Şirketler E-posta Güvenliğini Nasıl Sağlar?

Geçmişi 1970’li yıllara dayanan elektronik posta, dijital iletişimde kullanılan temel kanallardan biridir. Bu iletişim kanalında süreç, SMTP (Simple Mail Transfer Protocol) protokolüne göre işler. Türkçe’ye “Basit Posta Aktarım Protokolü” olarak çevrilen söz konusu iletişim sürecinde temel doğrulama adımları gibi güvenlik önlemleri yer almaz. Bu durum, bazı güvenlik açıklarına neden olabilir. Ayrıca kötü niyetli kişiler ve bilinçsiz kullanım da veri kayıplarına ya da maddi zarara sebebiyet verebilir. Yazının devamında farklı nedenlerle ortaya çıkan e-posta güvenlik sorunlarını ve bunları önlemek için dikkat etmeniz gerekenleri ele aldık.

E-posta Güvenliği Neden Önemlidir?

E-posta hem kişisel hem de kurumsal iletişimde sıklıkla tercih edilir. Statista tarafından yayımlanan verilere göre 2022’de 4,26 milyar olan e-posta kullanıcı sayısının 2026’ya kadar 4,73 milyara ulaşacağı tahmin edilir. Aynı araştırmada internet kullanıcılarının %45’inin bilinmeyen e-mail adreslerinden gelen iletileri açmadığı da belirtilir. Bu veriler, iletişimde e-posta tercihiyle birlikte güvenlik bilincinin de yaygın olduğunu gösterir. E-mail güvenliğini önemli kılan noktalar ise aşağıdaki gibidir.

• Hassas bilgilerin korunması
• Kimlik hırsızlığının engellenmesi
• Kötü amaçlı yazılımların tespit edilmesi
• Siber saldırıların önlenmesi

Ayrıca e-mail güvenliği, bu iletişim kanalının kesintisiz ve sorunsuz çalışmasına olanak tanır. Elektronik posta süreçleri aksadığında şirketlerinekip içinde, müşterileri ve iş ortakları ile kurduğu iletişim de sekteye uğrar. Ayrıca işletmenizin itibarını korumak, yasal süreçlerden dolayı ekstra finansal ve operasyonel yükle karşılaşmamak için de e-posta veri güvenliğini sağlamalısınız. 

Hangi Atak Teknikleri E-posta Saldırılarında Kullanılır?

Milyarlarca kullanıcısı olan e-posta iletişim kanalında kötü niyetli kişilerin sayısı da son derece fazladır. Durum böyle olunca her bir e-mail, sizin ve işletmeniz için pek çok potansiyel risk anlamına gelir. Fakat sık rastlanılan bazı atak tekniklerini öğrenerek verilerinizin dolandırıcıların eline geçmesini önleyebilirsiniz. Başlıca e-mail saldırıları arasında spam, spoofing ve dosya/eklenti atakları yer alır. Takip eden başlıklarda bu kimlik ve veri hırsızlığı yöntemlerine ilişkin ayrıntıları görebilirsiniz.

Spam (Phishing) Atakları

İstenmeyen ileti anlamına gelen spam e-posta, toplu ve alıcının onayı olmadan gönderilir. En yaygın spam atakları arasında ise phishing, yani oltalama yöntemi yer alır. Bu yöntemde kullanıcılara rastgele veya hedefli olmak üzere elektronik posta atılır. Genellikle e-postalar; bilinen web sitelerinden, hizmet alınan bankadan ya da internet hizmeti sağlayıcısından gelmiş gibi görünür. Söz konusu e-postalarda kullanıcıları, sahte ya da değiştirilmiş internet sitelerine yönlendiren URL bağlantıları yer alır. Ardından kişilere, hesapların güncellenebilmesi için kredi kartı numarası ya da şifresi gibi kişisel bilgiler sorulur. Bu linke tıklamanız ve sitede kişisel bilgilerinizi paylaşmanız durumunda dolandırıcıların oltasına takılırsınız.

Spoofing Ataklar

Türkçe’ye “sahtecilik” olarak çevrilen spoofing, e-posta güvenliğini riske atan saldırı türleri arasındadır. Bu atak yönteminde kullanıcıların elektronik posta kutusunda müşteriler, iş arkadaşları veya yöneticiler gibi güvenilir kişilerden gelen iletiler yer alır. Aslında bu iletiler, bahsi geçen kişileri taklit eden veri hırsızları tarafından gönderilir. Siber suçlulardan gelen e-maillerde genellikle para transferi yapmanız ya da bir sisteme erişmek için izniniz istenir. Ayrıca ekteki dosyaları açmanız veya metin içerisindeki bir URL adresine tıklamanız da talep edilebilir. Siber saldırganın verdiği komutlar yerine getirildiğinde virüs, solucan, fidye ve casus gibi zararlı yazılım türleri aktifleşir.

Dosya/Eklenti Saldırıları

Kötü amaçlı e-posta ekleri, kullanıcının bilgisayarına siber saldırı başlatmak için tasarlanır. Genellikle PDF'ler, e-dosyalar, görüntülü ve sesli postalar gibi unsurları içerir. Siber saldırganlar, bu dosyaları bilgileri ya da doğrudan sistemi ele geçirme gibi amaçlarla elektronik postalara ekler. Yazılımlardaki güvenlik açıklarından faydalanılan bu e-posta saldırısından dolayı elektronik cihazlarınızdaki verileri ve sistemdeki kontrolünüzü kaybedebilirsiniz. 

Kurumsal E-mail Güvenliği Nasıl Sağlanmalı?

Kurumsal e-posta güvenliği, farklı ölçeklerdeki işletmelerin temel ihtiyaçlarından biridir. Neredeyse tüm şirketler, iş süreçlerinde elektronik postaları aktif olarak kullanır. İşletmenizin verilerini korumak, maddi ve manevi kayıpları önlemek için şu e-mail güvenliği önerilerinden destek alabilirsiniz:

• Geo-location tabanlı filtreleme: Bu yöntem, e-postaların kaynak IP adreslerine göre geldiği coğrafi konuma dayalı olarak filtreleme yapmayı sağlar. Belirli ülkelerden ya da bölgelerden gelen iletileri engellemek için kullanılabilir.
• İki faktörlü kimlik doğrulaması (2FA): 2FA, e-mail giriş işlemlerinde uygulanır. Kullanıcılar, giriş yaparken hem şifrelerini yazar hem de bir ikinci kimlik doğrulama faktöründen geçer.
• Sandbox: Korumalı ya da sanal alan anlamına gelen sandbox, kötü amaçlı yazılımları tespit etmek için kullanılır. Bu yöntemde iletiler ya da ekler, alıcının posta kutusuna erişmeden önce sanal bir ortamda açılır ve test edilir. Ardından anormal bir durum olmadığı takdirde alıcının posta kutusuna iletilir. Zararlı bir yazılım içerdiği belirlenen iletiler veya ekler ise kullanıcıya teslim edilmeden karantinaya alınır.
• Bayesian algoritması: Bu algoritma sayesinde spam e-postaları tanımlamak ya da filtrelemek için istatistiksel analizden yararlanılır.

Ayrıca e-posta güvenliğinde mail şifreleme, içerik kontrolü, tehdit istihbaratı, anti-spam yazılımları ve veri kaybı önleme yöntemleri de kullanılabilir. Veri kaybı önleme (Data Loss Prevention), özetle belirli data türlerini tanımlar ve bunların e-posta ile iletilmesini önler. Veri analizini; HIPAA, PCI-DSS veya GDPR gibi yasal uyumluluk prosedürlerine göre gerçekleştirir. Bu prosedürlere göre kurumu riske atabilecek verilerin paylaşmasını önlemek için koruyucu eylemlerle düzeltme sağlar. E-posta iletişimine entregre edilen DLP yazılımı aracılığıyla önceden belirlenen kurallara uygun olmayan iletileri engelleyebilirsiniz.

Kişisel Verilerin Korunması ve Kurumsal E-mail Güvenliği Arasındaki İlişki Nasıldır?

2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), e-posta güvenliğiyle bağlantılı hükümler içerir. Bu kanunun 3. maddesinde kişisel veri, kimliği belirli ya da tespit edilebilir olanlara ait her türlü bilgi şeklinde tanımlanmıştır. Söz konusu bilgiler arasında e-mail adresi de yer alır. Yani bu adresle ilgili ya da e-postadan paylaştığınız verilerinizin açık rızanız alınmaksızın işlenmesi durumunda KVKK hükümleri gereğince hakkınızı arayabilirsiniz. 

Şirketlerde Güvenli E-mail Göndermek için Dikkat Edilmesi Gerekenler Nelerdir?

Şirketiniz için e-posta güvenlik ayarını gerçekleştirerek kurumsal ve kişisel bilgilerinizi kötü niyetli internet kullanıcılarından koruyabilirsiniz. Güvenli yollarla e-mail göndermek için dikkat edebileceğiniz diğer noktalar ise şöyledir:

• Çalışanlarınızı, e-posta güvenliği konusunda bilgilendirin.
• Gelişmiş tehdit koruması sağlayan bir e-mail güvenlik çözümü kullanın. 
• Çok faktörlü kimlik doğrulaması (MFA) yöntemlerinden yararlanın.
• Antivirüs ve zararlı yazılımları önlemek için kullandığınız programlarınızı sürekli güncelleyin. 

Ayrıca e-postaların içeriğini, göndericisini ve diğer detaylarını da göz önünde bulundurabilirsiniz. Şüpheli bir ileti aldığınızda diğer iletişim kanallarından göndericiye ulaşmanız ve bu mesajın doğruluğunu teyit etmeniz önemlidir. Böylece veri ve kimlik hırsızlarının amaçlarına ulaşmasını engelleyebilirsiniz.

Kurumsal E-posta Güvenliği ile Şirketinizin Verilerini ve İtibarını Koruyun

Kurumsal e-posta güvenliği, şirketinizin verilerini ve itibarını korumanızın anahtarıdır. Siber güvenlik alanında uzman inventiv, firmanızın bilişim altyapısını güçlendirecek çözümler sunar. Securvent hizmeti kapsamında TSE onaylı sızma testleri gerçekleştirir. Bilişim altyapınızdaki açıkları tespit eden testler sayesinde siber saldırıları önceden tespit etmeniz ve bunlara karşı önlem almanız mümkün olur. TSE-Güven Damgası gibi regülatif zorunlulukları sağlamak için düzenli denetime ve raporlamaya ihtiyacınız varsa inventiv’den destek alabilirsiniz.