Küçük İşletmeler için E-posta Güvenliği

Günümüz dijital çağında e-posta her büyüklükte işletmeler için iletişimin bel kemiği haline gelmiş olup diğer yandan özellikle küçük işletmeler için önemli güvenlik zorluklarına yol açmaktadır. Siber tehditler artmaya ve daha karmaşık hale gelmeye başladıkça hassas bilgileri korumak ve e-posta yazışmalarının gizliliğini sağlamak daha önce hiç olmadığı kadar önemli hale gelmiştir.

Son yıllarda işletmelerin e-posta sunucuları üzerinden gerçekleşen siber saldırılarda her yerde büyük bir artış meydana gelmiştir. Son birkaç yıl boyunca uzaktan çalışmaya doğru global düzeyde bir geçiş olduğunu düşünürsek tüm bunlar çok şaşırtıcı gelmez. Ancak, uzaktan çalışma artık kalıcı hale gelmişken, birçok siber güvenlik uzmanı için şaşırtıcı olan şey, birçok kuruluşun (özellikle bu tür saldırılara karşı en savunmasız olan küçük işletmeler) İş E-postası Dolandırıcılığı (BEC) ve diğer daha geleneksel e-posta odaklı siber saldırı türlerinden sistemlerini korumak için temel siber güvenlik uygulamalarını hayata geçirmemiş olmasıdır.

İş E-postası Güvenlik İhlali dijital dolandırıcılığın ve zarar vermenin önemli bir türü olup işletmeler arasındaki günlük e-posta iletişiminden yararlanmaya çalışır. Sosyal mühendisliğin karmaşık yapısı sonucu, siber suçlular bir çalışan veya güvenilir iş ortağı kılığına bürünerek o şirkette çalışan kurbanları hassas bilgileri veya paralarını gizli hesaplara aktarmaya ikna ederler. Bu tür saldırılar ciddiyet olarak değişmekle birlikte hedeflenen işletme için oldukça pahalıya mal olur. Bu nedenle, özellikle küçük işletmeler için özel olarak uyarlanmış olan ve (ancak bu uygulamalar her büyüklükteki işletme için eşit şekilde geçerlidir) e-posta güvenliği için en iyi uygulamalar, kurallar, protokoller ve politikalara dair olan bu rehberi oluşturmaya karar verdik. Küçük işletme e-postalarınızın güvenli ve tüm hassas bilgilerin istenmeyen izleyicilerden uzak olduğundan emin olma zamanı gelmiştir.

çKüçük İşletmelerde E-posta Güvenliği İçin En İyi Uygulamalar

Küçük işletmelerde e-posta güvenliği için en iyi uygulamalar, büyük işletmeler için kullanılanlarla benzerdir; üç ana e-posta siber saldırı türüne karşı koruma sağlar: Kimlik avı dolandırıcılığı, hedef odaklı kimlik avı saldırısı ve sahte faturalar. Temel e-posta güvenlik önlemleriyle başlayalım:

1. İş E-posta Hesapları İş içindir

Bu oldukça basit ve anlaşılır görünse de yine de bunun altını çizmek önemlidir. İşin herkesin hayatında önemli bir yer kaplamasıyla birlikte kişisel hesaplarınızla erişiminiz olmayan hizmetler için iş e-postasını kullanmak daha cazip gelebilir. Bununla birlikte şirket e-postanızı kişisel çevrimiçi etkinlikler için kullanmak bir dolandırıcıya sizi daha kolay profilleme fırsatı vererek çok daha hedefli bir siber saldırıya yol açabilir. Buna paralel olarak, kişisel bilgisayarınızı veya ev Wi-Fi bağlantınızı kullanıyorsanız, genellikle kurumsal bağlantı veya işyerinizde kullanılan özel makineler kadar güvenli olmayabilecekleri için bilgisayar korsanlarına iş kimlik bilgilerinizi çalma fırsatı vermiş olursunuz. Bu aynı zamanda bir sonraki en iyi uygulamamıza bizi götürür.

2. Herkese açık Wi-Fi'larda İş E-postanızı Kullanmayın

İş e-posta hesabınıza erişmek için şirketin güvenli makinesini kullanıyor olsanız da herkese açık Wi-Fi, saldırganlar ve siber suçlular için makinenizi ele geçirerek hassas bilgilerinizi çalmanın en iyi yoludur. Herkese açık bağlantı kullanmaktan kaçınamadığınızda, önemli iş sunucularınıza bağlanmak ve genel uç nokta güvenliğinizi artırmak için bir VPN kullanmanızı öneririz Sanal Gizli Ağ (VPN) kullanıcının uzaktan bilgisayarı ve kuruluşun özel sunucuları arasında bir tür gizli bir şifrelenmiş tünel oluşturarak çalışır. Sonuç olarak VPN, güvenli olmayan bir ağ üzerinden gönderdiğiniz tüm verileri gerçek zamanlı şifreleme yoluyla korur. VPN'ler ve nasıl çalıştıkları hakkında daha fazla bilgi sahibi olmak için 'VPN nedir?' adlı makalemize göz atın.

3. Güçlü Parolalar ve Anahtarlı Parolalar

Bir iş e-posta hesabına saldırmak söz konusu olduğunda ilk adım hesaba deneme yanılma saldırısı düzenleyerek parolayı veya anahtarlı parolayı tahmin etmeye çalışmaktır. Bu yüzden tüm çalışanların 'güçlü' parolalar veya anahtarlı parolalar kullanmalarını öneririz. Bir parola yeterince uzunsa (12-14 karakter) ve özel karakter, sayı, büyük harf, küçük harf karışımından oluşursa güçlü sayılır. Aynı şekilde, 'güçlü' parolalar, benzer kuralları takip eder, tek farkları 15-20 karakter uzunluğunda olmaları ve mümkün olduğunca diğer dillerden harfleri içermeleridir.

Bunların her biri için hatırlanması gereken en önemli şey, benzersiz olmaları ve yalnızca tek bir uygulama için kullanılmaları gerektiğidir. Bu da iş yerinizde kaç sistem kullandığınıza bağlı olarak çok sayıda söz konusu parola veya anahtarlı parolalardan kullanmanız gerekeceği anlamına gelir. Sonuç olarak, tüm benzersiz parola ve kodlarınızı saklamak üzere, güçlü parola oluşturmak için parola oluşturucu sağlayan parola yöneticisi veya parola kasası kullanmanızı öneririz. Parola kasaları ve yöneticileri saldırıya uğrayabilse de, parolalarınız şifreli olduğu için güvende kalacaktır. Çünkü 256-bit AES (Gelişmiş Şifreleme Standardı) gibi endüstri standardı şifrelemenin deşifre edilmesi neredeyse imkansızdır. Dolayısıyla, bir bilgisayar korsanı kasanın 'içine' girse bile, bu şifrelenmiş verilerinize bir şey yapabileceği anlamına gelmez.

4. Kimlik Koruma Dolandırıcılığı ve Ek Farkındalığı Eğitimi

İşletmenizi korumanın en kolay yollarından birisi, tüm çalışanlarınız için anlaşılır siber güvenlik eğitimine yatırım yapmaktır. Eğer bu işletmeniz için bir seçenek değilse, çalışanlarınıza kimlik avı dolandırıcılığı ve e-posta eki saldırılarının, bilinen diğer adlarıyla kötü niyetli ekler veya HTML kaçakçılığı tehlikeleri konusunda eğitim vermenizi öneririz. Ele alınacak temel noktalar aşağıdadır:

• Sahte web siteleri ve kullanıcıların oturum açma kimlik bilgilerini toplayan Microsoft Outlook Oturum Açma penceresi gibi yaygın açılır pencerelere benzer yaygın kimlik avı dolandırıcılığı türleri konusunda farkındalık oldukça önemlidir.
• Zararlı yazılımın gizlenebileceği .DOCX, .HTML, and .EXE gibi en yaygın kullanılan e-posta eki vektörleri bilgisi. Bunlara ayrıca HTML kaçakçılığı olarak da bilinen yeni ve yaygın bir e-posta siber saldırı biçimini ekleyebiliriz.
• Çalışanlarınızı şüpheli görünen veya bilinmeyen bir kullanıcıdan gönderilen bir bağlantıya hiçbir zaman tıklamamaları konusunda uyarın. Kötü niyetli bağlantılar, dolandırıcıların genellikle çeşitli kimlik avı dolandırıcılığı siteleri aracılığıyla çalışanlarınıza ve işletmenize başarılı bir siber saldırı gerçekleştirmelerinin en kolay yoludur.

5. Çok-Faktörlü Kimlik Doğrulamasını Etkinleştirme

Etkili olması nedeniyle gittikçe daha yaygın hale gelen bir güvenlik uygulaması da çok-faktörlü kimlik doğrulamasıdır. Bazen MFA (Çok Faktörlü Kimlik Doğrulama), iki faktörlü kimlik doğrulama veya 2FA olarak adlandırılan çok faktörlü kimlik doğrulama, bir çalışanın mesajlarına erişmeden önce iş e-posta hesabına çok katmanlı güvenlik kontrolü sağlar. Örnekler arasında ek parola, güvenli SMS'ten bir kod veya önceden belirlenmiş güvenlik sorusuna bir yanıt sayılabilir.

6. Oturumu Kapatmayı Unutmayın

İş e-postanızı kullanırken yapılması gereken en açık şey gibi görünebilir, ancak bu işlemin hatırlanması önemlidir zira birçok siber güvenlik saldırısını, eski bir işverenden hıncını almak için o işletmeye zarar vermeye çalışan memnuniyetsiz çalışanlar başlatır. Birinin hesabını ele geçirip başka bir çalışan gibi davranmak, siber suç işlemenin ve yakalanmaktan kaçmanın en kolay yollarından biridir. Bu nedenle, kendinizi veya çalışanlarınızı bilmeyerek şüpheli duruma düşmekten korumak için işinizdeki herkesin her oturumdan sonra oturumu kapatmayı ve giriş bilgilerini birbirleriyle paylaşmamayı unutmamasını sağlamak önemlidir.

7. E-posta Tarama ve Koruma Sistemleri

Sosyal mühendislik tehditlerinin ve e-posta ile ilgili siber saldırıların giderek karmaşık hale gelmesiyle, özel e-posta tarama ve koruma sistemi, gelişmiş kötü amaçlı e-posta ekleri ve gömülü komut dosyası saldırılarına karşı en iyi savunmadır. Makine öğrenimi ve statik kod analizi içeren otomatik bir antivirüs çözümünü öneririz. Bu çözüm, bir e-postanın yalnızca ek dosya türünü değil aynı zamanda gerçek içeriğini değerlendirir. Gelişmiş çevrimiçi siber güvenlik çözümü için Kaspersky Security for Microsoft Office 365 ürününü öneririz. İşletmeler ve kişisel kullanıcılar için ödüllü bir sistem olan premium paketimiz uzaktan yardım ve 7/24 destekle birlikte gelir.

E-posta Güvenlik Protokolleri ve Standartları

İş e-posta sisteminizi korumanın en önemli yollarından biri düzgün bir şekilde e-posta güvenlik protokollerini uygulamaktır. Genellikle e-posta ile ilgili siber saldırılara karşı ilk savunma hattı olarak kabul edilen e-posta protokolleri, iletişimlerinizin web tabanlı posta hizmetleri üzerinden geçerken güvenli kalmasını sağlamak amacıyla tasarlanmıştır. Açık olmak gerekirse, e-posta sunucuları e-posta protokollerini kullanarak alıcıların e-posta istemcileri arasındaki e-posta mesajlarını iletir. Protokoller sunucuya nasıl ilerleneceğini ve mesajları ileteceğini gösterir. Güvenlik protokolleri işlemi doğrular ve kimlik doğrulamasını gerçekleştirir.

İş e-postanızı güvenli hale getirmek için kullanılabilecek bir dizi farklı protokol mevcuttur:

• SPF E-posta alan adı sahiplerinin, e-posta gönderirken alan adlarını kimin kullanmaya yetkili olduğunu belirlemesine ve doğrulamasına olanak tanır.
• DMARC Bir mesajın doğrulanamaması durumunda alan adı sahiplerinin bilgilendirilmesini ve yanıt vermesini sağlar.
• SMTPS ve STARTTLS Müşteriler ve sunucular arasındaki e-posta alışverişlerini şifreleyin.
• DKIM Kullanıcının dijital imza ile kimlik doğrulaması için bağlanmasını sağlar.
• S/MIME MIME'de formatlanan verilerin nasıl şifreleneceğini ve kimlik doğrulamasının yapılacağını tanımlar.
• OpenPGP Pretty Good Privacy çerçevesine dayanır ve e-postalar için bir şifreleme ve kimlik doğrulama standardıdır.
• Dijital Sertifikalar Gönderenin detaylarını kamu anahtarı sahipliği üzerinden doğrulama yoludur.
• SSL/TLS - Doğrudan e-posta güvenliğinde kullanılmaz, ancak HTTPS için kullanıldığından sunucular arasındaki ağ trafiğini (webmail mesajlarını kapsayacak şekilde) şifreler.

Birçok popüler e-posta istemci sağlayıcısı, kullanıcılarının gizliliğini korumak için SPF, DKIM ve DMARC'ı (DNS kayıtları aracılığıyla yapılandırılmış) kullanır. İşletmenizin e-posta sistemi için en azından bu üçünü uygulamanızı öneririz.

Email Güvenlik Politikaları, Yönergeleri ve Uyumu

E-posta güvenlik politikaları, yönergeleri ve bunlara uyum, iş yerinde iş e-posta hesaplarının kullanımı etrafındaki kuralları ve düzenlemeleri tanımlar. Yukarıda listelenen her bir nokta, kuruluşunuzun e-posta güvenlik politikalarının önemli bir parçası olmalıdır. Ek olarak bu yönergeler aşağıdaki kuralları içermelidir:

• Kullanıcı erişimi ve cihaz kullanımı.
• Verileri işleme ve depolama.
• E-posta yönlendirme, silme veya saklama ile ilgili kurallar.
• Ağ ve sistem kullanımını içeren politika kapsamının genişliği.
• Etik tutum ve uygun davranış.
• Parola şifreleme ve e-posta istemcilerde kullanılan diğer güvenlik araçları.
• E-posta zararlı yazılımları ile ilgili siber güvenlik eğitim materyali ve sahte ekleri, bağlantıları veya mesajları nasıl tespit edeceğinize dair bilgiler.
• İşletmenizin uyguladığı e-posta izleme ve çalışanı kaydetme uygulamaları
• E-posta yoluyla alınan zararlı, tehditkar veya yasa dışı içerik nereye ve nasıl bildirilir?

Kısacası, küçük bir işletmeden büyük bir kurumsal şirkete kadar her kuruluşun, yukarıda bahsedilen konuyu açıkça ortaya koyan ve tanımlayan bir Güvenlik Uyumluluk Modeline (SCN) sahip olması gerekir. Bu yönergeler, şirketin e-postalarında bulunan tüm içeriğin gizliliğini ve güvenliğini sağlayabilecek (ulusal hükümet tarafından uygulanabilir) bir hukuki çerçeve olarak işlev görecektir. Müşterilerin ve ortakların dijital iletişim ihlalleri olan işletmelere karşı daha dikkatli hale geldiği göz önüne alındığında bu durum özellikle önemlidir.

Günümüz dijital ortamında e-postalar hem küçük hem de büyük işletmeler için vazgeçilmez hale gelmesiyle birlikte, diğer yandan siber hedefler için de öncelikli hedef haline gelmiştir. Uzaktan çalışma daha yaygın hale geldikçe e-posta kaynaklı siber saldırı riski de artmaktadır. Küçük işletmenizin ihtiyaçlarını karşılamak için özel olarak tasarlanmış olan Kaspersky’s Small Business Security ile işletmenizi zahmetsizce koruyun.

İlgili makaleler:

• Parola Yöneticisi nedir ve güvenli midir?
• Outlook, Gmail, iOS ve Yahoo üzerinde E-posta Şifreleme
• Spam E-postaları Durdurma: İpuçları ve Öneriler
• Kimlik Avı E-postaları: Kimlik Avı E-posta Dolandırıcılığını Tanıma ve Bundan Kaçınma

Önerilen ürünler:

• Kaspersky Security for Microsoft Office 365
• Kaspersky VPN Secure Connection
• Kaspersky Password Manager