Tüm Dünyanın gündeminde olan Covid-19 Koronavirüs salgını sebebiyle birçok şirket evden çalışma uygulamasına geçti. Ancak bazı şirketler teknik alt yapı yetersizlikleri sebebi ile evden çalışma uygulamasına geçemezken bazıları ise teknik altyapılarında kurgulamaları gereken sistemlerin farkında olmadan ve gerekli önlemleri almadan evden çalışma uygulamasına geçtiler.

Konu ile ilgili KVK Kurumu ve ICO tarafından yayınlanan sıkça sorulan sorular rehberleri içerisinde "Evden çalışmak için ne tür güvenlik önlemleri alınması gerekir?" sorusu veri korumanın evden çalışmanın karşısında bir bariyer olmadığı, normal koşullarda gerekli olan güvenlik önlemlerinin evden çalışma sırasında da uygulanması gerektiği şeklinde yanıtlanmıştır.

Ulusal Siber Olaylara Müdahale Merkezi'nin, korona virüs salgını tedbirleri kapsamında yayınladığı Güvenli 'Uzaktan Çalışma' Kuralları Rehberi içerisinde sistemler üzerinde maksimum bağlantı süresi için bir zaman aşımı tanımlanması, uzaktan çalışma boyunca tanımlanan kuralların geçici süreliğine oluşturulması, mümkün olduğu durumlarda uzaktan bağlantılar için "kaynak IP" kısıtlaması yapılması, erişimler için çok faktörlü kimlik doğrulama ve zaman bazlı yetkilendirme önlemleri alınması, risk değerlendirmesine göre uzaktan erişimin tanımlanmaması gereken hiçbir kritik sisteme erişim için izin verilmediğinden emin olunması önlemlerinin öneminden bahsedilmektedir.

Peki, uzaktan çalışma uygulamasına geçen şirketler teknik anlamda hangi hususlara dikkat etmelidir?

1. Ekipman Güvenliği

Pandemi sırasında yaşanan en büyük sorunlardan biri şirketlerin evden çalışmaya uygun ekipmanlara sahip olmamasıydı. Bilgisayarları taşınabilir ve iletişim cihazları uzaktan da kullanılabilir vaziyette olan şirketler için evden çalışma uygulamasına geçmek çok daha kolay oldu. Bu kapsamda monitörleri taşımaya çalışanlar da bilgisayarlarını taşıyamayıp çalışanların evdeki kişisel bilgisayarlarını iş amacıyla kullanmasını bekleyenler de oldu. Şirketlerin buradan çıkarttığı ders ise ekranlı araçların kişilere işin niteliğine göre sağlanması gerektiğiydi. Çünkü uzaktan çalışmanın birinci kuralı işin niteliğinin evden çalışmaya uygun olmasıdır.

Ayrıca ekipman yetersizliği sebebiyle kişilerin evlerindeki kişisel bilgisayarların iş amacıyla kullanılmasının istenmesi, kişisel bilgisayarlar ofis bilgisayarları ile aynı sistemlere sahip olmadığından siber güvenliğin sağlanması konusunda büyük bir açık oluşturmaktadır. Örneğin, Office365 hesaplarına bağlanan kişilerin sistemlerinin izlenmesi kişisel bilgisayarlarda mümkün olmayacaktır. Ya da kişisel bilgisayarların USB portları kapalı olmayacağından çalışanların, şirket verilerini dışarıya çıkarmaları çok daha kolay olacaktır.

Özetle uzaktan çalışma için kullanılan ekipmanlarda gerekli güvenlik yazılımlarının yüklü olduğundan, güncel yazılımların kullanıldığından, zararlı yazılım bulunmadığından emin olunması gerekmektedir. Ekipmanların yetersiz olması, şirketi hem içeriden hem de dışarıdan gelebilecek saldırılara açık bir hale getirecektir.

2. Yetkilendirme

Uzaktan çalışma uygulamasında çalışanlara sadece görevi gereği ihtiyaç duyacağı kadar, "gereken en az yetki (least privileged access)" prensibine uygun olarak yetki verilmeli, kritik veriler üzerindeki gereksiz erişim yetkileri kısıtlanmalıdır. Evdeki ağ bağlantıları şirketteki ile aynı güvenlik önlemlerine sahip olamayabileceği için kurulan iletişimin VPN ile şifrelenerek sağlanması, VPN kullanımının zorunlu olması büyük önem taşımaktadır. Çalışanların tüm kimlik doğrulama işlemleri için iki kademeli kimlik doğrulama (2FA) kullanılarak ağa yetkisiz erişimin önüne geçilebilir.

3. Ağ Güvenliği

Ortak Wi-Fi ağlarının kullanımı güvenli olmamakla birlikte bu tür ağlar üzerinde çevrimiçi faaliyetlerin izlenmesi mümkündür. Tarayıcı veya e-posta gibi uygulamaların internete bağlanırken şifreleme kullandığından emin olunmalıdır. Ağ erişimi gerekmediği durumlarda Wi-Fi bağlantısının kapatılması cihazı güvenceye alacaktır. Doğru şekilde korunup korunmadığı veya virüs içerip içermediği bilinemeyeceğinden cihazlara bilinmeyen akıllı telefonlar ve USB sürücüleri gibi cihazlar asla bağlanmamalıdır. Güvenliği sağlamak adına cihazlara kurulan anti-virüs sistemlerinin devre dışı bırakılamaması sağlanmalıdır.

Evlerde kullanılan kablosuz ağların güvenli hale getirilmesi için internet hizmet sağlayıcısı tarafından belirlenen varsayılan kullanıcı adı ve parolalar mutlaka değiştirilmelidir. Böylece yapılandırma değişiklikleri yalnızca kişiler tarafından yapılacaktır. Akabinde kablosuz ağın varsayılan adı (SSID) değiştirilmelidir. Bu SSID adresle veya kişiyle ilişkilendirilmeyecek şekilde seçilmelidir.

Kablosuz ağlar en güçlü şifrelemeyi kullanacak şekilde yapılandırılmalıdır, WEP gibi eski ve zayıf şifreleme yöntemleri güvenli olmayacağı için kullanılmamalıdır. Kablosuz ağlar için güçlü parolalar kullanılmalı ve bu şifre yalnızca bu ağa girmesinde sakınca bulunmayan kişilerle paylaşılmalıdır. Ağa bağlı tüm cihazlar tespit edilmeli ve güçlü parolalar ile korunmalıdır. Kullanılan cihazların bluetooth vb. özellikleri kapatılmalıdır.

İnternet Hizmet Sağlayıcıları ile görüşülerek ev ağını korumaya yardımcı araçlar ve imkanlardan yararlanılabilir.

4. Eğitim

Çalışanların aile bireyleri dahil hiç kimseye cihazlara erişim verilmemesi konusunda farkındalık sahibi olması sağlanmalı, her durumda olduğu gibi alınan tüm bu önlemlerin işlevini koruyabilmesi adına uzaktan çalışan tüm personele siber güvenlik farkındalık eğitimi verilerek insan eli ile yapılabilecek olası bir hataya karşı önlemler alınmalıdır.

Unutulmamalıdır ki en iyi savunma risklerin farkında olmak ve gerekli önlemleri almaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.