Tinkoff uzmanlarına göre Rus iş dünyasında en yaygın 5 siber güvenlik hatası

Tinkoff Business uzmanları, Rus işletmeleri için tipik olan en yaygın bilgi güvenliği hataları hakkında bir rapor yayınladı. Tinkoff Business, şu anda altı yüz binden fazla Rus girişimci ve çeşitli büyüklükteki şirketler tarafından kullanılan, iş için bütün bir ürün ve hizmet ekosistemini temsil ediyor.

Çeşitli endüstrilerdeki küçük ve orta ölçekli işletmelerin sektörleri için en tipik örnekler değerlendirildi. Analiz için örnek, 40.000’in üzerinde çok sayıda şirket sitesini içeriyordu. Toplamda, en yaygın iki düzine tipik hata, esas olarak etki alanları, veritabanları ve şifreleme ile ilgili olarak sınıflandırıldı. Tinkov uzmanlarına göre, bu tür vakaların yarısından biraz daha azında, web sitelerinde tespit edilen güvenlik açıkları, saldırganların işlevlerini tehlikeye atmasına ve şirketin veritabanlarını çalmak da dahil olmak üzere çeşitli dolandırıcılık şemaları uygulamasına izin veriyor.

Şirketlerin %46’sının bilgi güvenliği sorunları olduğu tespit edilirken, güvenlik açıklarının %44’ünün danışmanlık hizmetleri (%17), perakende satış (%14) ve tuhaf bir şekilde bilgi teknolojisi (%13) firmalarında olduğu tespit edildi. Risk bölgesinde ayrıca hizmet sektöründen (%13) ve toptan ticaretten (%11) diğer kuruluşlar yer almaktadır. Ve toplam sayıdan her beşinci şirketin aynı anda birkaç “zayıf noktası” var.

Buna dayanarak uzmanlar, en yaygın beş güvenlik açığının bir listesini derledi ve ortadan kaldırılması için önerilerde bulundu.

1. Onaylanmamış site adresi, alan adının doğrulanmaması, site adresi. KOBİ sektöründeki en yaygın güvenlik ihlali, şirketlerin üçte birinde mevcut – örnekleme katılan toplam sayının %34’ü. Şirket sahiplerinin, şirketin web sitesinin adresinin doğrudan bu şirkete ait olduğunu teyit etmemiş olmasından ibarettir. Aynı zamanda, potansiyel bir “siberterörist”, başarılı olursa, bu site ve adresi üzerindeki haklarını şirketten “çalarak” başarılı bir şekilde talep edebilir. Bunu önlemek için, bu alan adı üzerindeki haklarınızı onaylayarak kayıt şirketiyle önceden yazılı olarak iletişime geçmelisiniz.

2. Korumasız veritabanları. Küçük ve orta ölçekli işletmelerde vakaların dörtte birinden (%27) biraz daha sık görülür. Bir bilgisayar korsanı, açıksa çeşitli site hatalarını kullanarak bir veritabanını çalabilir ve verilere erişmek için tek yapmanız gereken doğru kullanıcı adını ve şifreyi bulmaktır. Tüm bu manipülasyonlar başarılı olursa, şirket çalışanları, müşterileri, belirli siparişler ve işlem tutarları hakkındaki bilgiler dolandırıcılık amacıyla daha fazla kullanılabilir. Tinkoff Business uzmanları, bu görevi saldırganlar için daha zor hale getirecek bir dizi önlem almayı öneriyor: veritabanı bağlantı noktasını kapatın, karmaşık parolalar kullanın, veritabanına erişebilen bir IP adresi filtresini etkinleştirin. Ayrıca, yalnızca şirketin doğrudan sahipleri ve yöneticileri ile dar bir yetkili kişiler çevresinin veri tabanına erişimi olması da arzu edilir.

3. SSL güvenlik sertifikası hatası. Bu sertifika, HTTPS güvenli bağlantı protokolünü kullanarak çalışmanıza izin verir ve sitenin gerçekten belirtilen kuruluşa ait olduğunu onaylar. İncelenen vakaların %15’inde sertifikanın mevcut alan adı ile tutarsız olduğu ortaya çıktı, bu da siteyle çalışmayı potansiyel olarak güvensiz hale getirerek verilerin ele geçirilmesi riskini artırdı. Uzmanlar, bir SSL sertifikasının zamanında yeniden yayınlanmasını tavsiye ediyor.

4. Kötü fidye yazılımı koruması. Şirketin bilgi kaynaklarına erişim sağlanması durumunda, bir bilgisayar korsanı bazı verileri şifreleyerek daha fazla kullanım için erişilemez hale getirebilir ve ardından şifresini çözmek için bir fidye talep edebilir. Küçük ve orta ölçekli işletmelerin %9’u bu tehdide maruz kaldı. Sorunun çözümü portları kapatmak ve kesinlikle gerekmedikçe açmayın.

5. Süresi dolmuş bir SSL sertifikası. Sertifikanın süresi dolduğunda, tarayıcı siteyi ziyaret eden kullanıcıları bu konuda görsel olarak bilgilendirmeye başlar, bu da onların kaynağa olan güvenlerini sarsar ve özellikle sertifika üzerinden sipariş verme ve kişisel verileri girme konusunda onları kullanmaktan caydırır. Bu da sektördeki firmaların %7’si için müşteri kaybına ve potansiyel kâra neden oluyor.

Nispeten nadir güvenlik açıkları, kurumsal sunucuların uzaktan yönetimiyle ilgili olanları içerir – toplamın %5’inden biraz fazlası.

Tinkoff Business müşterilerinin, mobil uygulama sohbetinde talep bırakmaları gereken güvenlik açıkları için bilgi kaynaklarını ücretsiz olarak analiz etme imkanına sahip oldukları kaydedildi. Servis uzmanları tarafından yapılan kontrolün sonucu, belirlenen sorunların çözümü için öneriler içeren hazır bir rapor olacaktır.

Makalenin tasarımında Tinkoff Business tarafından sağlanan infografikler ve aşağıdakilerden bir çerçeve kullanılmıştır. Axel Thesleff’in “Bad Karma” videosu

Similar Posts

Leave a Reply

Your email address will not be published.