Günümüz dijital çağında, e-posta iletişimi iş dünyasının ve kişisel iletişimin ayrılmaz bir parçası haline gelmiştir. Ancak, birçok sigorta şirketi, temel e-posta güvenliği önlemlerini göz ardı ederek müşterilerin ve iş ortaklarının bilgilerini tehlikeye atma riskini taşımaktadır. Bu ihmal, bilgi hırsızlığı, veri sızıntısı ve kötü niyetli saldırılara kapı açabilir. İşte sigorta şirketlerinin temel e-posta güvenliği konusunda dikkat etmeleri gereken bazı önemli noktalar:
Sigorta şirketleri, müşterileri ve müşteriler tarafından korunması için güvenilen son derece hassas ve özel bilgilerle faaliyet göstermektedir. Düzenlemelere tabi olan bir sektörde faaliyet göstermeleri, değişen güvenlik düzenlemelerine uyumlu olacak kaynaklara erişimin önemini daha da artırmaktadır.
Yapılan bir araştırma, sigorta şirketlerinin alan adlarında Domain-based Message Authentication, Reporting and Conformance (DMARC) standartının uygulanmasını incelemiştir.
2012 yılında yayınlanan DMARC standartı, gönderenlerin alan adlarını taklit eden gelen e-postaları otomatik olarak belirleyerek kaldırmayı sağlar. Bu, dışarıdan gelen sahte e-posta ve taklit girişimlerini önlemek için önemli bir yöntemdir.
EasyDMARC’ın araştırması, incelenen alan adlarının sadece %22’sinin on yıllık DMARC standartını uyguladığını ortaya koymuştur. Bu 2694 kuruluşun yalnızca 699’u (%26), meşru bir alan adını taklit eden e-postaları otomatik olarak reddeden bir “reddet” politikasını uygulamıştır.
E-posta Alanı Taklitleri
DMARC’ı uygulayan daha fazla kuruluş, taklit e-postalarıyla ilgili olarak herhangi bir önlem almamıştır. Bu 1401 (%52) alan adının hiçbir politikası bulunmamaktadır. 594 (%22) alan adı ise DMARC’ı taklit e-postaları karantinaya almak üzere yapılandırmıştır.
EasyDMARC CEO’su Gerasim Hovhannisyan, “Alan adı taklitleri, siber suçluların kurumsal siber savunmaları aşmaları için en etkili yöntemlerden biridir ve sahte e-posta, taklit ve fidye yazılımı saldırılarıyla sonuçlanabilir. Rakamlar yalan söylemez; ne yazık ki, birçok sigorta şirketi, bu mevcut ve sürekli tehditleri etkili bir şekilde önleyecek temel araçları görmezden gelmektedir” dedi.
Şifreleme Teknolojileri: Sigorta şirketleri, müşterileriyle ve iş ortaklarıyla paylaştıkları hassas bilgileri korumak için güçlü şifreleme teknolojilerini kullanmalıdır. Şifreleme, bilgilerin e-posta yoluyla iletilirken güvenli bir şekilde korunmasını sağlar ve yalnızca yetkili alıcıların erişebileceği anlamına gelir.
İki Faktörlü Kimlik Doğrulama: Şirket çalışanlarına ve müşterilere iki faktörlü kimlik doğrulama sağlanmalıdır. Bu, e-posta hesaplarına giriş yaparken kullanıcı adı ve şifrenin yanı sıra başka bir doğrulama faktörünün (örneğin, SMS ile gönderilen bir doğrulama kodu) kullanılmasını gerektirir. Bu yöntem, hesaplara yetkisiz erişimi büyük ölçüde azaltır.
Eğitim ve Farkındalık: Sigorta şirketleri çalışanlarına düzenli eğitimler ve farkındalık programları sağlamalıdır. Bu eğitimler, e-posta güvenliği hakkında bilinçlenmeyi ve çalışanların kötü niyetli e-postaları tanıma yeteneklerini geliştirmeyi amaçlamalıdır. Çalışanlar, sahte e-postaları, phishing girişimlerini ve diğer siber saldırıları tanıyabilmeli ve uygun önlemleri alabilmelidir.
Güçlü Şifre Politikaları: Sigorta şirketleri, çalışanlarının ve müşterilerinin güçlü şifreler kullanmasını sağlamak için şifre politikaları benimsemelidir. Bu politikalar, karmaşık şifrelerin kullanımını teşvik etmeli, düzenli şifre değişikliği gereksinimini belirlemeli ve kullanıcıları şifrelerini güvende tutma konusunda bilinçlendirmelidir.
E-posta Filtreleme ve Anti-Malware Yazılımları: Sigorta şirketleri, gelen ve giden e-postaları otomatik olarak tarayan ve zararlı içeriği tespit eden e-posta filtreleme ve anti-malware yazılımlarını kullanmalıdır. Bu yazılımlar, kötü amaçlı e-postaları tespit ederek zararlı içeriğin sistemlere girmesini engeller.
Güncel Yazılım ve Sistemler: Sigorta şirketleri, e-posta sunucuları, işletim sistemleri ve diğer ilgili yazılımları güncel tutmalıdır. Güncellemeler genellikle güvenlik açıklarını düzeltir ve bilinen saldırılara karşı daha fazla koruma sağlar. Ayrıca, sigorta şirketleri, e-posta sunucusu ve iletişim altyapısı için güvenilir ve güvenlik odaklı çözümler kullanmalıdır.
Organizasyonların kendilerini siber tehditlerden koruma ihtiyacı neredeyse herkes tarafından kabul edilmektedir. Alan doğrulamanın olmaması, bu kuruluşları son derece hassas ve potansiyel olarak maliyetli veri ihlallerine karşı savunmasız bırakır. DMARC standartının veya benzer etkili politikaların benimsenmemesi durumunda, sektördeki siber olayların ve buna bağlı olarak yaşanan aksaklıkların ve kayıpların artmaya devam edeceği sonucuna varabiliriz” şeklinde sözlerini tamamladı.
Sigorta şirketleri, müşterilerinin ve iş ortaklarının güvenliğini sağlamak ve güvenilirliğini korumak için temel e-posta güvenliği önlemlerini uygulamalıdır. Bu, bilgi güvenliğini artırır, itibarını korur ve müşteri güvenini sağlar. Unutmamak gerekir ki, siber saldırılar herkesi etkileyebilir ve önlem almak her şirketin sorumluluğudur.
Kaynak:
helpnetsecurity.com/2023/06/23/insurance-companies-basic-email-security/
