KVKK ve GDPR ile birlikte şirketlerin veri güvenliğine yönelik hassasiyeti daha da artış gösteriyor. Bu bağlamda veri ihlalleri, şirketler için öncelikli konular arasında yer almaya başladı. Uzmanlar, bir şirketin verilerinin ihlal edilebileceği 7 öncelikli duruma dikkat çekiyor.

1. Çalışan hataları: Çalışanlar, veri ihlali konusunda en zayıf halka konumunda bulunuyor. Zira veri ihlallerine genellikle çalışanların prosedürleri uygulamaması ve dışarıya kişisel verileri sızdırması neden oluyor. Gizli bilgilerin yanlış e-posta adreslerine iletilmesi, veri güvenliği prosedür ve politikalarına riayet edilmemesi, şirket tarafından gerekli eğitimlerin verilmemesi, şirket güvenliklerinin ihlal edilmesi, korumalı güçlü parolaların kullanılmaması gibi birçok neden şirket çalışanlarından kaynaklı veri ihlallerinin oluşmasına örnek gösteriliyor.

2. Siber saldırılar: Siber suçlular, şirketleri birçok yönden hedefliyorken, kullandıkları yöntemler genel olarak üç kategoriye ayrılıyor. İlk olarak, hassas bilgilere erişmek için istismarları kullanan hackerler, şifre korsanlığı yaparak verilere erişebiliyor. İkinci tür siber saldırı yöntemi ise hassas bilgileri toplamak veya iş kesintilerine neden olan kötü amaçlı yazılım kullanımını içeriyor. Son siber saldırı yöntemi ise hackerlerin sosyal mühendislik çalışmalarını kapsıyor.

3. Sosyal mühendislik: Siber suçluların kullanıcılar hakkında edindikleri bilgileri kullanarak kandırmaya yönelik yaptığı girişimler, sosyal mühendislik olarak adlandırılıyor. Hackerler; kişi, resmi bir kurum ya da şirket adı altında kullanıcılara yönelik en çok oltalama saldırılarını gerçekleştiriliyor. Genellikle resmi kuruluş ya da şirketler üzerinden atılmış gibi gösterilen e-postalar ile kullanıcıları ağlarına düşürmekte ve veri ihlaline sebebiyet veriyor.

4. Yetkisiz erişim: Şirketlerde sadece yetkili çalışanların erişimine açık olan önemli veriler, yetkisiz erişimlerle veri ihlalinin yaşanmasına sebep olabiliyor. Kişisel veri niteliğinde ve şirketin koruma sorumluluğu altında olan verilere, erişim yetkisi olmayan bir çalışanın ulaşması ve bunu sızdırması veri ihlallerine yol açabiliyor.

5. Fidye yazılımı: Siber güvenliği tehdit eden en önemli saldırı türü olan fidye yazılımını; dosyaları şifreleyen ve virüs bulaşan şirkete şifre çözme anahtarını almaları için maddi şantaj yapan bir tür kötü amaçlı yazılım olarak tanımlamak mümkün. Genellikle e-postalarda eklere gizlenerek şirket sistemlerine sızan fidye yazılımlarına karşı şirketler oldukça savunmasız kalıyor.

6. İç tehditler: Çalışanlar, şirketler için siber güvenlik açısından ciddi bir iç tehdidi oluşturuyor. Yalnızca hassas bilgilere erişilmesine yardımcı olan hatalar yapmakla kalmayan çalışanların bazıları, sahtekâr veya veri hırsızı olabiliyor. Yetkisi olmayan verilere erişmeye çalışan şirket çalışanları, intikam ya da finansal kazanç için rakip şirketlere kişisel verileri sızdırabilmekte ve veri ihlallerine sebebiyet verebiliyor.

7. Fiziksel hırsızlık: Veri ihlallerinin tümü dijital ortamda tutulan veriler üzerinden gerçekleşm,yor. Veri işleyen gerçek ve tüzel kişilerin ayrıca fiziksel veri hırsızlığından da endişe duymaları gerekiyor. Bilakis hassas bilgilere erişim sağlayan evraklar ve cihazlar hırsızların hedefi haline geliyor. Evrakların yok edilmemesi, verileri saklayan USB belleklerin kolayca erişilebilir yerlerde olması, kişisel verilerin tutulduğu dolapların kilitli olmaması ve gereken idari tedbirlerin alınmamış olması şirket verilerinin fiziksel yollarla da çalınmasına neden olabiliyor.