Bazen yapmadığınız şeyler başınızı belaya sokabilir.
Şirketlerin Kredi Kartı Veri Güvenliği Standartlarına (PCI DSS) uyum sağlamasına yardımcı olan SecurityMetrics, kredi kartı verisinin ele geçirildiğinden şüphelenilen kuruluşların e-ticaret ortamlarının adli incelemesini gerçekleştirdi.
Araştırmada, tanınmış şirketlerin veri ihlali konusundaki artan farkındalığına rağmen, güvenliği olmayan uzaktan erişimin ihlalin en önemli kaynağı olduğu bulundu.
SecurityMetrics’in belirttiğine göre bir önceki yıl incelenen ihlallerinin %39’unda güvenliği kırma tekniği kullanıldı.
Hackerlar bu metodu kullanmaya işe yaradığı için devam edeceklerdir.
Aslında verilerini korumak için bir adım atmış olan şirketler bile savunmasız olabilir, çünkü takip etmezler.
İşte, kötü adamları şirket verilerinden uzak tutmanıza yardımcı olacak 10 SecurityMetrics önerisi
- Sisteminizi güvenlik duvarıyla koruyun. İhlal yaşayan şirketler arasından %52’si sistemlerinin herhangi bir korumaya sahip olmadığını söyledi, sadece %30’u güvenlik duvarına sahip olduğunu belirtti.
- Yeterli konfigürasyon standardı kullanın. Üreticilerin verdiği varsayılan şifreler saldırıya uğramış şirketlerin %55’i tarafından kullanılmaktadır.
- Güvenli olmayan şekilde depolanan kart verilerini sistemden temizleyerek kart sahibi verilerini güvenli hale getirin. Araştırılan şirketlerin %82’si bunu yapmıyor. Şifrelenmemiş kredi kartı verileri sızıntı yollarından biri. Ancak bilgisayar korsanları orada bulunmayan şeyleri hackleyemezler.
- Açık ve genel ağlar üzerinden veri güvenliği sağlayın. SSL hassas bilgilerin iletilmesini sağlamak için bir tarayıcı ve web sitesi arasındaki bağlantıyı şifrelemek için kullanılan bir internet güvenliği standardıydı. Bunun yerine TLS (Transport Layer Security – Taşıma Katmanı Güvenliği) kullanılmaya başlandı. SSL şifreleme yöntemi veya TLS’nin erken bir sürümüne sahip olmak güvenlik için çok tehlikelidir, çünkü birçok güvenlik açığına sahiptir. Mümkün olduğunca erken bunları değiştirin.
- Sisteminizi antivirüs ve anti-malware yazılımları ile koruyun. Bunu herkes bilir ancak incelenen şirketlerin %61’i bunu yapmıyordu.
- Sistemleri ve sistem eklerini güncelleyin. Uygulama geliştiriciler mükemmel değildir, bu nedenle güvenlik açıklarını düzeltmek için güncellemelere ihtiyaç duyarız. Bir hacker sistem açığından nasıl geçeceğini öğrendiğinde bu bilgileri diğer arkadaşlarına iletir. Ve şirketlerin neredeyse yarısı kapısını onlar için açık tutmaktadır.
- Kart sahibi bilgileri ve sistemine erişimi kısıtlayın. Şirketlerin göreve dayalı erişim kontrol sistemlerine sahip olması gerekir. Böylece sadece bilmesi gereken kişiler ve gruplar kart verisi ve sistemlerine erişime sahip olur. Ancak şirketlerin %85’i buna uymamaktadır.
- Özgün kimlik bilgileri kullanın. Zayıf şifreler ve kullanıcı adları şifre kırma aracıyla kolayca kırılabilir. Bu nedenle onları uzun ve karmaşık yapmak en iyisidir.
- Fiziksel güvenliği sağlayın. Bunun çok basit olduğunu düşünebilirsiniz ancak incelenen şirketlerin %94’ü varlıklarını korumak için hiçbir adım atmamıştır. Birçok veri hırsızlığı gün ortasında çalışanlar birisinin sunucu, şirket bilgisayarı veya telefonla ofisten çıktığını fark etmeyecek kadar yoğunken yaşanmaktadır.
- Log kaydı tutun ve log gözetimi yapın. Sistem etkinlik logları güvenlik duvarları, ofis bilgisayarları ve yazıcıları gibi bilgisayar sistemlerinde gerçekleştirilen eylemleri kaydeder. İzlendiği takdirde loglar şüpheli bir eylem durumunda şirketi uyarırlar. Loglar günlük olarak gözden geçirilmelidir.
Bu uygulamalar sadece öneriler değil, aynı zamanda şirketlerin PCI-DSS uyumunu sağlamaları için gerekli olan adımlardır.