin etmek zor olmasa gerek. Finansal hizmet web sitelerini hack’leyenler, kredi kartı bilgilerinin yanı sıra kimlik numaraları, banka hesapları, yatırım bilgileri ve vergi kayıtlarını da ele geçiriyor. Bunları ele geçiren siber suçlular, para çalmak, faturalarını ödemek ve hatta krediye başvurmak için bu kişisel bilgileri kullanıyor. Seçkin ve zengin sınıfın bilgilerinin çalınması açısından gözde finansal hizmetler kurumları hacker’ların öncelikli hedefleri arasında.
3. Devlet kurumları ve web güvenliği
Devlet kurumları, aralarında kimlik bilgileri, ehliyet bilgileri, sağlık bilgileri ve vergi kayıtlarının da olduğu, vatandaşların çeşitli kişisel bilgilerini yönetiyor. Bu bilgilerinin ne kadar hassas olduğuna devlet kurumlarının veri güvenliği konusunda çok fazla bütçesi olmadığını kattığınızda bu sektörün neden ana hedefler arasında yer aldığını anlamak zor değil. Bunlara ek olarak, devlet kurumları uluslararası siber saldırıların da öncelikli hedefleri arasında yer alıyor.
4. Ticari kuruluşlar ve web güvenliği
Her gün gerçekleşen satışlar ve ilgili işlemler göz önünde bulundurulduğunda, e-ticaret sektörü siber saldırıların hedefleri arasında yer alıyor. Hacker’lar aynı zamanda tek seferde pek çok kredi kartı ve diğer ödeme bilgisi ele geçirmenin peşinde.
Ödemeler için üçüncü taraf hizmetleri kullanan ve kendi web sitelerinde kişisel bilgi barındırmayan işletmeler, web güvenliği konusunda diğerlerine göre daha az hassas.
Diğer yandan, PayPal gibi bir ödeme sisteminin ihlali, her hacker’ın rüyasıdır. Operasyon ne kadar büyükse, elde ettikleri o kadar büyük olur.
5. Ulaşım sektörü ve web güvenliği
Global sistemler, tüketici taleplerini karşılamak doğrultusunda giderek daha da dijitalleştiği için ulaşım ve lojistik sektörleri de hacker’ların ana hedefleri arasında yerini aldı. Ulaşım sektörlerinin elinde, hem tüketiciler, hem de sektörler ilgili, platformlar arasında farklı güvenlik seviyelerinde transfer edilen çok fazla bilgi mevcut. Bu uygulamalar, genellikle hacker’lara çok fazla açık veriyor.
Veri ihlalinin sonuçları
IBM’nin 2017 yılında yaptığı, Veri İhlalinin Maliyeti Çalışmasının sonuçlarına göre veri ihlalinin global maliyeti yaklaşık 3,62 milyon Dolar seviyesinde.
Veri ihlali olduğunda, söz konusu kuruluşun tüketicilere bildiri göndermek, ihlal sonrası tüketici koruması, uyumluluk ücretleri, halka ilişkiler programları ve kriz iletişimi, yasal maliyetler ve güvenlik geliştirme gibi alanlara yatırım yapması gerekiyor.
İhlalin kendisinin yüksek maliyetinin yanı sıra, bununla başa çıkmak için harcanacak para da kuruluşlar üzerinde ağırlık oluşturur. Marka saygınlığı ve tüketici güveni gibi unsurlar geri gelemeyecek şekilde kaybolabilir.
Web güvenliği için şimdi harekete geçin
Bahsettiğimiz konuları göz önünde bulundurduğunuzda web güvenliği için bir şirketin olmazsa olmazı diyebiliriz. Web güvenliği için hemen harekete geçmek için GoDaddy’nin Web Güvenliği sayfasına göz atabilirsiniz.
Unutmayın ki, hacker ekosisteminin giderek büyümesiyle hiçbir işletmenin web güvenliğini öteleme lüksü yok. Hiçbir sektör bu tehditlerden muaf değil ve müşterilerinizin verilerini korumanız, işletmenizin sürdürülebilirliği açısından hayati öneme sahip.