Günümüz dünyasında, bir web sitesi, e-posta, çalışan eğitimi, CRM (Müşteri-ilişkileri yönetimi), CMS (İçerik yönetim sistemi), vb. gibi İnternet bağlantısı olmayan bir işletme hayal etmek neredeyse imkansızdır. E-ticaret, yeni müşteri arama, kayıt arama ve saklama vb. gibi sipariş sürecini basitleştirir ve hızlandırır.
Bazı işletmeler hazır çözümler kullanır, bazıları şirkete özel araçlar oluşturmak için profesyonelleri işe alır ve bazıları günlük ödevlerini kendi başlarına çözmek için gereken yazılımları geliştirmeyi seçer. Günümüzde zamanla herkesin kendi web sitesi, e-postası var, başta müşterilerini bir veri tabanına kaydeder ve yöneticiler şirketin günlük faaliyetlerini takip edebilir. Ne yazık ki, işletmelerin ezici bir çoğunluğu, her sunucunun, her web sitesinin, her e-posta adresinin bilgisayar korsanları için potansiyel bir hedef olduğu gerçeğini tamamen görmezden geliyor. İşimiz çok küçük, verilerimiz ile kim ilgilenebilir düşüncesi modern İnternet’i giderek daha savunmasız hale getiren birçok hatadan biridir. Fakat, dijital suçlular kime saldıracaklarını çok fazla düşünmezler.
Birçok işletmenin web güvenlik açıklarını görmezden gelmek için kullandığı ikinci popüler bahane ise şudur: web güvenliği çok pahalı bir hizmettir!
Hacker saldırısının nasıl olabileceğine ve işiniz üzerinde ne gibi etkileri olabileceğine dair örneklere bir göz atalım. Ayrıca, yasal sonuçları da dahil olmak üzere saldırıyı önlemek veya en azından saldırıya maruz kalmanızı en aza indirmek için hangi eylemleri yapmanız gerektiğine değineceğiz (evet, veri kaybı ile birlikte KVKK hükümleri gereği bilgisayar korsanlarının saldırısı sizin ve işletmeniz için yasal sorunlara yol açabilir).
Örnek 1:
A Şirketi, şirket hakkında bilgiler ve bir geri bildirim formu içeren bir “kartvizit” web sitesi oluşturmuştu. Bu siteyi her hangi bir web tasarımcının katılımı olmadan kendi başlarına geliştirmişler. Fakat site kodlamasında, bir veri doğrulama hatası yapılmıştı. Site, girilen e-posta adresine aşağıdaki mesajla bir onay gönderir: “Bay. / Bayan. X, mesajınız için teşekkür ederiz ‘alıntılanan metin buraya’”. Bilgisayar korsanları, kötü amaçlı içeriğe sahip sitelere bağlantılar göndermek için aynı ileti biçimini kullanıyor ve gönderen olarak spam listesindeki adresleri kullanıyordu. Alan adı bir spam posta göndericisi olarak engellendi ve alan adı kilidinin açılması ve büyük posta sunucularının spam listelerinden çıkarılması birkaç gün sürmüştür.
Örnek 2:
B Şirketi, profesyonel bir web tasarım ekibinden bir web sitesi sipariş etti, bir ISP‘den bir sunucu kiraladı ve site kuruldu. Verileri aktarmak için lisanslı bir yazılım kuruldu. Daha sonra bu şirketin sunucu IP adresinden yapılan tutarsız bir tarama ile ilgili şikayette bulunuldu. B Şirketinin web sitesi hemen engellendi. Sızma Testi yapıldıktan sonra, ISP’nin standart kullanıcı adını ve şifreyi (admin / admin) değiştiremediği keşfedildi. Tabi bu arada saldırganlar sunucuya kolayca sızmayı ve B Şirketinin yazılımını yasa dışı faaliyetler için kullanmayı başarmışlardı.
Örnek 3:
C Şirketi, müşterilerin veri yüklemesi için bir sipariş sistemi geliştirmişti. Bir erişim noktası oluştururken, bilgisayar korsanlarının SQL enjeksiyonu kullanarak tüm istemcilerinden tüm verileri çalmasına izin veren teknik bir hata yapıldı. Sonuç olarak, С Şirketi sistemi bir hafta sürecinde faaliyet dışı bırakıldı, mali kayıplar on binlerce dolara ulaştı.
Bunlar sadece birkaç basit örnek. Yüzlerce olmasa da onlarca saldırı seçeneği var. Bu örneklerden de görebileceğiniz gibi, bu şirketlere bir hacker saldırısını önlemek, saldırıya uğramanın sonuçlarıyla uğraşmaktan çok daha az maliyetli olurdu.
Bu tarz hoş olmayan durumlardan kaçınmak için ve ne yapılması gerektiğini öğrenmek için uzmanlarımıza sorun. Ve ne yazık ki, yenilmez sistemlerin mevcut olmadığını aklınızdan çıkarmayın. Sızma Testi bir lüks değil gerekliliktir.
