PARA SİBER GÜVENLİK/ ÜRÜN DİRİER Dijitalleşmenin artmasıyla birlikte aslında uzun zamandır önemli olan siber güvenlik konusu çok daha fazla önem kazandı. Büyük şirketler için siber güvenlik her geçen yıl daha fazla önem kazansa da küçük ve orta büyüklükteki işletmeler (KOBİ), siber güvenliği hala önem sıralamasında üstlere yerleştirmiş değil. (İkinci Bölüm)
DARK WEB'DE ŞİŞ KEBAP FİYATINA SATIYORLAR
Son yayınlanan HP Wolf Güvenlik Raporuna göre, "tak-çalıştır" özellikli zararlı yazılım kitleri siber suçları artırdı. Zararlı yazılım reklamlarının dörtte üçünden fazlası (yüzde 76) incelendikten sonra, zararlı kodların yüzde 91'inin perakende olarak 10 doların altında satıldığı görüldü. Güvenliği ihlal edilmiş Uzaktan Masaüstü Protokolü kimlik bilgilerinin ortalama maliyeti ise yalnızca 5 dolar. Bu da İstanbul'da neredeyse bir şiş kebap menü fiyatına denk geliyor. Satıcılar ürünlerini, hedefli saldırılarda teknik beceri ve deneyim ihtiyacını azaltan paketler halinde satıyor ve bu paketlere tak- çalıştır zararlı yazılım kitleri, hizmet olarak kötü amaçlı yazılım, öğretici dersler ve mentorluk hizmetleri de dahil. Kısacası, aslında bugün tehdit aktörlerinin sadece yüzde 2 veya 3'ü gelişmiş kodlayıcılardan oluşuyor. Rapor, siber hırsızların "meslek ahlakı" ironisine de dikkat çekiyor. İnternette faaliyet gösteren e-ticaret sitelerinde olduğu gibi karanlık web dünyasındaki e-ticaret siteleri için de güven ve itibar ironik bir şekilde önemli. Pazaryeri sitelerinin yüzde 77'si, satıcılardan satış lisansı talep ediyor. Bu lisansın ücreti ise 3 bin dolara kadar çıkabiliyor. Bu sitelerin yüzde 85'i ödemelerinde "güvenli hesap" yöntemini kullanıyor. Bu ödeme sisteminde satıcı ve alıcı arasında belli şartlar karşılanıncaya kadar ücret pazaryerinin kontrolü altında tutuluyor. Tüm bunların yanı sıra karanlık web içerisindeki pazaryerlerinin yüzde 92'si yani neredeyse tamamı, ortaya çıkabilecek anlaşmazlıkların çözümü için üçüncü taraflardan hizmet alıyor. Tüm pazaryerlerinde her satıcı için alıcılardan gelen geri bildirimlere dayalı bir puan sistemi de bulunuyor. Üstelik satıcıların değerlendirmelere dayalı bu puanları, pazaryerleri arasında transfer edilebiliyor.
WHATSAPP GRUPLARINA DİKKAT
2022 Küresel Ticaret ve Ödeme Raporu'nda bu yılın B2B ödemelerin dijitalleşeceği bir yıl olduğu belirtilirken, başka bir raporda 10 işletmeden dokuzunun B2B ödeme teknolojilerine yatırım yaptığı kaydedildi. Uzmanlar, ödeme süreçlerinde dijitalleşme yaygınlaşırken, işletmeleri tahsilatlarında WhatsApp gibi güvenliği zayıf yöntemleri kullanmamaları konusunda uyarıyor.
Konuyla ilgili değerlendirmelerini paylaşan online tahsilat sistemi Ödüyo Genel Müdürü Erman Yapıcı, "Özellikle KOBİ'ler yani küçük ve orta ölçekli işletmeler satış, finans ve muhasebe ekiplerinin iletişimi için oluşturulan WhatsApp gruplarında kredi kartı fotoğraflarını paylaşmak gibi bir hataya sıklıkla düşüyor. Kredi kartının POS cihazının yanında bulunmaması durumunda tercih edilen bu yöntem, işletmelerin kredi kartı bilgilerini tehlikeye atıyor" diyor. İşletmelerin bayilerinden, abonelerinden veya müşterilerinden taksitli veya tek çekim kredi kartı tahsilatı yapmak için kredi kartı fotoğraflarını WhatsApp üzerinden paylaştığında, bilgileri görmemesi gereken çalışanların da kart bilgilerine erişebildiğini hatırlatan Yapıcı, "Cüzdanımızı kaybettiğimizde, çalınma riskine karşın tüm kartlarımızı iptal ettiririz. CVC ve son kullanma tarihi gibi bilgilerin üçüncü tarafların eline geçmesi, kartımızın çalınmasıyla eşdeğer bir konumda duruyor. Bu noktada kartların ön ve arka yüzlerinin fotoğrafları çok sayıda kişinin erişebileceği biçimde ikinci kişilerle paylaşıldığında, çalınma risklerine kapı aralanıyor. Böyle olunca hem müşterinin hem de şirketin finansal güvenliği tehlikeye giriyor. Öte yandan tahsilat süreçleri dağınık bir biçimde ilerliyor. Online tahsilat çözümleri tam da bu noktada devreye girerek, hem kart çalınma risklerini bertaraf etmeye hem de ödeme ve nakit akışlarını tek noktadan takip etmeye olanak tanıyor" diye konuşuyor.
TÜRKİYE VERİ İHLALİ CEZASINDA YETERSİZ
Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması gerektiğine dikkat çeken Av. Abide Gülel, Türkiye'nin kişisel verileri ihlal etmenin cezasının çok ucuz olduğu ülkeler arasında yer aldığını vurguluyor. Türkiye'nin bu anlamda Tayland ve Mısır gibi ülkeler liginde yer aldığına işaret eden Gülel, "Türkiye'de bu suçun cezası 2022 yılı için 40 bin 179 lira ile 2 milyon 678 bin 863 lira (148 bin euro) arasında değişiyor. Kişisel veriyi hukuka aykırı şekilde başkasına veren için iki yıldan dört yıla hapis cezası öngörülüyor" diyor. Gülel'in aktardıklarına göre, diğer ülkelerde kişisel verileri ihlal etme cezaları şöyle:
FRANSA: Fransız Ceza Kanunu'nun getirdiği yükümlülüklere aykırı şekilde kişisel verileri işleyen veya işlenmesine sebep olan kişiler hakkında beş yıl hapis ve 300 bin euro para cezası öngörülüyor.
İNGİLTERE: İngiltere'de sulh ceza mahkemesinde para cezasının üst limiti beş bin sterlin iken asliye ceza mahkemesinde üst sınır yoktur. Hükümetin talebi halinde kişisel verilerle ilgili hapis cezası da söz konusu olabilmekte.
ALMANYA: Alman Veri Koruma Kanunu'nda iki tür ceza öngörülmüş. Veri elde edilmesine ilişkin suç için üç yıla kadar hapis cezası yahut para cezası öngörülüyor. Kişisel verileri ticari amaçlı olarak erişilebilir kılmayı da Alman mevzuatı suçun kapsamına almış. Bu suç için iki yıla kadar hapis cezası öngörülüyor.
AVUSTRALYA: Yıllık cirosu 3 milyon Avustralya Doları üzerinde olan kuruluşlar, "gerçek bir ciddi zarar tehdidi" oluşturan veri ihlallerini, keşfedilmelerinden itibaren 30 gün içinde ifşa etmek zorundalar. Veya 1.8 milyon Avustralya Doları kadar para cezasıyla karşı karşıya kalabilirler.
KANADA: Veri ihlali yapan şirketler, küresel gelirin yüzde 5'ine veya 25 milyon dolara kadar (hangisi daha büyükse) para cezasına çarptırılabiliyor.
ABD: Şu anda federal düzeyde tüm sektörler için geçerli bir veri gizliliği yasası bulunmamakla birlikte, ülkede her eyalet kendi veri gizliliği yasalarına sahip.
ŞİLİ: En küçük ihlaller için yaklaşık 55 euro'dan 530 bin euro'ya kadar değişen miktarlarda ceza veriliyor.
ÇİN: Çin'de iş yapan şirketler, sorumlu bulunan kişiler için 1 milyon Çin Yuanı'na kadar kişisel para cezalarına ek olarak, 50 milyon Çin Yuanı (kabaca 6 milyon Euro) veya küresel yıllık cironun yüzde 5'ine kadar olan para cezalarına uymak veya bunlara tabi olmak zorunda. Ciddi ihlaller, işletme ruhsatlarının askıya alınması veya iptali ile bile sonuçlanabilir.
MISIR: İhlal durumunda minimum ceza 100 bin Mısır Lirası (yaklaşık 5 bin 560 euro) ve maksimum 1 milyon Mısır Lirası (yaklaşık 55 bin 600 euro). Mısır ceza yasasına göre, özellikle kişisel bilgiler şantaj için kullanıldığında, bireylerin mahremiyetinin ihlal edilmesi hapis cezasıyla sonuçlanabilir.
İSRAİL: İsrail'in Gizlilik Koruma Otoritesi'nin veri gizliliği ihlallerini araştırmak ve ihlaller için 3.2 milyon İsrail Şekeli (yaklaşık 900 bin euro) kadar para cezası vermek için yetkisi var.
GÜNEY AFRİKA: Güney Afrika'nın Kişisel Bilgilerin Korunması Yasası'nda (POPIA) en yüksek para cezası 10 milyon Güney Afrika Randı veya kabaca 500 bin euro'dur. Ayrıca hapis cezası da vardır.
TAYLAND: İdari para cezalarının tavanı 5 milyon Tayland Bahtı olup bu da yaklaşık 140 bin euro'ya eşittir. Ayrıca hapis cezası da vardır.
HEDEF KOBİ'LER
Siber güvenlik kuruluşu ESET'in incelemelerine göre küçük ve orta ölçekli işletmeler (KOBİ) siber tehditlerle başa çıkmak için yeterli hazırlığa ve bilgi birikimine sahip değiller. İş ve gelir kaybına yol açan DDoS saldırıları, fidye yazılımlarını da içeren kötü amaçlı yazılım saldırıları, bu şirketleri finansal açıdan zor durumlara düşüyor. KOBİ'ler, büyük işletmelere göre siber saldırılara karşı yeterince savunma geliştiremiyorlar ve siber suçlular nezdinde cazip hedefler olarak öne çıkıyorlar. KOBİ'lerin karşılaştığı en büyük zorluklar, kaynak-bütçe sıkıntısı ve güvenlik açıkları ile başa çıkacak personel eksikliği olarak öne çıkıyor. Tüm şirket çalışanlarının siber güvenlik konusunda farkındalıklarının üst düzeyde olması gerektiğini belirten ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, "Tüm çalışanlar, en güncel siber güvenlik uygulamalarından haberdar olmak için düzenli eğitilmeli. E-postalarında, fidye yazılımı ile bağlantılı olabilecek tehlikeli linklere tıklama olasılığını azaltmada büyük yol kat edilebilir" diyor.
"TOPTAN VE PERAKENDE SATIŞ SEKTÖRÜNDE SIÇRAMA VAR"
Serap GÜNAL/ Siberasist Genel Müdürü
Son araştırmalara göre, 2021 yılında toplam 874 milyon kimlik avı saldırısı gerçekleşti. Bir önceki yıla kıyasla yüzde 29 artış gösteren saldırılardan en çok toptan ve perakende satış şirketleri etkilenirken saldırıların etki kapsamı, gerçekleşme sıklığı ve karmaşıklığı, kullanıcıların ve şirketlerin hassas verilerini tehdit ediyor. Saldırıların dünyadaki dağılımına bakacak olursak, Singapur'da yüzde 829, Rusya'da yüzde 799 ve Fransa'da yüzde 342 oranlarında korkutucu keskin artışlar görüyoruz. Toptan ve perakende satış sektörü, artışın yükünü yüzde 436'lık sıçrama ile üstlenirken, 2020'nin en çok kimlik avı saldırısına uğrayan üretim sektörünü geçti.