Buluttaki veri sızıntılarının yüzde 90'ı kullanıcılardan kaynaklanıyor

Kaspersky tarafından hazırlanan "Bulut Güvenliğini Anlamak: Uygulama Avantajlarından Tehditler ve Endişelere" başlıklı yeni raporda, kurumsal veri sızıntılarının yaklaşık yüzde 90'ının bulut hizmet sağlayıcının yaşadığı sorunlardan değil, müşterilerle çalışanların sosyal mühendislik yöntemleriyle hedef alınmasından kaynaklandığı belirtildi.

Kaspersky'den yapılan açıklamada, "Bulut Güvenliğini Anlamak: Uygulama Avantajlarından Tehditler ve Endişelere" başlıklı yeni rapora ilişkin bilgi verildi.

Buna göre, bulut hizmetlerinden yararlanan kurumlar iş süreçlerini daha esnek bir şekilde halledebiliyor, sermaye harcamalarını azaltabiliyor ve BT ihtiyaçlarını daha hızlı karşılayabiliyor ancak bulut altyapısının sürekliliği ve verilerinin güvenliğinden de endişe ediyor.

Rapora göre, kurumsal veri sızıntılarının yaklaşık yüzde 90'ı bulut hizmet sağlayıcının yaşadığı sorunlardan değil, müşterilerle çalışanların sosyal mühendislik yöntemleriyle hedef alınmasından kaynaklanıyor.

KOBİ'ler ve kurumsal şirketlerin en az 3'te biri (KOBİ'lerde yüzde 35, kurumsal şirketlerde yüzde 39), dışarıdan alınan BT altyapısı hizmetini etkileyecek vakalardan da çekiniyor. Böyle vakalar, bulut hizmetlerinin getirdiği faydaları ortadan kaldırıp üstesinden gelmesi zor olan ticari riskler ve itibar kayıpları yaşatabiliyor.

Kurumlar genellikle harici bulut platformlarının güvenliğinden şüphelenirken, asıl zayıf noktanın çok daha yakınlarında olduğunu fark etmiyor. Bulut hizmetlerinde yaşanan vakaların 3'te biri (yüzde 33) çalışanları hedef alan sosyal mühendislik yöntemleriyle gerçekleşirken, vakaların yalnızca yüzde 11'i bulut hizmet sağlayıcısının hatalı faaliyetleri nedeniyle yaşanıyor.

Yapılan anket, dışarıdan destek alındığında yeterli siber güvenlik önlemleri almak için yapılması gerekenler olduğunu gösteriyor. KOBİ'lerin yalnızca yüzde 39'u ve kurumsal şirketlerin de yüzde 47'si bulut hizmetlerine özel bir koruma sistemi kullanıyor. Bunun ardında, şirketlerin siber güvenlik için bulut altyapı sağlayıcısına güvenmesi yatıyor. Şirketler ayrıca standart uç nokta koruma sistemlerinin bulut ortamlarında hiçbir olumsuz etki yaratmadan düzgün bir şekilde çalıştığına da inanıyor.

Atılması gereken ilk adım

Açıklamada görüşlerine yer verilen Kaspersky Global Satışlardan Sorumlu Başkan Yardımcısı Maxim Frolov, şunları kaydetti:

"Açık buluta geçen tüm şirketlerin atması gereken ilk adım, kurumsal verilerden ve içindeki iş yüklerinden kimin sorumlu olduğunu anlamak olmalı. Bulut hizmet sağlayıcıları platformlarını ve müşterilerini korumak için özel siber güvenlik önlemleri alıyor fakat tehdit müşteri yönünden geldiğinde bu durum hizmet sağlayıcının sorumluluğundan çıkıyor. Yaptığımız araştırmada, şirketlerin çalışanlarının siber güvenlik farkındalığına daha çok dikkat etmesi gerektiğini ve bulut ortamlarını içeriden gelen tehditlere karşı koruyacak önlemler alması gerektiğini gördük."

Kaspersky, verilerin bulutta güvenli bir şekilde kalmasını isteyen şirketlere almaları gereken önlemleri şöyle sıraladı:

"Çalışanlarınıza siber tehditlerin kurbanı olabileceklerini anlatın. Tanımadıkları kişilerden gelen bağlantılara tıklamamaları ve ekleri açmamaları gerektiğini öğretin. Eğitimi oyun şeklinde veren Kaspersky Güvenlik Farkındalığı gibi özel eğitimler bunun için yardımcı olabilir. Bulut platformlarının onaysız kullanılması riskini azaltmak için çalışanlarınıza gölge BT yaklaşımının olumsuz etkilerini anlatın, her departmanda bulut altyapısı satın alımı ve kullanımı için kurallar belirleyin. Sosyal mühendislik saldırı vektörünü engellemek için uç nokta güvenlik çözümü kullanın. Bu çözümde e-posta sunucuları, e-posta istemcileri ve tarayıcılar için koruma özelliği olmasına dikkat edin. Buluta geçişten hemen sonra bulut altyapınız için koruma önlemleri uygulayın. Tüm bulut platformlarında güvenliği yönetmek, bulut ana makinelerini otomatik tespit etmek ve koruma sistemini her birine otomatik ölçeklendirmeyle dağıtmak için birleşik bir yönetim konsoluna sahip, buluta özel bir siber güvenlik çözümü tercih edin. Kaspersky Hybrid Cloud Security birden fazla bulut platformu kullanan şirketlere çok katmanlı koruma, tek noktadan siber güvenlik yönetimi ve kusursuz kontrol sunuyor. Sık görülen ve karmaşık tehditleri tespit eden bu çözüm, sanallaştırılmış ortamlardan AWS ve Microsoft Azure gibi açık bulut platformlarına kadar tüm bulut altyapısını koruma altına alıyor."