Home-office Siber Güvenlik

Covid-19 salgını küresel olarak özel ve resmi birçok kurumun home-office çalışma modeline hızlı bir geçiş yapmasına sebep oldu. Bu hızlı geçiş siber saldırganların suistimal edebilecekleri güvenlik açıklarını beraberinde getirdi. Home-office çalışırken sadece kişisel değil kurumsal veri ve bilgiler de gerekli önlemler alınmadığında istenmeyen üçüncü partiler tarafından ele geçirilebilir.

Home-office çalışma modelinde internet trafiğinin, kullanılan cihazların, uygulamaların, yazılımların ve kullanılan iletişim kanallarının güvenliği sağlanmalıdır.

Home-Office ve VPN

VPN (Sanal Özel Ağ) home-office, uzaktan çalışma, fiziksel olarak farklı konumlarda bulunan ofis ağları arasında güvenli iletişim ağı kurmak için 1996 yılından beri kullanılan bir teknoloji. Bireyler arasında yasaklı sitelere giriş programı olarak VPN, bireysel olarak kullanıldığında aslında bağlanılan Wi-Fi ağında internet trafiğini şifreler ve kullanılan cihazın internet protokol (IP) adresini maskeleyerek anonimlik sağlar.

Home-office, uzaktan çalışma, modern VPN programları Remote Access VPN çeşididir. Site to Site VPN ise daha çok ofisler veya şirketler arası güvenli iletişim ağları oluşturmak için kullanılır.

Home-office çalışma modelinde internet trafiğinin güvenliğini sağlamak için şirketler evden çalışanların şirket ağına VPN ile bağlanmalarını sağlayabilir. Bunun öncesinde VPN kullanılacak olan bilgisayar veya benzer cihazların siber hijyeninin sağlanması gerekir. Aksi takdirde, cihazda bulunan kötücül yazılımlar şirket ağındaki diğer cihazlara sızabilir.

Bireysel olarak VPN programları bağlanılan ağ üzerinde kullanılan cihazın internet trafiğini VPN sunucusu üzerinden gerçekleştirir. VPN sunucusu ve bilgisayar arasında oluşturulan sanal ağ kriptografi algoritmaları ile şifrelenir. Bu şekilde, internet servis sağlayıcısı, ağ operatörü veya ağda bulunan üçüncü partiler internet trafiğinin içeriğini okuyamaz ve izleyemezler.

Home-Office ve Cihaz Güvenliği

Home-office çalışırken kullanılan cihazlarda lisanslı bir antivirüs programı kullanılmalıdır. VPN ile şirket ağına başka aile üyelerinin bilgisayarlarından bağlanılmamalıdır.

Kullanılan cihazların işletim sistemlerinin güncellemeleri geciktirmeden yapılmalıdır. 2017 yılında gerçekleşen WannaCry fidye yazılım virüsü saldırısının yüzbinlerce bilgisayarı etkilemesinin sebebinin güncellenmeyen Windows işletim sistemleri olduğu unutulmamalıdır.

Kullanılan bilgisayar, tablet gibi cihazların güvenliğini kullanılan uygulama ve yazılımlar da etkileyebilir. Şüpheli ve güvenilir olmayan kaynaklardan indirilen uygulama ve yazılımlar ile cihazınıza casus yazılımı indiriyor olabilirsiniz. Ücretsiz olan VPN, antivirüs ve hafıza temizleme programları kişisel veri ve bilgilerinizi kaydediyor, çevrimiçi trafiğinizi izliyor ve finansal kazanç için üçüncü partilere satıyor olabilir.

Popüler VPN şirketlerinden biri olan ExpressVPN, ücretsiz fitness uygulamalarının ödemesinin bireyler tarafından kişisel veriler ile yapıldığının altını çiziyor.

Home-Office Dijital İletişim

Home-office çalışırken şirket içinde gerçekleştirilen iletişim güvenilir uygulama ve platformlar üzerinden gerçekleştirilmelidir.

Anlık iletişim için Skype, Slack, Facebook Messenger gibi uçtan uca şifreleme sağlamayan uygulamalar kullanılmamalıdır. Bu uygulamalar üzerinden gerçekleştirilen sesli ve görüntülü aramalar, yazışmalar hassas kurumsal veri ve bilgiler içerdiğinde güvenlik problemleri ortaya çıkabilir.

WhatsApp da uçtan uca şifreleme sağlamaktadır fakat WhatsApp, Facebook tarafından satın alındığından beri Facebook’un WhatsApp yazışmalarını taradığına dair şüpheler vardır.

Signal uygulaması ile sesli ve görüntülü aramalar ve anlık yazışmalar Signal’in oluşturduğu çok güçlü bir güvenlik protokolü ile korunur.

Viber, iMessage, Jabber/OTR, Telegram uçtan uca şifreleme sağlayan diğer platformlardan.

Dijital konferans gerçekleştirirken Zoom’dan yararlanıyor olabilirsiniz. Zoom’da basit güvenlik tedbirleri alarak konferansları güvenli hale getirebilirsiniz. Zoom toplantılarını her zaman şifreli oluşturun. Toplantı ID ve şifresini herkese açık bir şekilde paylaşmayın. Katılımcıların hepsi toplantıya katıldıktan sonra toplantıyı kilitleyin ve beklenmeyen üçüncü partilerin katılmasını engelleyin. Toplantı sahibi (host) başlatmadan toplantının başlamasını engelleyin.