KOB şirkətlərinin üzləşdiyi kiber təhlükəsizlik problemləri

Bu gün kiber təhdidlərin sürətli artımı fonunda kiber təhlükəsizliyin önəmini vurğulamağın mənası görünmür. Çünki, hər gün izlədiyimiz kütləvi informasiya vastələrində, sosial şəbəkələrdə baş verən kiber təhlükəsizlik insidentləri barədə məlumatlarla rastlaşırıq. Bunların içərisində böyük dövlət və maliyyə qurumlarını, kiçik və orta biznes kateqoriyasina aid olan şirkətləri eləcə də adi sıradan insanları görürük. Bu məqalədə əsasən kiçik və orta biznes (KOB – ing.SMB – Small and Medium Business) kateqoriyasına aid olan şirkətlərin kiber təhlükəsizlik məsələlərinə toxunmaq istəyirəm.

KOB şirkətləri İnformasiya Sistemləri nöqteyi nəzərindən baxdıqda, böyük şirkətlərdən fərqlənmirlər. Hər iki kateqoriya demək olar ki, eyni İT resurslardan istifadə edir. Əsas fərq insan və İT resurslarının həcminin ölçüsündədir. Ona görə də onlar demək olar ki, eyni hücum səthinə (attack surface) malikdirlər. Dünyanın aparıcı şirkətlərindən olan Verizon şirkətinin məlumatların pozulması hesabatında KOB-la bağlı aşağıdakı cədvəli təqdim edir:

Böyük şirkətlərdə də parametlər KOB şirkətləri ilə demək olar ki, eynidir.

KOB şirkətləri belə məlumatları diqqətə almalı və uyğun tədbirlər görməlidirlər. Bu məsələlərlə bağlı KOB şirkətləri ilə ünsiyyətdə olduqda, aşağıdakı problemlərlə üz-üzə qaldığını görürük:

1. Resurs məhdudluğu – həm maddi, həm də kibertəhlükəsiliklə məşğul olacaq insan resurslarının ya heç olmamasından, ya da məhdud olmasından şikayətlənirlər.
2. Maarifləndirmənin olmaması – mütəmadi şəkildə kiber təhlükəsizlik maarifləndirməsinin olmaması nəticəsində KOB şirkətləri insan səhvlərinin səbəb olduğu sosial mühəndislik və fişinq hücumlarının qurbanına çevrilirlər.
3. İT infrastrukturun qarışıqlığı və mürəkkəbliyi – çox vaxt qarışıq, planlaşdırılmamış və inteqrasiya problemləri olan müxtəlif həllərdən istifadə olunur ki, bu da İT infrastrukturun lazımi şəkildə idarə olunması və təhlükəsizliyinin təmin olunmasında çox böyük və bəzən həll olunması mümkün olmayan hallara gətirib çıxarır. Ayrıca İT işçinin də olmamasını əlavə etsək vəziyyət bir az da pisləşir.
4. Təhcizat zənciri və vendor riskləri – KOB çox vaxt kənar satıcı və istehsalçılardan məhsul və xidmətlər alır. Bunlar KOB üçün təhcizat zənciri hücumlarının olması risklərini artırır. Hackerlər bu istehsalçıları hədəfə alaraq, ələ keçirə bilirlərsə onların müştəriləri olan KOB şirkətləri də avtomatik olaraq, bu hücumların qurbanına çevrilirlər.
5. Zərərli proqramlar və Ransomware – Bu tip hücunların hədəfi kateqoriyalarına baxsaq, burada daha çox KOB şirkətlərini görəcəyik. Kibercinayətkarlar məhdud büdcəli KOB şirkətlərini tez-tez belə hücumlara məruz qoyurlar.
6. İnsidentlərə cavab planlarının olmaması – yenə də yuxarıda sayılan səbəblərdən insidentlərə cavab planları ya olmur, ya da olsa da formal xarakter daşıyır və insident baş verdikdə bu planın bir faydası olmur.
7. Uzaqdan iş – COVİD-19 pandemiyasından sonra uzaqdan iş təcrübəsi yeni kiber təhdidlərin yaranmasına səbəb oldu. KOB şirkətlərinin işçilərinin uzaqdan işləməsi onların istifadə etdiyi İnternet şəbəkəsinin nə qədər təhlükəsiz olduğunu məyyənləşdirmək mümkün olmadığı üçün KOB şirkətlərinə təhdid yaradır.
8. Sosial mühəndislik hücumları – KOB şirkətlərinin işçiləri tez-tez finq mailləri, saxta telefon zəngləri kimi müxtəlif sosial mühəndislik hücumlarına məruz qalaraq, şirkətlərin özəl məlumatlarının kənara sızdırılmasına və ya yalançı hesablara pul transferlərini öz əlləri ilə könüllü həyata keçirirlər. Bu da məhdud büdcəli KOB şirkətləri üçün çox böyük itkidir.
9. Qanun və Tənzimləmələrə Uyğunluq – dünyanın inkişaf etmiş ölkələrində KOB şirkətləri üçün tabe olmaları tələb olunan və dövlət tərəfindən tənzimlənən qanun, standart və tənzimləmələr vardır. Məsələn, Avropa Birliyi ölkələri üçün GDPR nümunə olaraq göstərilə bilər. Burada əsas məsələ fərdi məlumatların qorunmasından gedir. Düzdür, ölkəmizdə belə ciddi qanun və tənzimləmələr olmasa da, KOB şirkətləri həm öz işçiləri, həm də müştərilərinə münasibətdə Azərbaycan Respublikasının Fərdi Məlumatların qorunması qanununu diqqətə almalıdırlar. Ciddi tənzimləmələr olmasa da, hər hansı bir kiberinsident cinayət xarakteri alarsa, Kob şirkətlərinin bu qanunun tələblərinə məsul olma vəziyyəti ortaya çıxa bilər.

KOB şirkətlərinin üzləşdiyi kiber təhlükəsizlik problemlərini həll etmək üçün ən azı aşağıdakı tədbirlər görülməlidir:

1. Mütəmadi olaraq, şirkət əməkdaşlarının kibertəhlükəsizlik maarifləndirilməsi həyata keçirilməlidir. Bunun üçün ya hazır platformalar əldə edib onun üzərindən, ya da bu sahədə ixtisaslaşmış şirkət və mütəxəssislərin xidmətlərindən istifadə olunmalıdır.
2. Kibertəhlükəsizlik üçün ən yaxşı təcrübələr tətbiq olunmalıdır. Bu təcrübələrə çox-faktorlu autentifikasiya, şifrə siyasətinin hazırlanması və tətbiqi, həssas və məxfi məlumatların şifrələnməsi, istifadə olunan proqram təminatlarının müntəzəm olaraq, yenilənməsi kimi fəaliyyətləri misal göstərə bilərik.
3. Şəbəkə və son istifadəçi cihazlarının təhlükəsizliyini təmin edən həllər əldə edilməli və tətbiq olunmalıdır. Şəbəkə təhlükəsizliyi üçün IPS/IDS, yeni nəsil təhlükəsizlik divarları (NGFW), NDR (Network Detection and Response) həlləri tətbiq etmək mümkündür. Son idtifadəçi cihazlarının təhlükəsizliyi üçün isə yeni nəsil antivirus proqram təminatları, EDR (Endpoint Detection and Response), mobil və daşınan son istifadəçi cihazları varsa, MDM (Mobile Device Management) həlləri tətbiq olunmalıdır.
4. Uzaqdan işləyən KOB şirkətlərinin əməkdaşlarının cihazlarının təhlükəsizliyi təmin olunmalı və onların şirkət resurslarından istifadəsi zamanı qoşulma qurduqları kanallar şifrələnməlidir. VPN və ZTNA kimi qoruma mexanizmləri tətbiq olunmalıdır.
5. Həm öz işçilərinə, həm də müştərilərinə münasibətdə fərdi məlumatların qorunması məsələlərinə səylə riayət etməyə çalışmalıdırlar.

Göztərilən tədbirlər və addımlar məhdud büdcə səbəbindən, bəlkə də onlar üçün çox maliyyətli və bahalı görünə bilər. Ancaq heç də belə deyil. İstənilən kibertəhlükəsizlik həll və xidmətlərinin alınmasından öncə mütləq bir risk analizi aparılmalıdır. Onun nəticələrinə görə siyahıda göstərilən tədbirlərdən hansının görülməsi qərara alınacaqdır. Ola bilər ki, söylənilərin hamısının tətbiqinə ehtiyac qalmasın və şirkət kiçik olduğu üçün qərarı verilən həll və xidmətlərə şox vəsait sərf etməsin.

Bütün bu tədbirlərin ən başında gəlməli olduğu addımı xüsusi diqqət çəkmək üçün bilərəkdən ən sonda yenidən xatırladıram.

Bütün bu məslələrdə təcrübəsinə və mütəxəssislərinin peşəkarlığına güvənərək  B&B Security Alliance şirkətinə müraciət edə bilərsiniz.

 

Məmməd Məmmədov, CISSP,
«B&B Security Alliance»-ın texniki direktoru

https://www.linkedin.com/in/mammad-mammadov-27414072/