İlk defa 2019 yılı sonlarında, Çin’in Wuhan şehrinde ortaya çıkan ve dünya geneline yayılım gösteren yüksek bulaşma riskine sahip koronavirüs (COVID-19), Mart 2020’de Dünya Sağlık Örgütü tarafından salgın olarak ilan edilmiştir. 2020 yılı başlarında Türkiye de dâhil olmak üzere dünyanın dört bir yanında hükümetler COVID-19 tehdidine karşılık, hastalığın yayılımı ve bulaşmasını önlemek için çeşitli adımlar atmıştır. Bunlar arasında; ülke sınırlarının kapatılması, sosyal etkileşim standartlarının oluşturulması, uzaktan eğitim modeline geçilmesi, evden, kısmi veya dönüşümlü çalışma modeline geçilmesi, karantina uygulamaları, sokağa çıkma kısıtlamaları gibi dünya genelinde uygulanan ve insan hayatında önemli değişimlere neden olan önlemler bulunmaktadır.
COVID-19 salgın dönemi iş süreçlerinin her zamanki gibi devam etmesine olanak tanıyan dijital hazırlığın önemini gösterdi. Dijitalleşen dünyada son teknolojide güncel kalmak için gerekli altyapıyı oluşturmanın, bir işletmenin veya ülkenin COVID-19 sonrası bir dünyada rekabet edebilmesi için çok önemli olduğu görüldü.
Covid-19; birçok işletmenin, dijital dönüşüme geçişine hız kazandırmış olup teknolojik alanda hızlı atılımlar yapmalarına sebep olmuştur. Bilgi teknolojileri ile iş süreçlerinin iyileştirilmesi, otomatikleştirilmesi sağlanırken internet erişiminin varlığı coğrafi sınırları ortadan kaldırmıştır. İşletmeler artık daha global bir konumdadır, üretilen veriler de gerçek zamanlı anlık olarak iletilebilir hale gelmiştir.
Özellikle iş süreçlerinin otomatikleştirildiği iş alanlarında, uzaktan çalışma ile çalışmaların yürütülmesi daha etkili olmuştur. Dijital devrim olarak nitelendirebileceğimiz bu durumun kaynağı olan salgın, ofisler yerine evlerden çalışmaya, yüz yüze eğitim yerine sanal eğitimlere, toplantı ve konferansların sanal ortamda yapılmasına neden olmuştur.
Evden çalışma (WFH:Work From Home); uzaktan çalışma, tele-çalışma, home ofis çalışma gibi farklı kavramlar ile de anılmaktadır. Salgın öncesi yıllarda bu çalışma modelleri farklı ülkeler ve firmalarda uygulanmış olsa da Covid-19 salgın sürecindeki kadar dikkat çekici bir hızla yaygınlaşmamıştır. COVID-19 öncesinde uzaktan çalışma uygulaması bulunmayan birçok firma, salgın ile birlikte yeni düzene ayak uydurmak mecburiyetinde kaldı. Deloitte tarafından yapılan bir araştırmaya göre; Türkiye’de çalışanların %48’i uzaktan çalışmaya geçmiş iken, %43.2’si kısmi olarak uzaktan çalışmaya, %8,1’i ise şirkette/sahada çalışmaya devam etmektedir.
Uzaktan çalışma modeli dijital dönüşümü de tetiklemiştir. Zoom gibi video konferans uygulamalarının kullanıcı sayıları 10 milyonlardan 100 milyonlara erişmiştir. Bilgi ve iletişim teknolojileri çok hızlı bir gelişim içerisindedir. İnsanlar evden çalışarak toplantı ve görüşmelerini uygulamalar üzerinden yürütmektedir. Dijital uygulamalar üzerinden toplantılar yapılmakta, eğitim verilmekte, sınavlar gerçekleştirilmekte, alışveriş yapılmakta, konserler verilmekte ve müzeler gezilebilmektedir.
Günlük hayata ilişkin birçok görevin internet üzerinden yapılması ile birlikte siber riskler de artış göstermiştir. İşletmeler, uzaktan çalışmanın salgın sonrasında da devam edebileceğini hesaba katarak, siber risklere karşı önlem almalı ve sürdürülebilirliğini sağlamalıdır.
Uzaktan Çalışmada dikkat edilmesi gereken bazı teknik hususlar aşağıda verilmiştir.
1. Uzaktan Çalışılan Cihazların Güvenliği
Uzaktan çalışma için kullanılan cihazlarda; gerekli güvenlik yazılımlarının yüklü olması, bu yazılımların güncel olması ve üzerinde zararlı yazılım bulunmadığından emin olunması gerekmektedir. Sonuçta işletmeye uzaktan erişim sağlayacak cihazdaki bir açık işletmenin intranetinde bulunan bir sistem üzerinde dışarıdan gelebilecek saldırılar için bir açık oluşturabilir.
Ayrıca uzaktan erişim sağlayan cihaz çoğunlukla kişisel bilgisayar olarak da kullanılması sebebi ile güvenlik açısından büyük risk taşımaktadır. Örneğin USP port kapalı olmamasından dolayı işletme verilerinin dış kaynaklara aktarılması gibi. Bu nedenle uzaktan çalışılacak cihazın işletme tarafından sağlanması ve gerekli güvenlik tedbirlerinin alınmasından sonra çalışana teslim edilmesi daha sağlıklı olacaktır.
2. Güvenli Ağ
Uzaktan erişim sağlanan ağın güvenliği önemlidir. Genellikle Wi-Fi modemler üzerinden uzaktan erişim sağlanmakta olup bu tür ağlarda çevrimiçi faaliyetlerin izlenmesi mümkün olabilmektedir. Bu nedenle kablosuz ağ üzerinde tanımlı olarak gelen; kablosuz ağın varsayılan adı (SSID: Service Set Identifier) ve şifresi çok güçlü kırılamayacak bir şekilde değiştirilmelidir. Şifre sadece ağa girmesinde sakınca bulunmayan kişiler ile paylaşılmalıdır.
3. Güvenli Erişim
İşletmenin sistemlerine uzaktan erişim VPN (Virtual Private Network) üzerinden sağlanmalıdır. VPN erişimi çalışan (kullanıcı) cihazı ile işletmenin sistemi arasında verinin şifrelenerek güvenli bir tünel üzerinden aktarılmasını sağlar. Bu şekilde iletişim şifreli/kriptolu olduğu için araya girmesi olası üçüncü taraflarca çözümlenemez ve güvenli bir erişim sağlanmış olur. VPN ile erişim işletme için de önemli olup sistemlere yetkisiz erişimlerin engellenmesi de sağlanmış olur.
4. Kimlik Doğrulama ve Yetkilendirme
Çalışanların kullanıcı hesapları çok güçlü kırılamayacak şifreler ile oluşturulmalıdır. Şifre değiştirme sıklığı artırılmalıdır. Ayrıca cep telefonu, akıllı kart gibi ikinci bir onay alınarak 2 faktörlü kimlik doğrulama (2FA: Two Factor Authentication) metodu kullanılması güvenliği artıracaktır. Böylece çalışanın hesap bilgisi ele geçirilmiş olsa bile ikinci doğrulama sağlanamayacağından sistemlere erişim mümkün olmayacaktır.
Çalışanlar sadece görevi olduğu sistemlere erişim sağlamaları için yetkilendirilmelidir. Bunun için VPN kullanımı büyük önem taşımaktadır. VPN kullanıcı kimlik kontrolü ile çalışanın yetkili olduğu sistemlere erişimine izin verecek, diğer sistemlere erişimini engelleyecektir.
5. E-posta Güvenliği
Siber saldırganların işletmenin ağına sızmak ve erişim sağlamak için kullandıkları en önemli sızma yöntemi e-postalar aracılığı ile yapılan saldırılardır. E-postalar üzerinden yapılan saldırılar ile;
- Sahte linkler gönderilerek zararlı yazılımların indirilebilmesine sebep olunabilir.
- Hediye ve tatil kampanya mailleri gibi, korku, heyecan verici, panik yaratıcı mailler gibi oltalama (phishing) türü sahte iletiler ile kullanıcıya ait kişisel veriler (şifre, kimlik bilgileri, banka bilgileri vb.) ele geçirilebilir (sosyal mühendislik).
- Zararlı dosyalar gönderilerek, kullanıcının çalıştırması ile kullanıcı bilgisayarı ve/veya işletmede bulunan sistemler saldırgan tarafından ele geçirilebilir.
- Fidye yazılımları gönderilerek, çalıştırılması durumunda bilgisayar/sistem üzerindeki tüm dosyaların şifrelenmesi, kullanılamaz duruma gelmesine sebep olabilir. Saldırgan şifreyi çözmek için fidye ister.
- Spoof e-postalar (sayısız adet e-posta gelmesi) e-posta trafiğinizin kesintiye uğramasına sebep olabilir.
E-posta güvenliğini mümkün olduğu kadar sağlamak için; çalışan ve şirket bilgisayarlarında mutlaka antivirüs kullanılmalı, e-posta yazılımları (Outlook, web vb.) güncel tutulmalı, şirket e-posta hesaplarının kişisel amaçlar için kullanılmaması sağlanmalı, çalışanlara bilgi güvenliği farkındalığı kazandırılmalıdır.
6. Uzaktan Çalışma Uygulamaları
Uzaktan çalışanların işletme tarafından onaylanmış olan veri depolama platformları, iletişim, video konferans uygulamaları, konferans araçları, proje yönetimi, sistem yönetimi ve izleme gibi araçları kullanmaları daha sağlıklı olacaktır. Bu tür uygulamaların çalışanların erişimine açık işletmede bulunan sistemler üzerinde de yüklü olması, bu liste dışında herhangi bir uygulamanın çalışan bilgisayarlarına yüklenememesi önemlidir.
7. Online Toplantılar
Online gerçekleştirilen toplantılar için; toplantının bir bölümü yahut tamamına ilişkin katılımcıların rızası olmaksızın çeşitli vasıtalarla ses, video ve görüntü kaydı alınmasının, saklanmasının, ifşa edilmesinin ve bunların yapılmasına izin verilmesinin; hukuki sorumluluk doğmasına sebebiyet vereceği hususunda çalışanlar bilgilendirilmelidir.
8. Bilgi Güvenliği Farkındalığı Eğitimi
Güvenlik kuralları çalışanlar için yol gösterici bir rehberdir ve güvenlik tehdidine karşı etkili kontrol sağlanması için önemli bir bileşendir. İşletmelerde; çalışanların, işletmenin değerli varlığı olan bilgi ve bilgi varlıklarının korunmasında üzerine düşen sorumlulukları anlamaları ve bilinçlenmelerini sağlamak amacı ile eğitimler verilmeli farkındalık programları oluşturulmalıdır. Düzenli aralıklar ile de bu eğitim ve programlar güncellenerek tekrar edilmelidir.