Siber güvenlik ve tehdit istihbaratı alanında lider firmalardan biri olan Fortinet'in Mayıs 2015'te Lightspeed GMI adlı pazar araştırma şirketine yaptırdığı anket, dünya çapında 250'den fazla çalışana sahip şirketlerin CIO, CTO ve Bilişim Teknolojileri (BT) Direktörleri tarafından yanıtlandı. Avustralya'dan Hindistan'a, Hong Kong'dan İtalya'ya kadar farklı ülkelerde faaliyet gösteren 1.490 BT yöneticisinin katıldığı anket, kurumsal kablosuz ağların zafiyetlerini ortaya koydu.
Kurumsal güvenlikte en zayıf halka: Kablosuz ağlar
BT karar vericileri (ITDM), BT altyapısında saldırılara karşı en savunmasız olan unsurun kablosuz ağlar olduğunu düşünüyor. Anketi yanıtlayanların neredeyse yarısı (%49), güvenlik açısından en zayıf halkanın kablosuz ağlar olduğuna kanaat getirmiş durumda. %29'luk bir kısım ise, çekirdek ağın korunmasız olduğuna inanıyor.
Kablosuz ağ çözümlerine gerekli önemin verilmediğini ve bu nedenle şirket içinde yetersiz kaldığını düşünenlerin oranı ise %92. Bu hiç şaşırtıcı bir sonuç değil çünkü günümüzde şirket çalışanlarının kullanımına sunulan kurumsal kablosuz ağların üçte birinden fazlası, kritik güvenlik gerekliliklerinden biri olan kimlik doğrulama işlevine sahip değil.
Online olarak yürütülen anketin ortaya koyduğu diğer sonuçlar ise şöyle:
• BT karar vericilerinin neredeyse yarısı (%48), güvenli olamayan kablosuz ağlar nedeniyle yaşanacak en büyük riskin, hassas kurumsal ve/veya müşteri verilerinin çalınması olduğunu düşünüyor.
• Anketi yanıtlayanların %72'si, kablosuz ağ altyapısını yönetmek için bulut bilişim sistemini benimsemiş durumda. %88'i ileride yapılacak kablosuz kurulumlarda bulut altyapısına güveniyor.
• BT karar vericilerinin %43'ü, kurumsal kablosuz ağlarda "misafir" kullanıcılara erişim izni veriyor. Bu işletmelerin %13'ü, herhangi bir denetim mekanizması olmadan ağını bu tür bir kullanıma açıyor.
Kablosuz ağlar risk altında
Veritabanları (%25), uygulamalar (%17) ve depolama altyapıları (%11), anketi yanıtlayanlar tarafından güvenlik saldırılarına en az maruz kalabilecek unsurlar olarak değerlendirildi.
Aynı zamanda dünya çapındaki bu karar vericilerin %37'sinin kablosuz ağ güvenlik önlemlerinden biri olan kimlik doğrulaması işlevine sahip olmadığı ortaya çıktı. Şirketlerin sırasıyla %29'u ve %39'unun güvenlik duvarı ve anti-virüs güvenlik işlevlerini dikkate almadığı da anket sonuçlarıyla ortaya kondu. Şirketlerin yüzde 41'ü tarafından kurulmuş olan IPS (41%), uygulama denetimi (%37) ve URL filtreleme (%29) gibi diğer güvenlik önlemlerinin ise, çekirdek ağ altyapısı için kritik olduğuna dair ortak görüş belirtildi.
Gelecekte ortaya koyacakları kablosuz ağ güvenliği stratejileri sorulduğunda, anketi yanıtlayanların büyük bölümü, güvenlik duvarı ve kimlik doğrulama gibi en yaygın güvenlik özelliklerine odaklanacaklarını söyledi. Tehditlere karşı korunmak amacıyla daha kapsamlı ve daha çok sayıda güvenlik uygulamalarına ihtiyaç olduğunu düşünen %23'lük kesim ise, IPS, anti-virüs, uygulama denetimi ve URL filtreleme gibi tamamlayıcı teknolojilere öncelik vereceklerinin altını çizdi.
Bölge ve ülkelere göre kablosuz ağ güvenliği
Ankete katılan BT karar vericilerinin %83'ü, şirketlerindeki mevcut kablosuz ağ güvenliği altyapılarının yetersiz kaldığını düşünüyor. CIO'ların %92'si bunun en büyük sorunlardan biri olduğunu dile getiriyor. Araştırma yapılan bölgelerde en yüksek güvenlik önlemleri uygulanmasına rağmen, APAC bölgesindeki BT karar vericileri, Kuzey, Orta ve Güney Amerika'dakilere (%30) ve EMEA bölgesindekilere (%20) oranla, kablosuz ağ altyapıları konusunda daha fazla endişe duyuyor (%44).
Ankette mevcut kablosuz ağ altyapılarına güvenen BT karar vericilerinin görüşleri de soruldu. Çin'deki karar vericilerin %71'i "çok endişeliyiz" seçeneğini işaretleyerek mevcut altyapılara dair güvensizliklerini dile getirdi. Japonya'da ise mevcut altyapılara güvenmeyenlerin oranı sadece %13 ile sınırlı kaldı.
Anket sonuçları, kurumsal ağ güvenliğine dair artan farkındalığın, işletmelerin mevcut sistemlere yönelik endişelerini de artırdığını ortaya koydu. En fazla güvenlik endişesi duyan ilk iki ülke olan Çin ve Hindistan'ın, en az endişe duyan iki ülke olan İtalya ve Japonya'ya kıyasla, kablosuz ağ güvenliği teknolojilerine ortalamanın üstünde bir yatırım yaptığı ortaya çıktı.
Veri kaybı riski ankette tavan yaptı
Güvenlik önlemleri alınmamış bir kablosuz ağ ortamında iş yapmanın riskleri sorulduğunda, anketi yanıtlayan BT karar vericilerinin %48'i, hassas kurumsal verilerin ve/veya müşteri bilgilerinin çalınmasının, işletmeleri için en büyük risk olduğunu belirtti. Bu endişeyi en çok taşıyan bölge APAC (%56) çıkarken, Kuzey, Orta ve Güney Amerika %45 ve EMEA da %42 aynı ile soruyu yanıtladı.
BT karar vericilerinin %22'si, en önemli diğer bir riskin endüstriyel casusluk olduğu görüşünde. Sektörel düzenlemelere uymama (%13) ve hizmet kesintisi kaynaklı kurumsal itibarın zedelenmesi (%9) de diğer riskler arasında listelendi.
Bulut yönetimi olağan sayılıyor
Anket sonuçlarına göre, şirket içindeki denetim mekanizması ile yönetilen kablosuz ağ altyapısı artık geçmişte kalan bir uygulama. Çünkü anketi yanıtlayanların sadece %28'i hala bu yöntemi uygulamaya devam ediyor.
Bulut tabanlı ağ yönetimi, anket sonuçlarına göre büyüme gösteriyor. Kurumsal BT karar vericilerinin sadece %12'si gelecekte bulut tabanlı ağ yönetimi sistemlerine güvenmeyi reddediyor.
Bulut altyapılarına açık olduklarını dile getiren BT karar vericilerinin %58'i, kablosuz ağ yönetimi için özel bulut kullanmak istediklerini belirtti. %42'si ise bu hizmeti dış kaynak yoluyla almak istediğini söyledi. Dış kaynak kullanımı düşünenlerin %14'ü, sunucunun aynı ülkede olması şartıyla bu seçeneği uygulayabileceğini belirtti. Karar vericilerin %28'i ise, sunucu lokasyonundan bağımsız olarak genel bulut hizmetiyle kablosuz ağ yönetimini yürütebileceğini aktardı.
Misafir kullanıcı erişimi için kapılar açık
Ankette yer alan şirketlerin neredeyse yarısı (%43) kurumsal kablosuz ağlarında misafir kullanıcı erişimine izin veriyor. Bu şirketlerin %13'ü bu süreçte herhangi bir denetim mekanizması uygulamıyor.
Kurumsal kablosuz ağlarda misafir kullanıcı erişimi için kullanılan en yaygın yöntem, tek seferlik, geçici kullanıcı ismi ve parola tayini olarak görülüyor (%46). Kimlik bilgileri talep ederek doğrulama ekranı tercih edenlerin oranı ise %36.
Fortinet Ürün Pazarlama Başkan Yardımcısı John Maddison, anket sonuçlarını şöyle değerlendiriyor: "Araştırma sonuçları, mobil güvenlik stratejilerinin her geçen gün şirketler tarafından daha fazla benimsenmesine rağmen, ağ güvenliğinin bugüne kadar işletmeler tarafından aynı oranda önceliklendirilmediğini gösteriyor. Gelişmiş kalıcı tehditler birden fazla giriş noktasını hedef alırken ve bulut altyapıları daha fazla tercih edilirken, işletmelerin de artık daha fazla risk almaması gerekiyor.
BT liderlerinin kablosuz ağın kurumsal güvenlikte oynadığı önemli rolü fark etmesi olumlu bir gelişme. Fakat hala atılması gereken önemli adımlar var. BT, her an ve her yerde kesintisiz bağlantı ile güçlü bir kablosuz ağ güvenliği gereksinimi arasındaki dengeyi kurmaya çalışıyor. İşte bu noktada ağ güvenliği de bütüncül bir güvenlik stratejisinin önemli bir parçası olmalı ve bu sayede hem kullanıcıların hem de cihazların kablolu ve kablosuz erişimlerde güvenliğini en üst seviyede sağlamalı."