Startup’lar ve bilgi güvenliği

Mayıs 6, 2019

Startup’lar bir fikirle yanıp tutuşan ve bunu en kısa zamanda eyleme dökmek isteyen kişilerce kurulur. Bütçe genellikle kısıtlıdır ve masraflar alıp başını gider, ürünü geliştirme, promosyon ve diğer konuları saymıyoruz bile. Yeni iş insanları öncelikleri yönetirken çoğu zaman bilgi güvenliği ile ilgili konuları ihmal eder. Bu yazıda bunun sakıncalarından söz edeceğiz.

Bilgisayar korsanları startup’ları öldürerek beslenir

Startupların çoğu kısıtlı kaynaklara sahip küçük bir işletmenin siber suçluların ilgisini çekmeyeceğine güvenerek güvenliğe yatırım yapmaz. Gerçekte ise, herkes siber suçların azizliğine uğrayabilir. Öncelikle, siber tehditlerin çoğu çok büyük ölçekli olduğu için yaratıcıları da hedefi geniş tutup en azından birkaçından kazanabilmek için olabildiğince çok şirketi vurmaya çalışır. İkincisi, genellikle nispeten korunmasız olduklarından startuplar siber suçlular için cazip hedeftir.

Kuruluşların bir siper saldırıdan sonra toparlanması bazen aylar alırken, küçük bir firma bir daha ayağa kalkamayabilir. 2014’te, siber suçluların saldırıları Code Spaces adında, ortak proje yönetimi araçlarıyla barındırma hizmeti veren bir girişimin kapanmasıyla sonuçlandı. Saldırganlar şirketin bulut kaynaklarına erişerek müşteri verilerinin önemli bir bölümünü imha etti. Hizmet sahipleri olabildiğince çok veriyi kurtarmayı başarsa da normal işleyişe geri dönmeleri mümkün olmadı.

İşletmenizin sonunu getirebilecek hatalar

Startup’ınızı kısıtlı bütçeye rağmen hakkıyla koruyabilmek için işe başlamadan önce bir tehdit modeli oluşturmanız ve hangi risklerin işletmenizle ilgili olduğunu tespit etmeniz gerekebilir. Burada, ilk işini kuran birçok girişimcinin yaptığı tipik hataları ele alarak size yardımcı olacağız.

1. Kişisel veri depolama ve işleme yasaları hakkında bilgi sahibi olmamak

Çoğu devlet kendi vatandaşlarının güvenliğini korumaya çalışır. Avrupa’da Genel Veri Koruma Yönetmeliği (GDPR) ve ABD’de de farklı endüstrilerde ve eyaletlerde geçerli çok sayıda kanun vardır. Türkiye’de ise Kişisel Verileri Konuma Kanunu (KVKK) bulunur. Bu kanunların tümü, siz onları okumuş olsanız da olmasanız da, geçerlidir.

İlgili yasal gerekliliklerin ihlali halinde verilecek cezalar değişebilir, ama ihmalkarlık büyük olasılıkla size pahalıya patlar: en iyi ihtimalle, hiç azımsanmayacak bir para cezası ödersiniz. En kötüsü de, ilgili yasalara aykırılıkları giderene kadar işlerinizi askıya almak zorunda kalabilirsiniz.

Önemli bir husus daha: Bazen yasaların kapsamı tahmin ettiğinizden daha geniş olur. Örneğin, GDPR ister Rusya’da ya da ABD’de olsun, Avrupa vatandaşlarının verilerini işleyen tüm şirketler için geçerlidir. Bu nedenle en iyisi, yerel yönetmeliklerinizin yanında ortaklarınızın ve müşterilerinizin yönetmeliklerini de incelemektir.

2. Bütün kaynaklarının yetersiz korunması

Startup’ların çoğu örneğin Amazon AWS ya da Google Cloud gibi halka açık bulut hizmetlerine bel bağlar, ama bunlarda bu tür depolama alanlarına uygun güvenlik ayarları bulunmayabilir. Çoğu zaman, müşteri verilerinin veya Web uygulaması kodlarının olduğu kapsayıcıların korunma yolu zayıf parolaların ötesine geçmez ve dahili kurumsal belgeler doğrudan bağlantılarla erişilebildiği gibi arama motorlarına da görünür. Sonuçta da kritik veriler herkesin eline geçebilir. Startuplar bazen, işleri zorlaştırmamak adına, önemli belgelere erişimi sınırlandırmayı unutarak bunları Google Docs’ta sonsuza kadar herkese açık halde bırakır.

3. DDoS saldırılarına hazırlıksız yakalanma

DDoS İnternetten kaynak indirmenin verimli bir yoludur. Bu tür hizmetler karanlık ağda genellikle daha ucuz olduğundan, bunları daha gelişmiş saldırıları gizlemede kullanacak olan rakipler ve siber suçlular için oldukça da uygun maliyetli olur.

2016’da, Coinkite adındaki bir kripto para e-cüzdanı bitmek bilmeyen DDoS saldırıları yüzünden kapanmak zorunda kalmıştı. Bunu geliştirenler, hizmeti kullanıma sundukları günden bu yana huzurlarının kalmadığını söylemişti. Şirket birkaç yıl direndikten sonra vazgeçti ve odak noktasını tekrar donanım cüzdanlarına kaydırdı.

4. Çalışanların yeterince bilinçli olmaması

Bütün işletmelerde insanlar genellikle zayıf halkadır. Saldırganlar da bunu çok iyi bilir ve toplum mühendisliği hilelerini kullanarak kurumsal ağa sızar ya da gizli bilgi avcılığı yapar.

Bilinçsizlik serbest çalışanlarla iş yapan firmalar için iki kat tehlikelidir: Bu kişilerin çalışırken hangi aygıtları ve hangi ağları kullandığını kontrol etmek oldukça zor olabilir. Bu nedenle, tüm çalışanları güvenlik odaklı bir tavır almaya motive etmek ve yönlendirmek çok önemlidir.

Startup’ınız nasıl ayakta kalabilir?

Kendinizi siber suçlulara açık etmekten kaçınmak ve işinizi sürdürmek için, iş planınızı hazırlarken siber güvenliğe yeterince özen gösterin:

  • Hangi kaynakların öncelikli olarak koruma gerektirdiğini ve ilk aşamalarda bütçenizin ne tür güvenlik araçlarına yeteceğini tespit edin. Aslında, tedbirlerin çoğu o kadar da maliyetli değildir.
  • Aygıtlarınızı ve hesaplarınızı korumak için güçlü parolalar kullanın. Kaspersky Small Office Security çözümümüz güçlü parolalar oluşturmaya ve bunları şifreli kapsayıcıların içinde tutmaya yarayan Kaspersky Password Manager aracını içerir. İki aşamalı kimlik doğrulamayı ihmal etmeyin. Bu aralar neredeyse her yerde kullanılıyor ve gerçekten işe yarıyor.
  • Çalışmayı planladığınız ülkelerdeki veri depolama yasalarını dikkatle inceleyin ve firmanızın kişisel bilgi depolama ve işleme iş akışının bu yasalara uygun olduğundan emin olun. Mümkünse söz konusu her piyasadaki tuzaklar ve gizli tehlikeler konusunda avukatlara danışın.
  • Üçüncü şahıs hizmet ve yazılımlarının güvenliğini yakından takip edin. Kullandığınız işbirlikçi geliştirme sistemi ne kadar iyi korunuyor? Konakçı hizmet sağlayıcınız güvenli mi? Kullandığınız açık kaynak kütüphanelerinde bilinen zafiyetler var mı? Bu sorular da sizi en az son ürünün tüketici özellikleri kadar ilgilendirmelidir.
  • Çalışanlarınızın siber güvenlik bilincini yükseltin ve onları bu konuda araştırma yapmaya teşvik edin. Eğer firmanızda kadrolu siber güvenlik uzmanı yoksa (startuplarda genellikle olmaz) bu konuya en azından biraz ilgi duyan ve işe blogumuzu takip ederek başlayacak birini bulun.
  • Bilgisayarın altyapısını korumayı unutmayın. Bütçesi kısıtlı olan yeni firmalara yönelik bir çözümümüz var. Bu ürün sayesinde iş istasyonlarınızın ve sunucularınızın güvenliğini otomatik kontrol edebilir ve ödemelerinizi çevrimiçi olarak güvenle yapabilirsiniz. Hiçbir idari beceri gerekmez.