Uzaktan çalışmanın zorunluluk haline geldiği Koronavirüs (Covid-19) salgını nedeniyle çalışma alışkanlıklarımızda son günlerde değişmeye başladı. Ofis dışında uzak bir lokasyondan, uzaktan erişim sağlayarak yürütmeye çalıştığımız bu çalışma süreci, elbette beraberinde artısıyla ve eksisiyle pek çok değişiklik getirdi.
Çok ciddi bir değişim sürecinden geçerken, her ne kadar artık trafik derdimizin olmaması, trafikte geçirdiğimiz saatlerin çok daha verimli kullanılabilmesi, çevre kirliliğinin azalması gibi olumlu değişiklikler gözlemlense de, bir yandan da tüm aile bireylerimizin evde olması internet hız ve servislerinde zaman zaman yaşanılan aksaklıklara neden olabiliyor. Sürecin olumlu ve olumsuz etkileri her geçen gün daha da önem kazanmaya devam ederken, online çalışma açısından siber güvenlik konusu eskiden olduğundan çok daha fazla önem kazanıyor. Çünkü şu an çok temel bir gerçeğimiz var, çoğumuz çalıştığı ofislere ya hiç gitmiyor ya da nöbet usulü ile ofis ve ofis içinde bulunan kaynaklarımıza uzaktan erişim sağlayarak çalışıyoruz.
Bu durum doğası gereği pek çok siber güvenlik riskini de beraberinde getiriyor.
Covid-19 salgını öncesi genel olarak Bilgi Teknolojileri çalışanları, acil durumlarda uzaktan erişim sağlamak için VPN teknolojisi ile bulundukları yerden erişmek istedikleri kaynaklara uzak erişim sağlayabiliyorlardı. Bugünler de ise yalnızca Bilgi Teknoloji çalışanları değil, neredeyse bütün beyaz yakalılar ofis ve diğer kaynaklara uzaktan erişim sağlayarak işlerini yürütmeye başlamış durumda. Bu da bazı güvenlik risklerinin doğmasına ve hızla yayılmasına neden olmakta.
Bu süreç öncesi yapılan sistem, ağ ve uygulama erişim güvenliği yaklaşımları genelde salgın öncesi durumlara göre dizayn edildiğinden, şu an oluşan risk faktörleri güvenlik açısında çok ciddi bir noktaya gelmiş bulunuyor.
Kullanıcıların uzaktan erişim sırasında oluşan güvenlik riskleri ve açıkları konusunda farkındalıklarının az olması, sürecin en olumsuz yanlarından birini oluşturuyor. Bu açıkları azaltmak ve güvenli bir bağlantı yaratmak için kullanılan VPN erişimleri her ne kadar farkındalıkları yüksek olan Bilgi Teknolojileri çalışanları tarafından uzun yıllardır kullanılsa da, diğer iş birimlerinde çalışan kişilerin farkındalıkları aynı derece yüksek olmayabiliyor. Ayrıca VPN’e uzak olan birimlerin bu teknolojiye adaptasyonları ve farkındalıklarının oluşması için yapılan bilinçlendirme çalışmaları da ciddi bir zaman ihtiyacı doğurmaktadır.
Bu zaman zarfında oluşan güvenlik zaafiyetleri de elbette ağırlaşan, kaynakların azaldığı ve rekabetin sert bir şekilde arttığı küresel ve lokal ekonomilerde pek çok yeni güvenlik tehdidinin oluşmasına yol açıyor. Bilgiyi korumak şu an her zamankinden çok daha zor ve çok daha önemli durumda. Hayatlarımız değişmeye devam ederken elbette çalışma alışkanlıklarımızda değişmeye devam edecek gün be gün.
Bu sebepten bu sürecin her safhasında direkt yer alan bir kişi olarak oluşan değişimleri, bu değişimlerin şirketlerimize ve hayatlarımıza yansımalarını, alınması gereken tedbirleri, düşünülmesi gereken konuları özellikle güvenlik boyutunda bir yazı dizisi olarak paylaşmanın toplumsal olarak mücadelemizde bir katkı sağlayacağına inanıyorum ve umuyorum.Bu yüzden uzak erişimlerde A‘dan Z‘ye, katman katman risk faktörlerini en aza indirgemek için yapılması gerekenleri incelemeye başlayacağız. Bu yazımızda da ilk katmanızın konusu olan VPN ile erişim sağlanmasına değineceğiz.
VPN uzun zamandır hayatımızda olan bir teknoloji ve şu an vazgeçilmez bir öneme sahip ancak, elbette her güzelin bir kusuru olur ve keskin bir cümle olsa da maalesef: ‘Kontrolsüz VPN erişimleri, güvenli hale getirilmemiş VPN erişimleri kapısız eve benzer.’ Bu cümle çok somut bir durumu ifade etmektedir.
Evet VPN erişimleri, şirketlerimize açılan arka kapılardır ve maalesef ki VPN erişimleri çok ciddi bir güvenlik riskidir. Normal şartlarda hiçbir şekilde şirket kaynaklarınıza erişemeyecek kişiler, basit bir kullanıcı adı ve parola ile bir anda bütün şirket kaynaklarınıza erişebilir hale gelirler. Bu yüzden basit parolalar, yeterli bilince sahip olmayan kullanıcılar, güvenli olmayan erişim ortamları çok büyük tehdit ve risklerin içeri daveti gibidir.
Bu tehlikelerin bertaraf edilebilmesi için öncelikle tüm VPN erişimlerinde 2FA ve/veya MFA yani iki faktörlü ve/veya çok faktörlü kimlik doğrulama teknolojilerinin devreye alınması kesinlikle gereklidir. 2FA / MFA teknolojisi ile entegre edilerek korunan bir VPN bağlantısında artık kullanıcı adı ve parolanızın bir başkasının eline geçmesi veya çalışanlarınızın basit ve tahmin edilebilir parola kullanmaları çok büyük bir problem olmaktan en azından ilk bağlantı aşamasında çıkmaktadır.
Bu teknolojilerin kullanımı ile beraber SMS ve/ya cep telefonu uygulamasında bir kerelik üretilen doğrulama kodları, VPN ile erişim yapılan bağlantılarda kullanıcı adı ve parola kısmı doğrulaması olumlu olarak sonuçlanan kullanıcılar da bu kullanıcıları şirketin içine almadan önce son bir kontrol olarak da sadece o an bir kerelik olarak eşsiz bir şekilde üretilmiş olan doğrulama kodunun da girilmesini gerektirmektedir. Bu doğrulama kodunun da doğru olduğu onaylandıktan sonra artık ilgili kullanıcının VPN oturumu başlayacaktır ve artık en azından iç kaynaklarınıza ulaşan kişinin sizin yetkilendirdiğiniz bir çalışanınız olduğuna olan güveniniz çok daha yüksek olacaktır.
Günümüz ortamında 2FA / MFA olmayan VPN erişimleri, kabul edilemez bir güvenlik açığı oluşturmaktadır. Bu açıdan tüm VPN erişimlerinin en asgari şartlarda 2FA ile iki faktörde doğrulanması zaruri bir güvenlik önlemidir.
Bu durumu betimlememiz gerekirse; VPN’i, evimizdeki tek ve basit anahtarlı kapımıza benzetebiliriz, tahmin edersiniz ki bir hırsızın bu kapıyı açması son derece kolay olacaktır. Dijital dünyada ise bu hırsızın kapıyı açıp girdikten sonra gerçek dünyadan farklı olarak ardında iz bırakmayan ve görünmez olduğunu düşünün, öyle ki yetkileri sınırlandırılmamış bir hesap ile sisteminizdeki pek çok alana girişi serbest, dilediği aksiyonu alabilir, dilediği veriye ulaşabilir konuma gelecektir. İşte risk aslında bu kadar büyüktür. Evinizde – iş yerinizde göremediğiniz, kötü niyetli bir hırsız var ve siz onu göremiyorsunuz ve hatta olduğunun bile farkında değilsiniz. Ne kadar endişe verici değil mi?
Kullandığınız VPN üzerinde iki faktörlü kimlik doğrulamayı devreye aldığınızda, şirketinizin girişindeki kapıyı daha güvenli hale getirmiş, güvenli olduğunu düşündüğünüz koruyucu katmanın güvenliği daha da artırmış olursunuz. Bu sayede uzaktan çalışma ve erişim ile birlikte oluşan siber riskler, tabiri caizse basit hırsızlar ve kötü niyetli kişilerden daha üst seviyede bir önlemle korunabilirsiniz.
MFA yani çok faktörlü kimlik doğrulama ise çok daha iyi bir koruyucudur. MFA‘in 2FA‘den farkı, kapsama alanları, artıları, nasıl uygulanması gerektiği, tek başına yeterli olup olmayacağı gibi konular için de bir sonraki yazımızda görüşmek üzere, sağlıklı ve huzurlu günler dilerim.
Unutmadan! 2FA ve MFA hakkında merak ettikleriniz, sorularınız ve bilgi almak için bize [email protected] adresimizden veya iletişim sayfamızdan ulaşabilirsiniz.