Şirketleri Tehlikeye Sokan Aşırı Paylaşım Alışkanlığı

Çalışan savunuculuğu, kurumsal imajın güçlendirilmesi amacıyla uzun yıllardır uygulanan bir yöntemdir. Ancak, bu süreç sırasında paylaşılan bilgilerin kötüye kullanımı, kurumlar için önemli siber güvenlik risklerini beraberinde getirebilir. ESET’in uzmanları, özellikle kurumsal bilgi paylaşımlarında dikkat edilmesi gereken noktaları vurgulamaktadır.

Kurumsal Bilgilerin Sosyal Medyada Yayılımı

Çalışanlar, iş deneyimleri, görevleri ve şirket bilgilerini sosyal medya platformları üzerinden paylaşırken, benzer profildeki profesyonellere ve potansiyel iş ortaklarına erişmeyi amaçlar. Ancak, bu paylaşımlar hedef odaklı kimlik avı ve iş e-postası dolandırıcılığı gibi kötü niyetli siber saldırılar için fırsat yaratabilir. Kurumsal bilgilerin kapsamı arttıkça, bu tür saldırıların oluşturabileceği zarar da büyür.

En yaygın platformlardan biri olan LinkedIn, kullanıcıların iş geçmişlerini ve pozisyon bilgilerini detaylı şekilde içerir ve dolayısıyla önemli bir bilgi kaynağı haline gelir. Ayrıca, işe alım süreçlerinde paylaşılan iş ilanlarında yer alan teknik detaylar da siber saldırganlar tarafından istismar edilebilir. Yazılım geliştiricilerin sıkça kullandığı GitHub gibi platformlarda ise, güvenlik açıklarına sebep olabilecek sabit kodlanmış bilgiler veya müşteri verileri paylaşılabilmektedir. Bununla beraber Instagram ve X gibi sosyal mecralarda yapılan etkinlik ve seyahat paylaşımları da şirket için risk yaratabilir.

Bilişim Suçlarında Kurumsal Verinin Kullanımı

Sosyal mühendislik saldırılarının ilk aşamasında, hedef hakkında kapsamlı veri toplanır. Toplanan bu veriler, hedef kişiyi kötü amaçlı yazılım yüklemeye ikna etmek üzere tasarlanmış spearphishing saldırıları veya kimlik bilgilerini elde etmeye yönelik girişimler için kullanılır. E-posta, kısa mesaj veya telefon çağrısı yoluyla yürütülebilen bu saldırılar, kurum içinden ya da tedarik zincirinden yetkililerin kimliğine bürünerek gerçekleştirilebilir. Bu yolla acil para transferi talepleri gibi ciddi mali kayıplara yol açan işlemler yapılabilir.

Farkındalık ve Güvenlik Önlemlerinin Önemi

Kurumların, çalışanlarına sosyal medyada aşırı bilgi paylaşımının risklerini anlatmaları büyük önem taşır. Güvenlik farkındalık eğitimlerinin güncellenerek, çalışanların dolandırıcılık girişimlerini tanıyabilme ve önleyebilme yeteneklerinin artırılması gerekmektedir. Ayrıca, sosyal medya kullanımına ilişkin açık ve net kurallar koyarak, paylaşılacak bilgi sınırlarının belirlenmesi kurum güvenliğini destekler. Kurumsal web siteleri ve sosyal medya hesapları düzenli olarak gözden geçirilip, risk oluşturabilecek bilgiler kaldırılmalıdır.

Yetkisiz hesap erişimlerinin önüne geçmek için çok faktörlü kimlik doğrulama ve güçlü, yönetilen şifreler zorunlu hale getirilmelidir. Aynı zamanda, spearphishing ve iş e-postası dolandırıcılığı gibi saldırılarda kullanılabilecek veriler için kamuya açık sosyal medya hesaplarının düzenli takibi yapılmalıdır.

Kaynak: BYZHA