EN-US 
TR-TR 
Avrupa Birliği Siber Güvenlik Ajansı (“ENISA”), 28 Haziran 2021 tarihinde, Küçük ve Orta Büyüklükteki İşletmeler’in (“KOBİ”) özellikle COVID-19 salgınından kaynaklanan siber güvenlik zorluklarıyla başarılı bir şekilde başa çıkmalarını sağlamak amacıyla tavsiye içerikli bir rapor (“Rapor”) ve KOBİ'ler için Siber Güvenlik Rehberi'ni (“Rehber”) yayımlamıştır.
Rapor, KOBİ’lerin yaşanan zorlu dönemde işlerini sürdürmek için daha önce kullanmadıkları QR kod veya temassız ödeme gibi teknolojilere başvurmak zorunda kalmaları sonucunda, genellikle bu yeni sistemlerle ilgili güvenliklerini sağlamada başarısız olduklarını vurgularken, Rehber, KOBİ'lere teknolojik sistemlerini ve dolayısıyla işlerini daha iyi güvence altına almak için pratik üst düzey işlemler ile yol göstermektedir.
KOBİ'ler için Siber Güvenlik Raporu- Zorluklar ve Öneriler
Öncelikle Rapor, COVID-19 salgını sebebiyle çevrimiçi platform kullanımının artışına dikkat çekmiştir. Buna ek olarak, KOBİ’lerin, temastan veya kalabalık yerlerden kaçınmak için değişiklikler yapmak zorunda kalmaları sebebiyle QR kodları, temassız ödemeler ve eve teslim, tıkla ve topla hizmetleri ve mesaj veya arama yoluyla uzaktan yardım gibi tüketiciye yönelik teknolojileri hayata geçirdikleri belirtilmiştir. Bu kapsamda Rapor’da, KOBİ'lerin güvenli işleyişi sağlamak için iş devamlılığı önlemleri almaları, çevrimiçi işlem süreçlerini ve ilgili altyapılarını iyileştirmeleri gerektiği vurgulanmıştır. Ayrıca KOBİ’lerin, sektörel dernekler içinde güçlerini birleştirme ve sektörlerinin siber güvenliğini garanti altına almak için ortaklar ve işbirlikçilerle iş birliği yapma fırsatına da sahip oldukları değerlendirilmiştir.
Rapor’da, siber saldırıların yalnızca büyük kuruluşlara karşı gerçekleştiğine dair yaygın algının aksine, boyutları ne olursa olsun tüm kuruluşların benzer şekilde saldırıya uğrayabileceği belirtilmekle, KOBİ’lerin siber güvenlik risklerini anlamalarının ve kendilerini, müşterilerini ve tedarikçilerini korumak için neler yapabileceklerini bilmelerinin önemine dikkat çekilmiştir.
ENISA’nın yaptığı açıklamada, zorluklara ve iyi uygulamalara dikkat çeken Rapor’un, KOBİ'lerin siber güvenlik zorluklarıyla başarılı bir şekilde başa çıkmaları amacıyla sağlanan tavsiyelerin yanı sıra, KOBİ'lerin siber güvenlik duruşlarını geliştirmelerini desteklemek amacıyla üye devletlere yönelik öneriler sunduğu, bu çalışmanın sadece KOBİ’ler için değil, KOBİ sisteminde yer alan diğer kuruluşlar için de faydalı olabileceği belirtilmiştir.
Rapor’un hazırlanma sürecinde gerçekleştirilen araştırmalar sonucunda: (i) KOBİ’ler bakımından bilgisayarlara ve internete artan bir bağımlılık olduğu, (ii) KOBİ'lerin çoğunluğunun kritik bilgileri işlemeleri sebebiyle siber güvenlik saldırılarının önemli bir endişe halini aldığı, (iii) KOBİ'lerin çoğunun basit güvenlik önlemleri kullanmakla beraber daha az sayıda KOBİ’nin, personel güvenlik bilinci eğitimlerini gerçekleştirmekte olduğu ve kayıt ve uyarı sistemlerini kullandığı, (iv) KOBİ'lerin çeşitli bilgi hizmetleri ve çeşitli türlerde, işlevlerde ve güvenlik düzeylerinde uzaktan erişim araçları için bulut kullandığı, (v) Kimlik avı, kötü amaçlı yazılım ve web tabanlı saldırıların, anket katılımcılarının yaşadığı güvenlik olaylarının en yaygın nedenleri olduğu saptanmıştır.
ENISA tarafından hazırlanan Rapor’da, araştırmalar sonucunda ortaya çıkan bulgular ile, KOBİ'lerin karşılaştığı zorluklar: (i) Siber tehditlere karşı düşük farkındalık, (ii) Kritik ve hassas bilgiler için yetersiz koruma, (iii) Siber güvenlik önlemlerinin uygulanması için katlanılan maliyetleri karşılayacak bütçe eksikliği, (iv) BİT siber güvenlik uzmanlığının ve personelinin mevcudiyeti, (v) Sektöre uygun kılavuzların olmaması, (vi) Çevrimiçi hareket etmek, ve (vii) Düşük yönetim desteği olarak tespit edilmiştir.
Bu kapsamda Rapor’da, belirlenen zorluklara karşı başa çıkılması için tavsiyeler verilmiş ve bu tavsiyeler insan, süreç ve teknik olarak üç kategoriye ayırılmıştır:
– Öncelikle Rapor’da, insanların siber güvenlik sisteminde önemli bir rol oynadığı belirtilmiş ve gizli ve/veya hassas bilgilerle ilgili olarak sorumluluk, çalışanların katılımı ve farkındalığı, siber güvenlik eğitimi ve siber güvenlik politikalarının yanı sıra üçüncü taraf yönetiminin önemine dikkat çekilmiştir.
– Bununla birlikte Rapor, sürece yönelik, dahili iş süreçlerinin izlenmesi, denetimlerin gerçekleştirilmesi, olay planlama ve müdahale, parolalar, yazılım yamaları ve verilerin düzenleyici ve yasal gerekliliklere uygunluğu sağlamak için düzgün bir şekilde güvence altına alınmasının önemli olduğu yönünde tavsiyeler vermiştir.
– Son olarak Rapor’da teknik düzeyde, ağ güvenliği, anti-virüs, şifreleme, güvenlik izleme, fiziksel güvenlik ve yedeklemelerin güvenliği ile ilgili bir dizi hususun dikkate alınmasının gerekliliği de vurgulanmıştır.
KOBİ'ler İçin Siber Güvenlik Rehberi
KOBİ'lere sistemlerini ve işlerini nasıl daha iyi güvence altına alacakları konusunda yol göstermek amacıyla hazırlanan 12 adımlı Rehber kapsamında ENISA, iyi siber güvenlik kültürü geliştirilmesi gerekliliği üzerinde durmuştur. Bu kapsamda siber güvenlik ile ilgili işlemlerin yönetim sorumluluğunun, kuruluş içindeki bir kişiye verilmesi gerektiği, yönetimden siber güvenlik konusunda etkili iletişim kurarak çalışanların desteğinin alınmasının önemi, düzenli denetimlerin yapılması, verilerin düzenleyici ve yasal gerekliliklere uygunluğunu sağlamak için düzgün bir şekilde güvence altına alınması ve çalışanlara yönelik bir siber güvenlik politikası yayımlanması gerektiği belirtilmiştir.
Bu kapsamda çeşitli siber güvenlik tehditlerini tanıyıp bunlarla başa çıkabilmelerini sağlamak için tüm çalışanlara düzenli siber güvenlik farkındalık eğitimleri sağlanması; tüm satıcıların, özellikle hassas verilere ve/veya sistemlere erişimi olanların aktif olarak yönetildiğinden ve sözleşmeyle belirlenen güvenlik düzeylerini karşıladıklarından emin olunması gerektiğine dikkat çekilmiştir. İlaveten tüm güvenlik olaylarına zamanında, profesyonel ve uygun bir şekilde yanıt verilmesini sağlamak için açık yönergeler, roller ve sorumlulukların düzenlendiği olay müdahale planını geliştirilmesinin gerekliliği vurgulanmıştır.
Rehber kapsamında ayrıca sistemlere güvenli erişimin, cihazların ve ağ güvenliğinin sağlanmasının, fiziksel güvenliği arttırılmasının, güvenli yedekleme yapılmasının, bulut sağlayıcıyla bağlantı kurulmasının, siber güvenlik ile ilgili araştırma yapılması ve sahip olunan bilgilerin diğer KOBİ’lere aktarılmasının, çevrimiçi web sitelerinin güvenli bir şekilde yapılandırıldığından ve sürdürüldüğünden, bu çevrimiçi web sitelerindeki kredi kartı verileri gibi tüm kişisel verilerin veya finansal ayrıntıların uygun şekilde korunduğundan emin olunmasının önemi üzerinde durulmuştur.
Simge Kılıç, Esra Temur
