Dolandırıcıları savuşturmak: kuruluşlar kendilerini siber saldırılardan nasıl koruyabilir (Aileen Allkins)

2015 yılında Mattel'de üst düzey bir yönetici, şirketin yeni atanan CEO'sundan bir e-posta aldı. Not, tanıdık bir üreticiye vadesi geçmiş bir ödemenin işlenmesini talep etti. Yönetici, e-postaya göre hareket ederek 3 milyon dolarlık bir hata yaptı.

Bu tür siber saldırılar, bir e-posta adresi olan herkesin aşina olduğu kimlik avı mesajlarının "kopyala-yapıştır" yöntemi yerine, üst düzey yöneticileri hedeflemek için son derece spesifik, ultra gerçekçi taklit kullanan "balina avcılığı" e-postaları olarak bilinir.

Balina avcılığı e-postaları, kötü amaçlı yazılım bağlantıları veya para transferi veya hassas veri talepleri gibi çeşitli hain öğeler içerebilir. Saldırganın özel yaklaşımı ne olursa olsun, balina avlama girişimlerinin başarısı, hedefin dijital okuryazarlığındaki boşluklara bağlıdır.

Hem İngiltere Merkez Bankası hem de Avrupa Merkez Bankası son zamanlarda büyük borç verenlerden siber bir ihlale nasıl tepki vereceklerine dair ayrıntılı planlar sunmalarını talep ederken, siber güvenlikle ilgili endişeler finansal hizmetler sektörünün gündeminde özellikle yüksek. Sektörde siber güvenlik konusunda Finansal hizmet kuruluşları, sorunu ele alma yaklaşımlarının bir parçası olarak, her düzeydeki personelin bir siber güvenlik ihlalini belirleme ve buna yanıt verme konusunda üst düzey becerilere sahip olmasını sağlamalıdır.

Yükselişte

Son zamanlarda güvenlik ve BT uzmanlarının %45'i ankete PwC tarafından fidye yazılımı saldırılarında bir artış öngörülüyor ve AI, balina avcılığını kullanan bilgisayar korsanlarının daha önce hiç görülmemiş bir hassasiyetle dolandırıcılık yapmalarını sağlıyor. 60'de İngiltere'de 2022'tan fazla ulusal 'önemli' siber saldırı gerçekleşti,
göre Ulusal Siber Güvenlik Merkezi

Siber güvenlik programları uygulanıyor olsa bile, bireysel çalışanlar genellikle bir işletmenin zırhındaki çatlaktır. Güvenlik duvarları, kimlik avı filtreleri ve virüsten koruma yazılımı önemlidir, ancak bir iş gücü genelinde iyi bir siber güvenlik eğitimi ve becerilerinin varlığı, milyonlarca dolar kayba neden olan ciddi bir veri ihlaline karşı çok önemli bir savunma hattıdır.

Balina avcılığı gibi saldırıları kolaylaştırmak için kullanılan araçlar karmaşık olabilse de, bir işletmeyi balina avcılığından ve diğer siber saldırı türlerinden korumak için bireylerin eğitilebileceği bazı basit ama oldukça etkili süreçler vardır.

Herkes için siber güvenlik becerileri

Dijital okuryazarlık, finansal hizmetlerdeki pozisyonların büyük çoğunluğunu kapsayan teknoloji ile çalışmayı içeren herhangi bir rol için bir ön koşuldur. Siber güvenlik farkındalığı bunun çok önemli bir parçasıdır. İşletmeler, üst düzey siber güvenlik sistemlerine duyulan ihtiyacın büyük ölçüde farkındadır, ancak güvenli bir dijital ekosistemi sürdürmede bireylerin dijital yeteneklerinin rolünü sıklıkla gözden kaçırır.

Bu nedenle siber güvenlik, yalnızca teknoloji departmanının sorumluluğunda olan bağımsız bir işlev olarak değil, tüm kuruluşta bulunması gereken bir beceri seti olarak görülmelidir. Çalışanları protokol konusunda güncel tutmak ve potansiyel tehditler ve en iyi uygulamalar konusunda şirket genelinde farkındalık sağlamak için personel düzenli olarak siber güvenlik konusunda eğitilmelidir.

Örneğin, sahte e-posta adreslerinin nasıl tespit edileceğini bilmek, istenmeyen ekleri açmamak konusunda titiz olmak ve şüpheli saldırıları bildirmek için uygun kanalları bilmek, tüm çalışanların eğitilmesi gereken temel ancak yüksek etkili becerilerdir. cihazlarına kötü amaçlı yazılım bulaştığında veya sahte bir e-posta başarılı olduğunda, saldırının etkisinin olabildiğince hafifletilmesini sağlamak için atmaları gereken acil adımlar konusunda eğitilirler.

Yönetim kurulu genelinde çalışkanlık

Balina avcılarının gücü, gerçek adresten bir harf uzakta bir e-posta adresi, gerçek göndericinin tipik sesine uygun bir dil ve hedefin aşina olduğu gerçek anlaşmaların veya olayların ayrıntılarını kullanarak bir çalışanı yakından taklit etme becerilerinde yatmaktadır. İletişim ister yapay zeka aracılığıyla ister bir kişi tarafından hazırlanmış olsun, balina avcılığı taklit etmek için kaynak verilere dayanır.

Sosyal medya profillerinden alınan doğum günleri ve hobiler gibi kişisel bilgiler, tahrif edilmiş iletişimlere ikna edici ayrıntılar ekleyebilir ve bilgisayar korsanlarının, kimliğine bürünülen kişiyle bir toplantıdayken bir kurbanla iletişim kurmaktan kaçınmak için atılan belgelerdeki program verilerini kullandıkları bile bilinmektedir.

Devam eden siber güvenlik becerileri, bir operasyonel güvenlik farkındalığı kültürü oluşturmanın temeli olmalıdır. Hangi bilgilerin risk oluşturabileceğine dair bir fikir geliştirmek ve bilgileri uygun şekilde nasıl koruyacağını bilmek, bireylerin bilgisayar korsanlarına yakıt sağlayan görünüşte zararsız faaliyetleri belirleyip durdurabilmelerini sağlayacaktır. Ekip üyeleri, kişisel çevrimiçi varlıklarının gizlilik ayarları, güvenlik duvarları, virüsten koruma yazılımı kurma ve şifreleme kullanma becerileri yoluyla bilgisayar korsanlarına olanak vermemesini nasıl sağlayacakları konusunda eğitilmelidir.

İki sihirli bir sayıdır

Siber güvenlik farkındalığını bir iş gücü genelinde uygulamak, birçok saldırıya karşı güçlü bir kalkan sağlasa da, para veya veri transferi gibi hassas eylemlerin doğrulanması için ikinci bir filtre de önemlidir.

Balina avcılığı saldırıları büyük ölçüde hedef alınan kişinin yetkisine bağlıdır. Üst düzey yöneticiler için bile, herhangi bir kişinin ikincil bir açıklama olmaksızın bir eylemi doğrulamasını önlemek için protokol yürürlükte olmalıdır.

İki adımlı doğrulama, şirket yazılımına veya manuel süreçlere yerleştirilmiş otomatik bir süreç olabilir. Doğrulamanın ikinci adımı ister ayrı bir kişiden ister aynı kişiden gelsin, ancak farklı bir platformda olsun, işletme, personelinin iki adımlı doğrulama için uygun uygulama konusunda tamamen yetenekli olmasını sağlamalıdır ve düzenli siber güvenlik eğitimi bu uygulamayı alışkanlık haline getirir.  

Siber güvenlik becerileri bir lüks değil

En sağlam otomatikleştirilmiş siber güvenlik sistemleri bile, bir kuruluşun insanlarını kendilerine karşı seferber edebilen bilgisayar korsanları tarafından gereksiz hale getirilebilir. Güvenli uygulamalarla ilgili devam eden çabalar ve güncel eğitim, balina avını ve diğer siber saldırı türlerini önlemenin merkezinde yer alır.

İşletmeler, siber güvenlik altyapıları, politikaları ve iş güçlerinin becerileri hakkında düzenli değerlendirmeler yaparak, hepsinin olası tüm saldırılara karşı etkili bir şekilde savunma yapmasını sağlamalıdır. Bu, insanların bu değerlendirmeleri düzgün bir şekilde yürütmek ve en iyi uygulamaları sürdürmek için eğitilmesini gerektirir veya şirketler harici siber güvenlik desteğine yatırım yapabilir.

Siber güvenlik becerilerine yatırım bir lüks değil, bir zorunluluktur ve bilgisayar korsanlarına karşı savunmak için sistem ve protokolleri düzgün bir şekilde kurup sürdürmede başarısız olanlar, kendilerini dolandırıcılık veya veri ihlallerine açık bırakır. Mali hizmetler sektörünün siber saldırılara karşı savunmasızlığına özellikle dikkat eden düzenleyiciler ve devlet organları ile bu, beklemeyi göze alamaz.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
• Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
• Kaynak: https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs