COVID-19 sadece ekonomik krizi değil, siber güvenlik tehlikelerinde de büyük bir artışı beraberinde getirdi. Pandemiyle birlikte uzaktan çalışma birçok kurumda sürerken uzaktan operasyonlara geçiş, yapısal zorluklarla geldi. Çalışanların daha önce masaüstü bilgisayarlarda çalıştığı gibi güvenliğin sağlanması, uzaktan erişimi etkinleştirmekle birlikte doğru güvenlik protokollerini uygulama, güvenli bir kayıt sağlama gibi sorunlar belirdi. Güvenlik ön plana çıktı. Şifreleme ve gizlilik önem kazandı. Şirketler son on yılda, yeni teknolojiler kullanıldıkça, işin dijitalleşmesinin hız kazandığı ancak yeni güvenlik ihlallerinin arttığı bir döneme girdi.
Bu yılın şubat ayından bu yana siber saldırıların sayısı hızla arttı. Şaşırtıcı olmayan bir şekilde, Dünya Ekonomik Forumu’ndan elde edilen istatistikler, siber saldırıların ve veri sahtekarlığının, küresel durgunluk ve kurumsal iflaslardaki artıştan sonra COVID ile ilgili sıralanan üçüncü en büyük iş sorunu olduğunu gösteriyor.
Önemli bir güvenlik açığı, uzaktan çalışmadır. Bu çalışma modeline hızlı ve eksik geçiş nedeniyle siber suçtaki artışı doğrudan uzak çalışma ile ilişkilendirebiliriz. Saldırganlar temas izleme için kullanılan uygulamaları veya web sitelerini hedef alıyor. Bu da potansiyel olarak çok yüksek miktarda değerli veri anlamına geliyor. COVID-19’un siber güvenlik çerçevesinde birden fazla zayıflığa yol açmasıyla şirketlerin hem kısa hem de uzun vadede siber güvenliği iyileştirmenin yollarını aramaları gerekiyor.
Şirketlerin büyük çoğunluğu siber güvenliğin özellikle bu dönemde önemli bir işlev olduğunu kabul ediyor. Önlem olarak siber güvenlik profesyonellerinin uzaktan çalışmasını desteklemek yerine ofise gelmelerine izin vermek gerekiyor. Çünkü, bu profesyonellerin çoğunun çalışmalarını uzaktan yürütecek araçları, donanımları evde bulunmuyor. Ayrıca kullanıcıları siber güvenlik için kişisel sorumluluk alma ihtiyacı konusunda eğitmek gerekiyor. Çünkü kullanıcı davranışı, herhangi bir şirketin siber güvenlik savunmasındaki en zayıf noktasını oluşturuyor. Uzaktan çalışanlar gittikçe sofistike ve inanılmaz derecede gerçekçi görünen e-posta kimlik avı saldırılarına maruz kalıyor. Bu dönem bir çalışanı, farkında bile olamayacakları potansiyel güvenlik riskine dönüştürüyor. Çalışanlar şirket sistemlerine ve verilerine kendi kişisel, güvenli olmayan cihazları üzerinden erişerek güvenlik sorunu oluşturuyor. Fırsatçı bilgisayar korsanları ise zayıf güvenlik altyapısına sahip olan savunmasız kurumları hedef alıyor. Çalışanların siber güvenlik, bilgisayar korsanları tarafından kullanılan mühendislik yöntemleri ve son kullanıcılar olarak çalışanların evden çalışırken kendilerini korumak için neler yapabileceği konusunda eğitilmesi gerekiyor. Çalışanların uzaktan çalışmayla ilişkili siber güvenlik risklerini doğru bir şekilde anlaması gerekiyor. Ayrıca siber güvenliğin işletmeler tarafından önceliklendirilmesi veya ihmal edilmemesi önem kazanıyor.
Şirketlerin siber güvenlik pozisyonları için işe alma konusunda olumlu bir yaklaşım benimsemesi gerekiyor. Siber güvenlikte küresel yetenek açığı bulunuyor. Bugün, küresel ölçekte üç milyona yakın siber güvenlik pozisyonu doldurulamıyor ve bu sayı büyümeye devam ediyor. Kurumlar siber güvenlik ekiplerini yetersiz istihdam ediyor, bir pozisyonun doldurulması ortalama altı ay sürüyor ki bu bir kurum için risk anlamına geliyor. Pozisyonu doldurmak ne kadar uzun sürerse saldırıya uğrama riski o kadar artıyor. Şirketlerin siber güvenlik yeteneklerini işe alma ve elde tutmada yol kat etmesi gerekiyor.
Saldırganlar tedarik zincirinde veya iş ekosisteminde zayıf bağlantıları da hedefliyor. Örneğin; kurumun sistemlerine bağlanmış güvenli olmayan üçüncü taraf ekipmanlar da risk oluşturuyor. Şirketlerin iş ortaklarının iyi siber güvenlik uygulamalarına sahip olmalarını sağlamak için sağlam güvenlik kontrolleri ve prosedürleri için yüklenicileri, satıcıları ve diğer hizmet sağlayıcılarını denetlemesi; siber güvenlik eğitiminin ve kapsamının iş ortaklarına genişletilmesi; hatta kurumun hassas veri ve sistemlere erişimini makul ölçüde sınırlaması gerekiyor. Şirketler, dijital kurulumlarının güvenliğini bir bütün olarak düşünmeli. Birçok şirket siber güvenlik ihtiyacını yalnızca bir saldırı, tehdit veya işlerinde bir aksaklık ile karşılaştıklarında ele alıyor ve sonra sadece bu sorunu çözmek için bir güvenlik ürünü arıyor. Esasen ihlaller görünür hale geldikçe tedbir alıyor. Bu yanlıştan dönülmesi gerekiyor.
Pandemi, hem teknolojinin benimsenmesinin hem de siber suçun hızını ve etkinliğini hızlandırdığı için kurumların kendi güvenliklerinin devam edebileceğinden emin olmaktan başka seçeneği görünmüyor