Siber Güvenlik Derinlemesine: BYOD Nedir ve 9 Güvenlik Riski

Zararlı Yazılımla Cihaz Enfeksiyonu

Kendi Cihazını Getir (BYOD) politikalarının en büyük riski, zararlı yazılım enfeksiyonudur. Çalışanlar genellikle kişisel cihazlarının güvenliği konusunda daha az dikkatli olur ve hangi uygulamaları yüklediklerine daha az önem verirler.

PDF dosyaları indirebilir, kişisel kullanım için oyunlar ve diğer uygulamalar yükleyebilirler ve bu uygulamaların birçoğu zararlı yazılım içerebilir.

Cihaz ayrıca kurumsal verileri de içerdiğinden, zararlı yazılım bu verilere de erişir ve veri ihlaline neden olur.

Dahası, çalışan iş yerine geldiğinde ve cihazını şirket ağına bağladığında, zararlı yazılım tüm ağa yayılabilir ve krize yol açabilir.

Çeşitli zararlı yazılım türleri arasında şunlar bulunur:

• Virüsler
• Trojanlar
• Oltalama araçları
• Klavye kaydediciler
• Adware
• Worm
• Casus yazılımlar
• Fidye yazılımlar
• Dosyasız zararlı yazılımlar

En kötüsü, çevrimiçi her şey bu zararlı yazılımlardan biriyle enfekte olabilir. Garip bir web sitesine erişirken veya bir uygulama indirirken bir anlık dikkatsizlik yeterli ve cihazınız enfekte olabilir.
İşveren olarak, çalışanların kişisel cihazlarını evde nasıl kullandıkları konusunda neredeyse hiç kontrolünüz yoktur.

Yani, cihazlarının enfekte olup olmadığını bilemezsiniz.

Çözümler

• Çalışanlarınızın cihazlarına anti-malware çözümleri yüklemelerini zorunlu kılın. Bu, şüpheli uygul
  ama veya siteler hakkında onları uyaracak ve zararlı yazılım enfeksiyonunu engelleyecektir.
• Çalışanlarınızın kişisel cihazlarına yükledikleri tüm uygulamaları inceleyin işe geldiklerinde. Zararlı yazılım enfeksiyonu riski olmadığından emin olmak için güvenlik taramaları yapın.
• Katı kullanım politikaları uygulayın çalışanlarınızın kişisel cihazlarını siber güvenlik risklerini görmezden gelerek serbestçe kullanmalarını engellemek için (örneğin, çalışanların cihazlarına oyun veya iş dışı uygulamalar yüklemelerini yasaklayın).
• BYOD cihazlarında düzenli rutin kontroller yapın beklenmedik uygulamaların yüklenmediğinden veya zararlı yazılımla enfekte olmadığından emin olmak için.

Kişisel ve İş Kullanımının Karıştırılması

BYOD’yi uyguladığınızda, çalışanların cihazlarında kişisel ve iş kullanımlarını karıştırmaları kaçınılmazdır.

Bu, kurumsal verilerin online alışveriş gibi güvenli olmayan aktiviteler için kullanılan cihazlarda saklanması nedeniyle güvenlik açıkları yaratır.

Çalışanlarınızın cihazlarını kontrol etmek neredeyse imkansızdır çünkü evde onları nasıl kullandıklarını bilemezsiniz.

İşte bunun sonucunda olabilecekler:

• Çalışan cihazı bir arkadaşına ödünç verir, bu da hassas verileri tehlikeye atar
• Cihaz güvenli olmayan bir Wi-Fi ağına bağlanır
• Çalışan enfekte bir web sitesine erişir, bu da hassas verileri riske atar
• Çalışan enfekte bir dosya indirir, bu da cihazdaki özel kurumsal verilere erişim sağlar

Bu tür şeyleri kontrol altında tutmak son derece zordur. BYOD, kolayca kaçınılamayan ciddi bir siber güvenlik riski oluşturur.

Çözümler

• Kişisel ve iş kullanımı arasında ayrım yapmak kullanıcının cihazı kişisel ihtiyaçları için kullandığında iş verilerini etkilememesini sağlamak için. Bu, veri şifrelemesi, güvensiz güvenlik sistemi ve en az ayrıcalık ilkesi ile sağlanabilir
• VPN kullanımını zorunlu kılmak cihaz güvenli olmayan bir Wi-Fi ağına bağlandığında kötü niyetli iletişim kesintisini önlemek için
• Çalışan ayrıldığında iş uygulamalarına ve verilerine erişimi kesmek çalışan ihmali durumunda herhangi bir yetkisiz erişimi veya veri ihlalini önlemek için
• Güvenlik farkındalığını zorun
  lu kılmak evdeki kişisel kullanımda ihmalkârlık ve dikkatsizliği önlemek için

Kaybolmuş veya Çalıntı Cihaz

Bir çalışanın kişisel cihazını kaybetme ihtimali, iş için kullanılan bir cihaza göre çok daha yüksektir.

Bir araştırma, sağlık veri ihlallerinin %68’inin bir çalışanın cihazının kaybolması veya çalınmasından kaynaklandığını gösteriyor.

Bu durum, kişisel cihazların nasıl, nerede ve ne zaman kullanıldığına bağlı olarak çalınmaya veya kaybolmaya daha açık olması nedeniyle oluyor.

İş için kullanılan bir cihaz sadece iş yerinde kullanılırken, kişisel bir cihaz kullanıcı nereye giderse gitsin kullanılır.

Kullanıcı ile temas kuran herkes, cihazı çalabilir veya erişebilir ve hassas kurumsal verilere ulaşabilir.

Çözümler

• Çalışanlarınıza cihazları kaybolursa veya çalınırsa yetkisiz erişimi önlemek için şifreler ve biyometrik güvenlik kullanmaları konusunda eğitim verin
• Çalışanlarınıza çalıntı/kayıp bir cihazı hemen bildirmeleri için eğitim verin, böylece erişim bilgilerini iptal ederek bir veri ihlalini önleyin
• Çalışanın cihazında iş verilerini şifreleyin böylece iş ortamı dışında erişilemez olur

Güvenli Olmayan Wi-Fi Kullanımı

Bu, çalışan cihazlarındaki verilerin güvenliği için ne kadar tehlikeli olduğu nedeniyle listede kendi başına bir yer almayı hak ediyor.

Kamu Wi-Fi ağları, dış manipülasyona ne kadar açık olduklarından dolayı siber güvenlikte en kötü tuzaklardan bazılarıdır.

Ortadaki adam saldırıları, Wi-Fi bağlantılarını ele geçirmekte ve bağlı cihazları enfekte etmekte çok etkilidir.

Wi-Fi oltalama noktaları düşündüğünüzden daha yaygındır ve kötü niyetli ile meşru Wi-Fi ağı arasındaki farkı ayırt edemezseniz bunlara kolayca kurban gidebilirsiniz.

Wi-Fi sald

ırılarının başka bir türü de Sızma’dır, burada hackerlar, kamuya açık Wi-Fi ağlarına bağlı cihazlara sızmak için şifrelenmemiş veya sahte erişim noktalarını kullanır. Çoğu kamuya açık Wi-Fi ağının şifrelenmemiş olması nedeniyle, riskler oldukça gerçektir.

Çözümler

• Çalışanlarına kamu Wi-Fi ağlarını kullanmamaları talimatı vererek büyük bir siber güvenlik riskini doğrudan önleyin
• Tüm çalışanlar için VPN kullanımını zorunlu kılın, bu, Wi-Fi saldırılarına karşı koruma sağlar
• Siber güvenlik farkındalığını teşvik edin, özellikle yoldayken kamu Wi-Fi kullanımı konusunda
• Kamuya açık bir Wi-Fi ağı kullanıldıktan sonra cihaz sızdırılırsa bile, cihazdaki kurumsal verileri şifreleyin böylece yetkisiz erişimi engelleyin

Yetersiz Siber Güvenlik Farkındalığı ve İhmalkarlık

Verizon’ın 2023 Veri İhlali Araştırmaları Raporu’na göre, tüm veri ihlallerinin %74’ünde insan faktörü rol oynuyor.

“İnsan faktörü” derken, hata yapan, ihmalkâr olan veya bilgisizce hareket eden şirket çalışanlarından bahsediyorlar. Kısaca sosyal mühendislik.

İhmalkarlık ve siber güvenlik farkındalığının eksikliği, web üzerinde faaliyet gösteren herhangi bir şirket için felaket anlamına gelebilir.

İnsan faktörü aracılığıyla birçok siber saldırı kolaylaştırılır. Zararlı yazılımlar, oltalama, solucanlar, fidye yazılımları, adını ne koyarsanız koyun, ihmalkâr davranan bir kişiyi bulacaksınız.

İşte bu nasıl görünebilir:

• Sahte bir e-postadan oltalama eki indirme
• Play Store’dan enfekte bir uygulama yükleyip cihazdaki hassas verileri keşfetme
• Enfekte bir web sitesini ziyaret edip, cihazınıza fidye yazılımı indirme ve sonuç olarak şirket veritabanının enfekte olması
• VPN olmadan güvenli olmayan bir Wi-Fi ağı kullanma ve ortadaki adam saldırısına maruz kalma
• Cihazınızın çalınması ve sonuç olarak hassas kurumsal verilerin ifşa olması

İhmalkârlık, ilgisizlik, tembellik, dikkatsizlik; tüm bunlar, hassas verilere erişimi olan çalışanlar için sorun teşkil eder.
Kendi cihazlarını ofise getirdiklerinde, bir dizi saldırı vektörü gerçekleşir ve bunlara hazırlıklı olmanız gerekir.

Çözümler

• Çalışanlarınıza siber saldırılar ve tehdit unsurları hakkında eğitim verin. Çalışanların çeşitli siber saldırı türleri, çevrimiçi gezinmeyle ilgili riskler, dolandırıcılıkları nasıl fark edecekleri, saldırılara nasıl tepki verecekleri ve çevrimiçiyken neler yapmamaları gerektiği hakkında bilgi sahibi olmaları gerekir

• Düzenli kontroller yapın ve katı güvenlik kuralları uygulayın. Çalışanlarınızın ihmalkâr olmalarını veya kurumsal verilerin güvenliğini önemsememelerini istemezsiniz. Güvenlik eğitimi bir yana, düzenli kontroller çalışanların dikkatli ve farkında olmalarını sağlamanın yoludur

Yetkisiz Hassas Veri Erişimi

BYOD söz konusu olduğunda, en büyük risklerden biri yetkisiz kişilerin hassas verilere erişmesidir.

Bu, hırsızlık anlamına gelebileceği gibi, çalışanın cihazını onların bilgisi dışında kullanılması anlamına da gelebilir.

Çalışanlar cihazlarını eve götürecekleri için, kötü niyetli biri cihazı açıp hassas verilere erişebilir ve bunları ifşa edebilir.

Ayrıca, kötü niyetli biri tarafından cihazın çalınması riski de vardır. Bu, cihaz doğru şekilde güvenli hale getirilmezse veri ihlaline yol açabilir.

Amerikalıların %79’unun akıllı telefonlarını günde 22/24 saat yanlarında tuttuğunu göz önüne alındığında, veri hırsızlığı riskinin önemli olduğu açıktır.

Cihazın kaybedilmesi de bir olasılıktır. İnsan hatası ve ihmalkârlık, şirketinizde BYOD uygularken göz önünde bulundurmanız gereken faktörlerdir.

Çözümler

• Tüm iş cihazları için güçlü şifreler. Çalışanlarınızın cihazları için güçlü şifreler kullanmalarını sağlayın. İdeal olarak, kurumsal dosya ve klasörlere başka bir şifre koymalılar
• Biyometrik doğrulama, cihaza kimin el koyduğunu önemsemeksizin, onu kullanamayacakları anlamına gelir ve bu riski daha da azaltır
• 2FA sistemleri yerinde, böylece biri cihaza el koyduğunda, uygun 2FA kodu (veya fiziksel anahtar) olmadan hassas verilere erişemez
• Kayıp/çalıntı cihazın hemen bildirilmesi, böylece üst düzey yetkililer, üçüncü bir tarafın şirket veritabanlarına erişmek için kullanabileceği herhangi bir erişim kodunu iptal edebilir

Eksik Güvenlik ve Yazılım Yamaları

BYOD’nin ciddi bir güvenlik riski oluşturmasının bir diğer nedeni, çalışanların güvenlik ve yazılım yamaları konusunda güncel olmamalarıdır.

Biliyoruz ki, çoğu insan kişisel cihazlarını ihmal eder. Bu, tamamen konfor meselesidir.

Ancak, bu konfor, en son güvenlik yamalarını yüklememeniz durumunda, kişisel (ve kurumsal) güvenlik açısından büyük bir bedel ödemenize neden olur.

Bu durumda şu olabilir:

• Henüz hakkında bilgi sahibi olmadığınız bir sıfırıncı gün açığı, hackerların telefonunuza sızmalarına ve hassas verileri çalmalarına olanak tanır
• İşletim sisteminizi etkileyen yakın tarihli bir siber saldırı, en son güvenlik yamasını yüklemediğiniz için sizi de etkileyebilir
• Çeşitli sistem zafiyetleri, cihazınızı kötü niyetli üçüncü tarafların saldırılarına açık hale getirebilir

Ofis dışında, çalışanlar güvenlik önlemlerini takip etmeye ve ofisteki kadar dikkatli olmaya daha az eğilimli olabilir.
Ancak, cihazdaki kurumsal verilerin güvenliğini sağlamak için bu, ofistekinden daha önemli olabilir.

Çözümler

• Çalışanlarınızın cihazlarının en son işletim sistemi sürümünü düzenli olarak kontrol edin en güncel yazılım ve güvenlik yamalarını çalıştırdıklarından emin olmak için
• Çalışanlarınıza güvenlik ve yazılım yamalarını yüklemenin önemini vurgulayın böylece erken bir aşamada zihniyetlerini değiştirirler. Bunu göz ardı etmek, işletmeniz için ciddi sonuçlara neden olabilir

Gölge BT

Gölge BT, çalışanların yetkisiz cihazları kullanmaları ya da iş cihazlarına yetkisiz yazılımlar yüklemeleri ve bunu BT ekibinden saklamaları durumunda meydana gelir.

Çalışanların %80’i BT departmanının bilmediği SaaS uygulamaları kullandıklarını kabul ediyor.

Bunun nedenleri çeşitli olabilir, ancak çoğu durumda, çalışanlar her şeyi BT departmanına bildirmenin iş akışını yavaşlatacağını iddia ediyor.

Bu doğru olabilir, ancak Gölge BT’nin oluşturduğu güvenlik riski de göz ardı edilmemelidir.

Çalışanlar güvenlik uzmanı değildir, bu nedenle onaylanmamış yazılım veya donanım kullanarak yeni güvenlik açıkları yaratabilirler.

Bu uygulamaların bazılarının düşük güvenlik standartları, şifreleme eksikliği ve hatta güvenlik açıkları olabilir.

Çözümler

• Yetkisiz donanım veya yazılımların yasak olduğunu vurgulayın böylece çalışanlar Gölge BT’ye baş vurmaz. Güvenlik risklerini baştan açıkça belirtin ve kurallara sıkı sıkıya bağlı kalın.
• Çalışanların işle ilgili tüm araçlara erişimini sağlayın böylece onlar Gölge BT’ye başvurmak zorunda kalmaz. Genellikle bu durum, BT Departmanının çalışanların işlerini yapmak için ihtiyaç duydukları bir aracı onaylamakta zaman kaybetmesi nedeniyle oluşur.
• Onaylanmamış donanım veya yazılımların daha iyi güvenlik tespiti sağlayın böylece onları önceden keşfedebilirsiniz.

Güvenlik Politikalarına Dikkatsizlik

Bazı çalışanlar belirlediğiniz güvenlik politikalarına karşı ilgisiz, ihmalkâr ve dikkatsiz olacaklardır.

Bunun birçok nedeni olabilir, örneğin:

• Kişisel sorunlar
• Sıkı kurallara uymadan güvenlik risklerinden kaçınmada aşırı güven
• İlgisizlik

Bu nedenlerden herhangi biri, işinizin güvenliği için büyük bir sorundur. Bu konuyla mümkün olan en kısa sürede ilgilenmelisiniz.

Çö
zümler

• Çalışanların dikkatsiz davranma nedenlerini bulun ve bu sorunu çözmeye çalışın. Veri ihlali olasılığının ve suçlu oldukları takdirde karşılaşacakları muhtemel sonuçların ne olduğunu onlara açıklayın
• Sürekli dikkatsiz davranan çalışanları işten çıkarın. Kurallara uymayan ve sürekli dikkatsiz davranan bir çalışandan vazgeçmek daha iyidir

Sonuçta BYOD Buna Değer mi?

BYOD politikalarının şirketler ve çalışanlar için bazı açık kesim faydaları vardır:

• Çalışanlara sağlanan donanım için çok daha düşük başlangıç maliyetleri. Kendi cihazlarını işe getirdikleri için bu masraflardan tasarruf edeceksiniz
• Kendi cihazlarına aşinalıkları nedeniyle artan çalışan verimliliği
• Çalışanların iş yerine aşinalık unsuru getirmeleri ve aynı anda hem kişisel hem iş cihazı kullanmak zorunda kalmamaları nedeniyle artan çalışan memnuniyeti
• Çalışanların resmi izin süreleri dahil her zaman ulaşılabilir olmaları sayesinde artan hareketlilik. Bu, yanıt verme kapasitesini ve katılımı artırmalıdır
• Her yerden şirket kaynaklarına erişimle daha fazla esneklik, bu da çalışan moralini, katılımını ve sadakatini artırır

Bunlar, bir şirket ve çalışanları için Kendi Cihazını Getir politikalarının başlıca faydalarıdır.
Ancak yukarıda güvenlik risklerini de anlattım. BYOD politikaları yanlış kullanılıp manipüle edilirse, potansiyel olarak felaket bir güvenlik ihlali bekliyor olabilir.

BYOD’yi uygularken bazı temel kurallar belirlemeniz gerekecek. Güvenlik kontroller i, siber güvenlik farkındalığı, güvenlik ihmalkarlığı ve Gölge BT’ye karşı aktif bir şekilde mücadele etmek, sağlıklı bir BYOD ekosistemi için gerekli adımlardır.

Ancak bu, imkansız bir şey değil. Doğru araçlar ve planlamayla, BYOD işletmenizin performansını önemli ölçüde artırabilir.

Daha fazla PrivacyAffairs siber güvenlik içeriği için takipte kalın!

Kaynaklar

BitGlass – BYOD Güvenlik Raporu 2021
Privacy Affairs – Phishing Neden Bu Kadar Yaygın & Nasıl Korunulur?
Perception Point – BYOD Güvenliği: Tehditler, Güvenlik Önlemleri ve En İyi Uygulamalar
Privacy Affairs – Siber Güvenlik Derinlemesine: En Az Yetki İlkesi Nedir?
Kiteworks – Kayıp ve Çalıntı Mobil Cihazlar Sağlık Veri İhlallerinin Başlıca Nedeni
Forbes – Kamu Wi-Fi’nin Gerçek Riskleri: Ana İstatistikler ve Kullanım Verileri
Verizon – 2023 Veri İhlali Araştırmaları Raporu
Privacy Affairs – Siber Aldatmacanın Sanatı: Siber Güvenlikte Sosyal Mühendislik
Privacy Affairs – Siber Güvenlik Derin Dalışı: 18 Siber Saldırı Türü & Önleme Yöntemleri
Leftronic – 2023 Dünya Çapında 29+ Akıllı Telefon Kullanım İstatistikleri
Track – Bilmeniz Gereken 21 Gölge BT Yönetimi İstatistiği
Jumpcloud – BYOD İşletme Faydaları