KOBİ’ler tehdit altında mı? Siber ataklara karşı nasıl bir yol izlemeli?

Komtera Ankara ve Anadolu Kanal Satış Yöneticisi Serdar Aydemir, “KOBİ’ler tehdit altında mı? Siber ataklara karşı nasıl bir yol izlemeli?” başlığı altında KOBİ’lerin siber güvenlik alanında alması gereken önlemlere dair değerlendirmelerde bulundu.

Aydemir şunları söyledi:

KOBİ’ler siber güvenlik anlamında aslında en zayıf halkalardan bir tanesi. Büyük firmalarla KOBİ’leri karşılaştırdığımızda, KOBİ’lerin küçük ve orta ölçekli işletmeler olarak teknolojik ürünlere tamamen yatırım yapmadığını görüyoruz. Eksik yatırımlar yaptıklarını gözlemliyoruz. Geçenlerde bir fabrikaya ziyaret ettiğimde, üretim yapan fabrikaya BTK’dan bir yazı gelmiş. “Sizin dışarıya açık bir portunuz var. Bununla ilgili tedbir almazsanız ceza yiyeceksiniz” denmiş. Apar topar bizlere ulaşıp bir güvenlik duvarı talebinde bulundular. Sırf o kanun ya da ceza yememek adına firmalarda şöyle bir durumla karşılaşıyoruz: KOBİ’ler hacklendiğinde, hacklendikten sonra bize gelip “Bize ne gerekiyorsa alalım” diyorlar. Musluğun ucunu açıyorlar, firewall, antivirüs ne gerekiyorsa hepsini alıyorlar ve orada bir bütçe sıkıntısı olmuyor. Ama normalde yaklaşım şu: “Biz küçük firmayız, bizi hackerlar ne yapacak, nereden buluyorlar?” diye soruyorlar. Aslında hackerlar firma odaklı ismiyle gitmiyor. Her firmanın bir dış IP’si vardır. Google’a girdiğinizde “IP nedir?” yazdığınızda bir dış IP’si olduğunu görürsünüz. O IP havuzunu yapay zekayla tüm dünyada tarıyorlar. Bakıyorlar ki açık olan portlar var. Oradan direkt olarak kullanıcı adını ve şifresini brute force dediğimiz kaba kuvvet saldırısıyla ele geçiriyorlar. Bu şifreyi ele geçirdikten sonra da içerideki dosyaları şifreleyip sonrasında fidye istiyorlar. Bunu bireysel bilgisayarlarda da karşılaşıyoruz. KOBİ’lerde biraz yöneticilerin, firma sahiplerinin neyi nasıl yatırım yapacağıyla ilgili bilgi sahibi olması gerekiyor. Bazılarının çoğunda IT yöneticisi var, bazılarında hiç yok. Bazılarını sadece dışarıdan danışmanlık şeklinde arıyorlar. Gerçekten KOBİ’lerin güvenilir danışmanlara da ihtiyaçları var ki bazı ürünler olmazsa olmazdır. Bu bir güvenlik duvarıdır, bu bir endpoint, bu bir hotspot yazılımı, bu bir yedeklemedir. Zaten hacklenmiş bir firma geldiğinde ilk sorduğumuz şey şu: “Hocam sakin olun, önce yedeklerden geri dönün.” Cevap şu: “Bizim yedeklerimiz de şifrelenmiş.” Burada aslında KOBİ’lerin de bir 3-2-1-0 kuralına göre bir yedekleme politikası olmadığını görüyoruz. Firmalar, Crack’li antivirüs kullanmaktan ya da firewall yerine modemin özelliklerini kullanarak hayatlarını devam ettirmeye çalışıyorlar. Ta ki hacklenene kadar. Eğer bir bölgede bir firma hacklendiğinde bu dedikodu şeklinde yayılıp diğer firmaların da bu yatırımı yapmalarına vesile oluyorlar. Keşke böyle olmasa ama maalesef Türkiye’de bazı firmalar başına gelmeden bu işi anlamıyorlar. Bu yüzden de KOBİ ölçeğindeki firmaların kesinlikle bir check-up yaptırması, yani sızma testi gibi bir şey yaptırması lazım ki “Bizim ne açığımız var, ne eksiğimiz var?” Firmalara şunu soruyoruz: “Sizin bilgileriniz ne kadar değerli?” Bilgiler eşittir altın değerinde. Bugün verilerini kaybeden ve iflas eden birçok firma duyuyoruz. Çünkü veri olmadan hiçbir şey olmuyor. Firma yöneticilerine de bu verilerin önemini, siber güvenlik ürünleriyle nasıl koruyacaklarına dair tedbirleri alması gerekiyor. Zorunlu ihtiyaçlar var. Bunlara bakacak olursak 5651 sayılı kanunu açarsanız, KVKK kanunu açarsanız, ISO 27001 açarsanız burada zaten olması gereken ürünler var. Bu ürünlerle ilgili yatırım yaptıktan sonra bunların faydalarını aslında firma sahiplerine doğru anlatılması gerekiyor. “Efendim, biz size bir güvenlik duvarı aldık. Bunun faydaları bunlar bunlar. Kullanıcıları loglayacaksınız. Yasaklamaları yapacaksınız. Siber saldırılara karşı koruyacağız. Böyle bir tehlike geldi.” raporu gibi sunduğunuz zaman, o zamanki KOBİ sahipleri, firma sahipleri bu yatırımı yapmaya başlıyor.

KOBİ’lerde Siber Güvenlik: Neden Önemli?

Küçük ve orta ölçekli işletmeler (KOBİ’ler), siber güvenlik konusunda genellikle büyük firmalara kıyasla daha zayıf bir konumda bulunuyor. Bunun temel nedeni, KOBİ’lerin teknolojik yatırımlara yeterince önem vermemesi ve bu alanda eksik kalmalarıdır. Ancak, siber saldırılar yalnızca büyük firmaları hedef almaz; her büyüklükteki işletme bu tür tehditlerle karşı karşıya kalabilir. Bu nedenle, KOBİ’lerin siber güvenlik konusundaki farkındalıklarını artırmaları ve gerekli önlemleri almaları büyük önem taşır.

KOBİ’lerin Siber Güvenlikte Karşılaştığı Zorluklar

KOBİ’ler, genellikle siber güvenlik yatırımlarını ihmal ederler. Bunun sebeplerinden biri, “Biz küçük bir firmayız, bizi kim hedef alır?” düşüncesidir. Ancak, hackerlar firma ismiyle değil, IP adresleri üzerinden saldırı düzenler. Bu nedenle, her firmanın siber güvenlik önlemlerini alması gereklidir.

Yetersiz Yatırımların Sonuçları

KOBİ’ler, genellikle siber saldırıya uğradıktan sonra güvenlik önlemleri almaya başlarlar. Bu da, saldırı sonrası oluşan zararların daha da büyümesine neden olur. Örneğin, yedekleme yapmayan bir firma, saldırı sonrası verilerini kaybedebilir ve bu durum iflasa kadar gidebilir.

Gerekli Siber Güvenlik Önlemleri

KOBİ’lerin alması gereken bazı temel siber güvenlik önlemleri vardır. Bunlar arasında güvenlik duvarları, antivirüs yazılımları, yedekleme sistemleri ve sızma testleri bulunur. Bu önlemler, firmanın siber saldırılara karşı daha dirençli olmasını sağlar.

Yasal Yükümlülükler ve Standartlar

KOBİ’ler, 5651 sayılı kanun, KVKK ve ISO 27001 gibi yasal düzenlemelere uymak zorundadır. Bu düzenlemeler, firmaların hangi siber güvenlik önlemlerini alması gerektiğini belirler. Bu nedenle, KOBİ’lerin bu yasal yükümlülükleri yerine getirmesi önemlidir.

Siber Güvenlik Farkındalığı ve Eğitim

KOBİ’lerin siber güvenlik konusunda farkındalıklarını artırmaları ve çalışanlarını bu konuda eğitmeleri gereklidir. Bu, firmanın siber saldırılara karşı daha hazırlıklı olmasını sağlar ve olası zararları minimize eder.

Sonuç ve Öneriler

KOBİ’ler, siber güvenlik konusunda daha bilinçli ve proaktif olmalıdır. Yeterli yatırımlar yapılmadığında, siber saldırılar ciddi zararlar verebilir. Bu nedenle, KOBİ’lerin siber güvenlik önlemlerini alması, yasal yükümlülüklere uyması ve çalışanlarını eğitmesi büyük önem taşır. Bu adımlar, firmanın hem güvenliğini artırır hem de uzun vadede daha sürdürülebilir bir iş modeli oluşturmasına yardımcı olur.