Okullarda Kimlik Avı: Saldırılardan nasıl kaçınabilirsiniz?
Uzaktan ve hibrit eğitimin daha da yaygınlaşmasıyla birlikte, siber güvenlik, öğrencilerin dijital araçları kullanırken güvende olmalarını sağlamak adına daha da kritik hale geldi. Bilişim uzmanları, öğrencilere eğitim için cihaz tedarik eden okul sistemlerindeki kimlik avı riski nedeniyle endişe içerisinde. Peki bu saldırılardan kaçınmak mümkün mü? Mümkünse nasıl?
Dell Türkiye Veri koruma Çözümleri Müdürü Şevket Ağaoğlu bu saldırılardan korunmak için; eğitimcilere, öğrencilere ve çalışanlara güvenlik eğitimi sağlamanın, risk yönetimini aktif tutmanın ve tutarlı güvenlik önlemleri uygulamanın gerekliliğine dikkat çekiyor. Siber saldırı türleri arasında kimlik avı, okulları en çok ilgilendiren güvenlik tehdidi durumunda. Okullar, çalışanlar ve öğrencilerle ilgili sahip oldukları hassas kişisel ve finansal bilgiler nedeniyle siber saldırganlar açısından en çekici hedefler arasında yer alıyor. Siber korsanlar özellikle şüpheli faaliyetlere karşı izlenme olasılığı daha düşük olan gençlerin kimlik bilgilerinin peşinde.
Bir kurumdan ya da tanıdıkları birinden geliyormuş gibi görünen mesajlarla özellikle belirli kişileri hedef alan "Spear-Phishing" saldırıları giderek artıyor. En yaygın iletişim yöntemlerinden biri olan e-postalar, ortalama bir kullanıcının hem işte hem de evde karşılaştığı en önemli tehditlerden biri olarak öne çıkıyor.
İnternet bağlantısı ve güvenli olmayan cihazların kullanımındaki artışla birlikte Türkiye'deki sistem ve altyapılarda bulunan güvenlik açıklarından faydalanan kimlik avı saldırıları da büyük artış gösteriyor. Günümüzde öğrencilerine cihaz tedarik eden okulların, artan bu kimlik avı saldırılarına karşı direnmeleri için daha fazla inisiyatif alan bir yaklaşım izlemeleri gerekiyor. Okulları ilgilendiren en büyük soru ise "Nasıl?". Dell Türkiye Veri Koruma Çözümleri Müdürü Şevket Ağaoğlu, çözüm yollarını şöyle sıralıyor;
Kullanıcılar İçin Önleme ve Koruma Katmanları Oluşturun
Eğitim kurumları, işlerini dijital dönüşüm girişimleriyle uyumlu hale getirdikçe saldırı riskleriyle daha fazla karşı karşıya kalıyor. Bu doğrultuda, okulların gelişmeye devam edebilmek için çalışanlarına kritik verileri güvende tutabilmelerini yardımcı olacak araçları ve kaynakları da tedarik etmeleri gerekiyor. Okulların bu zorlukların üstesinden gelmek ve çalışanların katılımını sağlamak için veri koruma çözümlerini, güvenlik eğitimlerini, uç nokta korumasını ve dijital dönüşümü içeren çözümleri kapsayan çok yönlü bir güvenlik yaklaşımını benimsemeleri büyük önem taşıyor.
Çalışanlara güvenlik eğitimi sağlayın: Veri güvenliğinin her düzeyde kritik olduğunu ve verileri güvende tutmanın en önemli parçası olduklarını anlamaları için bütün çalışanları eğitin. Risk yönetimi: Veriler katlanarak büyümeye devam ederken, sürekli kullanılabilirlik, çoğaltma, yedekleme ve arşivler genelinde çeşitli veri koruma stratejilerinden yararlanın. Ölçeklenebilen etkili bir veri koruma çözümü oluşturun.
Tutarlı güvenlik: Okulların bir adım önde kalmak için güvenlik önlemlerine yatırım yapmayı birinci öncelik haline getirmeleri ve saldırıyı gerçekleştikten sonra ele almak yerine veri gizliliğini proaktif bir şekilde yürütmeleri gerekiyor. Bu, güvenliği zaten temeline yerleştirilmiş olan bilişim çözümlerinin (dizüstü bilgisayarlar, sunucular ve depolama gibi) uygulamaya alınması anlamına geliyor. Ayrıca, güncel yamalama süreçleri, virüs koruma, kötü amaçlı yazılımlara karşı koruma ve güvenlik duvarları ilk savunma hattını oluşturuyor. Çoğu web tarayıcıda, kullanıcıları potansiyel olarak risk taşıyan e-postalar ve siteler hakkında uyaran yerleşik korumalar bulunuyor. Google Chrome gibi tarayıcılarda bulunan çok faktörlü kimlik doğrulama özelliğinin kullanılması da dolandırıcılıklara karşı daha fazla koruma sağlayacaktır.
Eğitimci ve Öğrencilere ‘Siber Eğitim’
Ağaoğlu’na göre kolayca kandırılanlar yalnızca öğrenciler değil. Yöneticiler ve eğitimciler de bu tuzaklara düşüyor. Ağaoğlu “Tarayıcı araç çubuğunda alan adını kontrol etmek gibi temel bir farkındalıktan yoksun olan birçok yönetici ve öğretim üyesi de kolayca bu tuzaklara düşebiliyor” diyor.
Kimlik avı saldırılarını simüle etmek, mevcut bilgi durumunu değerlendirmenin ve farkındalığı artırmanın uygun maliyetli bir yoludur. Wombat ve PhishingBox gibi platformlar, okulların, kullanıcılara kimlik avını güvenli ve kontrollü bir ortamda nasıl tanımlayacaklarını göstermek için simülasyonlu kimlik avı e-postaları hazırlayabilmelerini ve göndermelerini sağlayan hizmetler sunuyor.
“Kimlik avı girişimlerini tanımayı ve bunlardan kaçınmayı öğrenmeye ek olarak öğrenciler, eğitimciler ve yöneticiler bir tür canlı güvenlik duvarı görevi görecek şekilde yetkilendirilmelidir” diyen Ağaoğlu, bilişim departmanlarını da kullanıcıları temkinli olmaya teşvik etmesi yönünde uyarıyor.
Ağaoğlu “Bilişim departmanları her türlü şüpheli etkinliği bildirmeyi kolaylaştırarak, zamanında istihbarat elde edebilir ve böylece sonradan oluşabilecek bir güvenlik karmaşası ihtimalini azaltabilir” diyor.
‘Dijital Vatandaş’ olmak
Siber güvenlik alanında her gün yeni tehditler ve güvenlik açıkları ortaya çıkıyor. Okulların bunun yalnızca teknik bir sorun olmadığını anlamaları da bu yüzden kritik önem taşıyor. Teknoloji ve iş süreçleri arasındaki sinerji, gerçek dayanıklılığın elde edildiği yerdir. Planlama ve uygulama söz konusu olduğunda siber uzmanlara güvenmek işletmelerin temel uygulamaları, kurtarma sürelerini ve hedeflerini belirlemelerine yardım etmekle kalmayacak, okullar için daha basit, daha akıllı ve daha uygun maliyetli koruma sağlamaya yönelik önemli bir adım olacaktır. Dijital okuryazarlığın bir parçası olarak, öğrencilerin aynı zamanda kimlik avını nasıl tespit edeceklerini, nasıl önleyeceklerini ve bildireceklerini öğrenerek üzerlerine düşeni yapmaları gerekiyor. Bunlar, iyi birer dijital vatandaş olarak okulun ötesine taşıyacakları çok önemli becerilerdir.