TechCrunch’ın düzenli okuyucuları, 2024 yılının – önceki yıllar gibi – veri ihlalleri, fidye yazılımı saldırıları ve birkaç basit yazılım açığı üzerinden gerçekleştirilen kitlesel hack olaylarıyla dolu olduğunu biliyor. En iyi kaynaklara sahip kuruluşlar bile son 12 ayda hacker’ların sistemlerine sızmasını engelleyemedi. AT&T, yıl içinde yaşadığı ikinci büyük ihlalinde “neredeyse tüm müşterilerini” etkileyen bir durum ile karşılaştı; Ticketmaster, bulut depolama devi Snowflake’ın hacklenmesi sonucu yaklaşık 560 milyon kaydın çalındığı iddiasıyla gündeme geldi; sağlık sigortası devi Change Healthcare ise, en az üç Amerikalı’nın hassas tıbbi bilgilerini ele geçiren bir fidye yazılımı çetesi tarafından saldırıya uğradı.
Startup’ınızın 2025 yılında aynı kaderi paylaşmasına gerek yok. Güvenlikteki bazı basit önlemler, kötü niyetli hacker’ların sizi hedef almasını engellemeye yardımcı olabilir.
İşte yeni yıla girerken almanız gereken bazı basit – ama etkili! – siber güvenlik önlemleri.
Şirket Parolarınızı Güvenli Bir Şekilde Saklayın
Parola yöneticileri, çalışanlarınızın parolalarını hatırlaması gerekmeksizin tüm şirket parolarınızı güvenli bir şekilde saklar. Parola yöneticileri aynı zamanda tüm hesaplarınız için benzersiz ve karmaşık parolalar oluşturmanıza ve kaydetmenize yardımcı olur. Bu, parola yeniden kullanımı ile oluşan hesap ihlallerini önler; zira hackerlar, farklı çevrimiçi hesaplar arasında aynı kullanıcı adı ve parolayı kullanan kişileri hedef alır. Bir parolanın ele geçirilmesi, hackerların o kişinin diğer hesaplarına erişmesine neden olabilir. Bazı şirketler, dolandırıcılık saldırılarına karşı dirençli olan parolalar yerine geçiş anahtarları gibi teknolojilere yöneliyor.
Çok Faktörlü Kimlik Doğrulamayı Uygulayın
Parolalar, en önemli hesaplarınızı kötü niyetli tehditlere karşı koruma konusunda yeterli değildir. Hackerlar, 2024 yılında en az 1 milyar kişisel kaydı çaldı ve bu durum büyük ölçüde çok faktörlü kimlik doğrulama ile korunmayan kurumsal hesapların kötüye kullanımıyla mümkün oldu.
Çok faktörlü kimlik doğrulama (MFA), kullanıcıların giriş yaparken yalnızca bir parolanın yanı sıra ek bir kod sağlamasını gerektiren bir güvenlik özelliğidir. Bu durum, siber suçluların çevrimiçi hesaplara girmesini çok daha zor hale getirir. Bulut bilişim devi Snowflake örneğinde, MFA’nın zorunlu hale getirilmesi, hackerların AT&T ve yüzlerce diğer kurumsal müşterinin hassas verilerini çalmasını önleyebilirdi.
Güvenlik uzmanları, SMS ile gönderilen kodların bazı durumlarda ele geçirilebilmesi sebebiyle, giriş kodları üretmek için cihazlarda oluşturulan doğrulayıcı uygulamaların kullanılmasını önermektedir.
Yazılımınızı Güncel Tutun
2024 yılındaki en büyük ihlallerin bazıları, yıllardır var olan bir sorundan kaynaklandı: üçüncü taraf yazılımlardaki yamanmamış güvenlik açıkları. Son yıllarda sıkça hedef alınan yazılımlardan biri, büyük firmaların genellikle büyük boyutlu veri dosyalarını internet üzerinden transfer etmek için kullandığı yönetilen dosya transfer araçlarıdır. Bu tür ürünler, genellikle yıllar boyunca desteklenmektedir ve değerlendirildiğinde hassas şirket verilerini saklama potansiyeline sahiptir.
Bazı hatalar, bir yamadan önce ortaya çıkan zero-day saldırıları olarak kullanılırken, şirketlerin yapması gereken en iyi şey, iç yazılımlarının güncel tutulmasını sağlamak ve güvenlik yamanmalarını mümkün olduğunca çabuk gerçekleştirmektir.
Şirket Verilerinizi Yedekleyin
Fidye yazılımı saldırıları, 2024 yılında bir kez daha rekor kırarak, şirketlerin verilerini geri almak için hackerlara büyük paralar ödemesine sebep oldu. Şirketinizin verilerini düzenli olarak yedeklemek, veri şifreleme ve çalınma saldırılarına karşı kritik bir savunma hattıdır. Yedeklemeler, hackerların mağdurlara önemli veri kaybı olmadan işlerini geri yüklemelerinde yardımcı olabileceği için hedef alabilir. Şifreli çevrimdışı yedeklemelere sahip olmak, güvenlik ya da veri felaketleri durumunda yardımcı olabilir.
Telefonu Açmayı Bırakın
Hackerlar, yıllarca süren kötü niyetli e-posta tuzakları ile kurbanlarına saldırırken, bazı hacking grupları dolandırıcı telefon görüşmelerine yönelmeye başladı. Örneğin, otel ve kumarhane devi MGM’ye yapılan bir tek telefon görüşmesinin, 2023 yılında yaşanan devasa bir ihlale neden olduğu bildirilmektedir. Bu durum, eğlence devine en az 100 milyon dolara mal oldu. TechCrunch yazarlarından Zack Whittaker’ın belirttiği gibi: Beklenmedik telefon görüşmelerine karşı her zaman şüpheci olun ve asla gizli bilgilerinizi doğrulama olmadan paylaşmayın.
Şeffaf Olun
Her şeyi doğru yapsanız bile, startup’ınızın hedef alınması konusunda hiçbir garanti yoktur. Kaynakları sınırlı olan startup’lar, hackerlar için prime hedef durumundadır. Şirketiniz bir siber saldırıya uğrarsa, yaşanan durumu açık bir şekilde paylaşmak, sonuçlar açısından gerçekten büyük fark yaratabilir. Şeffaflık, müşterilerinizin gerekli önlemleri almasına yardımcı olabilir ve böylece başkalarının benzer saldırılara karşı daha hazırlıklı olmasına olanak sağlar.
Bir veri ihlalinin gizli tutulması, sadece üzücü bir itibar kaybına neden olmakla kalmaz, aynı zamanda potansiyel olarak size büyük cezalar da getirebilir – ayrıca TechCrunch’ın yıllık “kötü yönetilen ihlaller” özetinde yer alma ihtimaliniz de artar.
