Faydalarına rağmen farkındalık kampanyaları, siber güvenlikle ilgili en iyi uygulamaların daha fazla benimsenmesini teşvik etmek için tek başına yeterli değil
Ekim ayına girerken hükümetler, kâr amacı gütmeyen kuruluşlar, siber güvenlik tedarikçileri ve kurumsal sosyal sorumluluk ekiplerine sahip birçok şirket, muhtemelen çevrimiçi ortamda güvende kalmak için bazı yararlı ipuçları vermeye hazırlanıyor. CSAM’ın bu yılki resmi temasına bile bakmadan, geçen hafta bir meslektaşıma “güçlü ve benzersiz parolalar kullanın, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin ve kimlik avı bağlantılarına tıklamaktan kaçının” gibi tavsiyeler sıraladım ve elbette bu yılki resmi “Dünyamızı Güvenceye Alın” temasının neredeyse tüm ana noktalarına değinmiş oldum.
Şimdi, her Ekim ayında dolaşan bu tür iyi niyetli kılavuzların bolluğu göz önüne alındığında bunun güvenli ve emniyetli bir siber alan yaratmaya yardımcı olmak için yeterli olması gerektiğini düşünüyor olabilirsiniz. Ama gerçekten öyle mi? Bu tavsiyeler anlamlı bir davranış değişikliği yaratmada ve bugünün ve yarının artan güvenlik risklerinin ele alınmasına yardımcı olmada etkili oldu mu? Belki de mevcut yaklaşımı eleştirel bir gözle incelemenin ve tavsiyelerin tek başına yeterli olmadığını kabul etmenin zamanı gelmiştir.
İpuçları ve püf noktalarının ötesinde
On yıl boyunca aynı rehberliği teşvik ettikten sonra (CSAM’ın kendisi bu yıl 21. yıldönümünü kutluyor), sektörün radikal bir şekilde yeniden düşünmesinin ve konuşmanın yanı sıra, özellikle kişisel olarak tanımlanabilir bilgilerin (PII) veya diğer değerli verilerin söz konusu olduğu durumlarda daha iyi siber güvenlik uygulamalarını yasallaştırmasının ve uygulamasının zamanı geldi. Ben genellikle sorunları mevzuat ve düzenlemelerle çözme taraftarı değilim ancak gerçek şu ki ihtiyacımız olan hızda ilerleme kaydedemiyoruz. Örneğin birçok popüler çevrimiçi hizmet ve uygulama hâlâ MFA sunmuyor ve sunsalar bile varsayılan olarak etkin değil. Kişisel verileri saklayan tüm şirketlerin varsayılan olarak tüm kullanıcı hesaplarında MFA’yı etkinleştirmesi durumunda gelecek yılki CSAM bu konuyu yok sayabilir.
Kabul etmek gerekir ki MFA’nın varsayılan olarak etkinleştirilmesiyle ilgili erişilebilirlik sorunları olabilir ve herhangi bir nedenle MFA’yı kapatmaya gerçekten ihtiyaç duyan kişiler bu uygulamayı devre dışı bırakabilmelidir. Ancak kalabalığın geri kalanı için MFA’nın varsayılan olarak etkinleştirilmesi norm olmalıdır. Şu anda birçok web sitesi MFA’yı etkinleştirme seçeneğini neredeyse gizlediği gibi, benzer şekilde kapatma seçeneğini de gizlemelidir.
Apple, 2017 yılında tüm kullanıcılar için MFA’yı zorunlu kılan cesur şirketlerden biriydi. Kullanıcı kaybettiler mi? Hisse fiyatları düştü mü? Elbette cevaplar “hayır”. Alternatifsiz kaldıklarında, kullanıcılar verilerini ve eşyalarını güvende tutan gelişmiş bir güvenlik uygulamasını benimseyeceklerdir. Onlara bir seçenek sunun ve/veya varsayılanı kapalı hale getirin; pek çok kişi kolaylık için güvenliklerinden ödün vermek anlamına gelse bile daha kolay yolu seçecektir.
MFA’yı herkes için varsayılan olarak açmanın bir başka avantajı da parola geri dönüşümüyle ilişkili riskleri önemli ölçüde azaltacak olmasıdır; başka bir deyişle, MFA ile desteklenen yeniden kullanılan bir parolanın sorun yaratma olasılığı daha düşüktür. Ancak bu, zayıf parolalar kullanmanın veya parolaları siteler arasında yeniden kullanmanın kabul edilebilir olduğu anlamına gelmez. Bunun yerine, MFA’nın ek katmanı kimlik bilgisi hırsızlığını önlemeye büyük ölçüde yardımcı olacağından güçlü ve benzersiz parolalara yapılan vurgunun azalacağını söylüyorum.
Aslında, kimlik bilgisi hırsızlığı gibi bir konu bu kadar uzun süre önemli bir sorun olarak devam ettiğinde yeniden düşünmenin zamanı gelmiştir. Bunun için etkili emsaller gördük; en önemlisi Genel Veri Koruma Yönetmeliği (GDPR). Avrupa Birliği (AB), sıkı bir düzenleme olmadan şirketlerin en az direnç gösteren yoldan devam edeceğini fark etti: verileri toplamak ve veri korumaya temelde vahşi batı yaklaşımı olan şifreleme olmadan depolamak. Bir şeyleri güvende tutmak maliyetlidir, bu nedenle eli sıkı Mali İşler Müdürleri uzun vadeli güvenlik yerine kısa vadeli kâra öncelik verecektir. Ancak GDPR bu dinamiği değiştirdi çünkü ağır yasal cezalar uygun veri güvenliği önlemleri için bütçeyi haklı çıkarıyor.
Mevzuat imdada yetişti
Şimdi gelecek yıl CSAM’de güçlü ve benzersiz parolalar ve MFA gibi temel güvenlik uygulamalarının anlatılmadığını hayal edin. Yıllarca bu noktalar üzerinde durulduktan sonra konuşma nihayet evrim geçirebilir. Spot ışığı, insanları zor kazandıkları paralarından mahrum bırakan yaygın dolandırıcılıklara kayabilir. Bunların bir kısmının bugün ele alındığının farkındayım ancak çoğu zaman bu konular arada kaynayıp gidiyor.
Dışarıdaki tüm politika düzenleyicilere; bu konuşmayı değiştirmenin ve sektörün bir kısmının uygulamada başarısız olduğu şeyleri yasalaştırmanın zamanı geldi, böylece gerçek siber güvenlik konularında önemli eğitim manşet haline gelebilir.