Şirketler bir yandan sürekli değişen ofis ve ofis dışı çalışanlar karmaşasını idare ederken, diğer yandan siber saldırı riskini nasıl en aza indirebileceğini planlamaya çalışıyor. ESET, hibrit çalışma modelini irdeleyerek dikkat edilmesi gereken güvenlik stratejilerini inceledi.
Uzaktan çalışma modeli pandemi sonunda gerileme eğiliminde olmasına karşın devam edecek gibi görünüyor. En çok ilgi çeken model, çoğu çalışanın evden çalışarak zaman geçirmesine izin verilen ama haftanın en azından bir bölümünde ofise gelmelerini de gerektiren hibrit model. Bu çalışanlar ve işverenler için “olası en iyi” çözüm olarak düşünülüyor. Akıllardaki soru işareti ise, geçtiğimiz son 12 ayda toplu uzaktan çalışmanın, tehdit aktörlerinin başarılı olmalarına yönelik mükemmel koşulları da oluşturması. BT güvenlik ekiplerinin, 2020 yılının başlarına kıyasla daha hazırlıklı olacakları umulabilir ama birçok iş lideri hibrit çalışma detayları ile ilgili hala kararsız.
Hibrit çalışma modeli kalıcı olacak
Hibrit çalışmaya geçiş kaçınılmaz görünüyor. Dünya 2020 yılında evde kaldığında, çalışanlar yeni iş-hayat dengesini oldukça sevdiklerini fark ettiler. Yöneticiler, üretkenliğin bir anda azalmadığını öğrenince şaşırdılar. Çevrimiçi işbirliği, şirket tarafından verilen dizüstü bilgisayarlar ve yeni çalışma şeklini güçlendiren ve destekleyen bulut altyapısı sayesinde, teknoloji boşluğu doldurmak üzere devreye girdi. Artık uzun COVID biçimli tünelin sonunda ışık görünse de, Microsoft’a göre, şirket liderlerinin üçte ikisi ofis alanını yeniden tasarlamayı düşünürken, çalışanların yüzde 73’ü çalışma seçenekleri konusunda esnek kalmak, yüzde 67’si ise daha fazla yüz yüze işbirliği istiyor. Yeni hibrit model personelin refahının, elde tutma ve istihdam etme süreçlerinin iyileştirilmesi, üretkenliğin artırılması ve iş gücünün yeniden canlandırılmasının önemli bir yolu olacak. Yine de detaylar konusunda hala kafa karışıklıkları söz konusu. McKinsey’e göre, küresel organizasyonların yüzde 90’ı, pandemi sonrasında uzaktan ve şirket içi çalışmayı kalıcı olarak birlikte kullanacak ama yüzde 68’inin henüz dile getirilen ya da uygulamaya konulan detaylı bir planı bulunmuyor.
Hibrit iş yerinde güvenlik zorlukları
ESET Araştırma Birimi bu yılın başlarında, küresel şirketlerin yüzde 80’inin evden çalışan personellerinin siber tehditleri ele almak için gerekli bilgi birikimine ve teknolojiye sahip olduklarından emin olduklarını saptadı. Aynı çalışmada, katılımcıların dörtte üçü bir siber güvenlik olayından etkilenmelerinin olası olduğunu itiraf etti ve yarısı geçmişte bir ihlal olayı yaşadıklarını söyledi. İşletmelerin birçoğunun 2020 boyunca ve 2021’nin ilk bölümünde birinci elde şahit oldukları birden fazla zorluk var. Bu zorluklar arasında şunlar yer alıyor:
İnsan unsuru
Herhangi bir siber güvenlik uzmanına sorduğunuzda size kurumsal güvenlik zincirindeki en zayıf halkanın çalışanlar olduğunu söyleyecektir. İşte bu nedenle, pandeminin ilk günlerinde umutsuzca krizle ilgili en son haberlere ulaşmaya çalışan kullanıcıları kandırmak için kimlik avı kampanyalarının topluca başka amaçlarla kullanmak üzere değiştirilmesine şahit olunuldu. Nisan 2020’de, Google her gün 240 milyon COVID temalı istenmeyen mesaj ve 18 milyon kötü amaçlı yazılım ve kimlik avı e-postası engellediğini iddia etti. Evden çalışanlar tehditlere daha fazla maruz kalıyor; çünkü ev arkadaşları ya da aile üyeleri dikkatlerini dağıtabiliyor ve bu nedenle de, yanlışlıkla kötü amaçlı bağlantıları tıklama olasılıkları daha yüksek. Şüpheli bir e-postaya tutarlılık kontrolü yaptırmak için BT desteğine başvurmak ya da bir iş arkadaşına ricada bulunmak, uzaktan çalışırken çok daha zor oluyor. Kişisel dizüstü bilgisayarlar ve ev ağları da kötü amaçlı yazılımlara karşı daha az koruma sunuyor. Artık çalışanlar ofise geri dönüyor ve beraberlerinde son 18 ayda edindikleri kötü alışkanlıkları getiriyor olabileceklerine dair anlaşılabilir kaygılar söz konusu.
Teknoloji ve buluta özgü zorluklar
Pandemi esnasında tehditlere maruz kalan bir diğer şey, uzaktan çalışma altyapısı oldu. ESET 2020 yılı 3. Çeyreğinde RDP saldırılarında %140 artış olduğunu bildirdi. Geçen yıl yeni bulut hizmetlerinin yoğun bir şekilde benimsenmesi, tehdit aktörlerinin de dikkatini çekti. SaaS teklifleri ile ilgili zayıflıklar, hatalı kullanıcı yapılandırmaları ve çalınan hesap parolaları raporları konusunda sürekli kaygılar yaşanıyor. Bazı sağlayıcıların güvenlik ve gizlilik taahhütleri konusunda endişeler var. Cloud Industry Forum tarafından yapılan ankete katılan işletmelerin yüzde 41’inin, ofisin buluttan daha güvenli bir ortam olduğuna inandıkları söyleniyor. Ayrıca hibrit bir iş yeri, hiç şüphe yok ki, verilerin uzaktan çalışanlar, bulut sunucuları ve ofis çalışanları arasında daha da fazla mekik dokumasını da gerektirecek. Bu karmaşa dikkatli yönetimi zorunlu kılacak.
Daha güvenli bir hibrit iş yeri nasıl planlanır?
Yeni hibrit iş yerinin güvenliğini sağlamak zor olsa da, CISO’lara yol gösterebilecek iyi uygulamalar mevcut. Şirket içi ve uzaktan çalışanlar, bulut tabanlı çalışanlar ve sistemlerin neden olduğu karmaşayı yönetmenin bir yolu olarak “Sıfır Güven” modelinin popülerliği artıyor. Google, Microsoft ve diğer teknoloji öncülerinin öncülüğünü yaptığı bu model eski kurumsal çevre güvenliği düşüncesinin artık geçersiz olduğu önermesine dayalı. Bugün kurumsal ağdaki cihazlara ve kullanıcılara artık körü körüne inanılmıyor. Çok faktörlü kimlik doğrulaması (MFA) ve uçtan uca şifrelemeden, ağ algılaması ve tepkisi, mikro bölümlendirme ve daha fazlasına kadar, birden fazla teknolojinin etkili bir şekilde çalışmasını gerektirecek.
Kuruluşların yeni hibrit iş yeri ilkelerini yeniden kaleme almaları gerekiyor. Her bir çalışanın erişim hakları, uzaktan bağlantı süreçleri, şirket dışı veri kullanımı ve kullanıcıların siber güvenlik sorumlulukları yeniden planlanmalı. Tüm çalışanlara kısacık dersler halinde sunulan düzenli eğitim ve farkındalık oturumları tüm işletmelerin siber güvenlik duruşunun geliştirilmelerini sağlayan önemli bir bileşendir. Çalışanlar en zayıf halka olabilir ama onların aynı zamanda ilk savunma hattını oluşturduğu unutulmamalıdır.
