GoDaddy küçük işletme web sitesi güvenlik raporu

Web sitesi güvenliği paradoksu

web sitesi güvenlik grafik

Küçük işletmeler, yüksek bir ip üzerinde yürüyen ve en ufak bir hatanın büyük sorunlara yol açabileceği bir ip cambazı gibi çalışıyorlar. Bu yüzden online güvenlik konusu küçük işletmeler için zorlayıcı olabiliyor. Küçük işletme web siteleri de saldırılar için kolay bir hedef. Çoğu işletme sahibi, web sitesi güvenlik konusundaki bilgileri sınırlı ve bütçeleri kısıtlı olduğu için büyük şirketlerinin kullandığı gelişmiş koruma yöntemlerini uygulayamayabiliyor.

GoDaddy’nin siber güvenlik araştırmasına göre, ABD’deki 1-5 çalışanlı çok küçük işletmelerin yüzde 67’si web sitesi güvenlik önlemleri için yılda 1$ ile 500$ arası para harcıyor. Web sitesi güvenlik açıklarını kontrol etmek ise başka bir zorluk: GoDaddy anketine katılan işletmelerin sadece yüzde 30’u web site güvenlik açıklarını düzenli bir şekilde kontrol ettiklerini söylerken, yüzde 40’ı neredeyse hiç kontrol etmediğini söylüyor.

Siber suçlular ve hacker’lar bu durumun farkında oldukları için küçük işletmeleri hedef alıyorlar.

Konu kötü amaçlı yazılım (malware) olduğunda, mağdurların yüzde 58’i küçük işletmeler. En hızlı büyüyen saldırı çeşitlerinden biri de, ödeme yapılana kadar elektronik verilerin siber suçlular tarafından tutulduğu fidye yazılımlar.

Geçen sene her 5 KOBİ’den 1’i fidye yazılım tehdidiyle karşı karşıya kaldı ve bu durum işletme sahiplerini yüzlerce milyon dolar zarara uğrattı. İşletmeciler polise başvurduklarında ise sıklıkla fidyeyi ödemeleri tavsiye edildi.

Bu da web sitesi güvenlik paradoksu: Çoğu küçük işletme güvenlik konusunda kısıtlı bilgiye ve bütçeye sahip oldukları için saldırılara açık hale geliyor. Ancak bu saldırılar da finansal kayıplara yol açıyor.

Finansal kayıp

GoDaddy’nin 1000’in üzerinde çok küçük işletme ile yaptığı araştırmada, işletmelerin neredeyse yarısı hack’lenme sonucu finansal kayıp yaşadıklarını söylerken, her 8 işletmeden 1’i kaybın neredeyse 5000 dolardan fazla olduğunu belirtiyor. Kayıplar sadece parayla da sınırlı kalmıyor.

İtibarın zedelenmesi

İtibar zedelenmesi de yaşanıyor. Güvenlik ihlali yaşayan her 10 işletmeden 3’ü müşterilerini bu durumdan haberdar etmek zorunda kaldıklarını belirtiyor, bu da ilişkilere zarar verebiliyor.

Kara liste

Saldırıya uğramış bir web sitesi, işletmenin arama motorları ve güvenlik şirketleri tarafından kara listeye alınmasına sebep olabiliyor. Böyle bir durumda, potansiyel müşteriler arama motoru sonuç sayfalarında siteyi göremedikleri için sitenin trafiği düşüyor.

Bu da çifte bir web sitesi güvenlik sorunu oluşturuyor: Önce hacker tarafından saldırıya uğrayan küçük işletme, web sitesi görünmez hale geldiği için para da kazanamıyor.

Paradoks burada daha da derinleşiyor. Zararlı yazılımdan dolayı fişlenmek ya da kara listeye alınmak küçük işlete web sitesinin kapanmasına sebep olurken; zararlı yazılıma maruz kaldığı halde fişlenmemek web sitesini hacker’lara daha açık hale getiriyor.

GoDaddy’nin araştırmasına göre kötü amaçlı yazılımlara maruz kalmış web sitelerinin yüzde 90’ı fişlenmiyor ya da kara listeye alınmıyor. Bu da, küçük işletme sahiplerinin farkında olmadan bir hacker saldırısına sürekli maruz kalabilecekleri anlamına geliyor.

Küçük işletmelerin yardıma ihtiyacı var.

Bu düşünceyle, GoDaddy hem kendi müşterilerine hem diğer küçük işletme deneyimlerine dayanan bu küçük işletme web sitesi güvenlik raporunu sunuyor.

web sitesi güvenlik raporu paradoks

Güvenlik ihlaline maruz kalmış web siteleri üzerine bir inceleme

Binlerce web sitesi talebinin incelenmesi, web sitesi operatörlerinin tedbiri elden bırakması durumunda bir saldırının ne kadar kolay yaşanabileceğini gözler önüne seriyor. Örneğin, son bir yıl içinde dünya çapında güvenlik ihlali dolayısıyla destek talebinde bulunan 65.477 sitenin yarısı, WordPress ve onun içerik yönetim sistemleri (CMS) gibi en fazla kullanılan platformlar ve araçlarda güncel olmayan yazılıma sahip.

web sitesi güvenlik güncel olmayan platformlar grafik

Web sitesine zararlı yazılım bulaştıktan sonra, hacker’lar sitenin birden fazla yerine ve dosyasına saldırıyor. GoDaddy güvenlik ekibi hack’lenme başına ortalama 110 dosya temizlemiş, ancak bazı durumlarda bu sayı 35.057’ye kadar çıkmış.

GoDaddy araştırması, zararlı yazılım bulaşmış dosyaların temizlenmesinin yeterli olmadığını gösteriyor.

Arka kapılar

Hacker’lar web sitesine girdikten sonra, dosya temizlenmesi yapıldıktan sonra bile siteye yeniden erişebilmek için kendilerine arka kapılar bırakıyor. Bu arka kapılar sitede bulunan gizli dosyalar ya da kalabalık bir dosya dizinindeki yüklemeler olabiliyor. Becerikli bir hacker arka kapılar aracılığıyla bir web sitesinin kontrolünü tamamen ele geçirebiliyor.

web sitesi güvenlik zararlı yazılım dağılımı grafik
GoDaddy müşterileri tarafından yapılan 65.477 web sitesi temizleme talebinin analizi, hacker’ların yüzde 83’ünün bir arka kapı oluşturduğunu gösteriyor.

Spam SEO

Ancak tek ciddi tehdit arka kapılar değil. Spam SEO (arama motoru optimizasyonu) hem müşterileri kaçırıyor hem de sitenin kara listeye alınma riskini artırıyor. Yukarıdaki grafiğin de gösterdiği gibi, spam SEO hacker’ların favori yöntemlerinden biri çünkü bir web sitesinin ziyaretçilerini kötü amaçlı sitelere yönlendirmelerine olanak sağlıyor. Bu manipülasyon sayesinde, hacker’lar küçük işletme web sitelerini “karanlık web”e açılan bir portal olarak kullanabiliyor.

Kötü amaçlı yazılım imzaları

Siber uzmanlar, bir tehdidi anlamak için kötü amaçlı yazılımın kökenine ve imzasına bakıyorlar. Geçtiğimiz yıl, temizlik taleplerindeki en yaygın imza rex.multi_var.004’tü. Müşteri, bazı dosyaların 2003’ten beri aktif olduğuna dikkat çekti. Forumdaki diğer katılımcılar ona dosyaları taramasını ve bilgisayarından kaldırmasını tavsiye ettiler.

Kara listeye alınmak

web sitesi güvenlik kara liste raporlama

Kötü amaçlı yazılımlar arama motoru sonuçlarına zarar verebilir. Google ve Bing gibi arama motorları virüslü web sitelerini genellikle kara listeye alıyor. GoDaddy web sitesi güvenlik araştırmasına göre, temizlenen web sitelerinin yüzde 10’u kara listeye alınmıştı.

Bu sayıyı daha da açmak gerekirse, GoDaddy’nin incelediği 65.477 virüslü web sitesinin 6.500 tanesi kara listeye alınmıştı. Bu da 6.500 küçük işletmenin arama motorları için görünmez olduğu anlamına geliyor. Ancak, güvenlik şirketleri ve arama motorlarının kara listeye almak için fişleme kriterleri arasında büyük farklar vardı.

Not: Bazı durumlarda birden fazla şirket bir web sitesini kara listeye almıştı, bu sebeple yüzdeler 100’ün üzerine çıkıyor.

Kara listeden çıkmak

Kara listeye alınmak, küçük işletme sahiplerini güvenlik tehdidinden haberdar etse de, uzun vadede bir küçük işletmenin olmak isteyeceği son yerdir. Google gibi arama motorları, pek çok alan adını kötü amaçlı yazılım, spam SEO ve kimlik avı dolandırıcılıkları için tarıyor. Bir site şüpheli olarak fişlenmesi, işletmenin dijital ortamda görünmez hale gelmesine neden olarak işletmeye zarar verebilir. Daha önce de söylendiği gibi:

“Google, virüslü bir web sitesini kara listeye alırsa, site düzelene kadar internette yoksunuz demektir.” – Peter Jensen

Bu da bir küçük işletme sahibine binlerce dolara mal olabilir. Bununla birlikte kara listeye alınma herkes için geçerli kesin kurallar çerçevesinde de olmuyor. Her arama motorunun ve ya güvenlik şirketinin kendi kriterleri bulunuyor. Örneğin, GoDaddy kullanıcıları ile yapılan araştırmada, Norton ve Site Adviser’ın üç kat daha fazla siteyi kara listeye aldığı ortaya çıktı.

web sitesi güvenlik kara listeye alınmış alan adları grafik

Küçük işletmeler, söz konusu kara listeden çıkabilmek için güvenlik uzmanlarına ya da virüslü web sitelerini temizleyen araçlara para harcamak zorunda kalıyor. Zararlı yazılımlar ve diğer virüsler temizlendikten sonra, web sitesi operatörlerinin, hacker’ların arka kapılar ya da kırılmış şifreler dolayısıyla siteye hemen yeniden giriş yapamayacaklarından emin olmaları gerekiyor.

Ondan sonra web sitesine “sağlam raporu” vermek arama motoruna kalıyor. Bu da birkaç gün sürebileceğinden, işletmenin müşteri kaybetmesine, satışlarının düşmesine ve itibarının zedelenmesine sebep olabiliyor.

Ne ile karşı karşıya olduğunuzu bilerek zorlukların üstesinden gelmek

GoDaddy’nin araştırması ABD’de ankete katılan şirketlerin neredeyse yarısının siber saldırı mağduru olduğunu ortaya koyuyor. Saldırıların en yaygınları ise zararlı yazılımlar/bilgisayar virüsleri ve phishing (oltalama). Saldırı, işletmenin herhangi bir yönünü hedefleyebiliyor.

web sitesi güvenlik etkilenen unsurlar grafik

Ankete katılan her 3 küçük işletmeden 1’i, web sitelerinin hedef olduğunu belirtse de hacker’lar genellikle birden fazla güvenlik açığına saldırıyor. Saldırıların etkisi ise inanılmaz: Security dergisine göre, hack’lenmiş küçük işletmelerin yüzde 60’ı altı ay içinde kapanıyor. Çünkü yaşanan binlerce dolarlık kayıplar küçük işletmelerin altından kalkamayacağı bir boyutta olabiliyor.

Bu yüzden, hack’lenmenin maliyeti düşündüğünüzden büyük olabilir.

GoDaddy’nin küçük işletmelerle yaptığı ankete göre, hack’lenme sonucu kayıp yaşayan her 8 işletmeden 1’i, bu kaybın 5000 doların üzerinde olduğunu belirtiyor.

web sitesi güvenlik hacklenme sonucu kayıp grafik

Burada önemli bir nokta da küçük işletmelerin güvenlik konusuna yaklaşımları. Ankete katılan işletmelerin sadece yarısı güvenlik denetleme hizmeti kullanıyor ve sadece yüzde 68’inin etkili bir güçlü şifre stratejisi bulunuyor.

web sitesi güvenlik güvenlik koruma araçları grafik

Bu yaklaşımdaki zorluk ise, hacker’ların bir web sitesini ele geçirmek için başka yöntemlere de başvurmaları. Phishing (oltalama) gibi saldırılarda, şifrenin ele geçirildiğini hacker platforma girmeden (ve daha sonra siteye yeniden girebilmek için kendisine arka kapı oluşturmadan) anlamak mümkün olamayabiliyor.

Hack’lenme sonrası küçük işletme sahiplerinin birincil endişesi banka bilgilerinin ve diğer finansal bilgilerin tehlikeye girmiş olması.

web sitesi güvenlik ele geçmesinden endişe edilen bilgiler grafik

Buna rağmen, küçük işletme sahiplerinin yarısından azı hack’lenme sonrası banka ve finansal bilgilerini değiştirdiklerini ya da güncellediklerini belirtiyor. GoDaddy’nin araştırmasına göre, işletmelerin yüzde 48’i finansal bilgilerini değiştirdiğini söylüyor. Yüzde 81’lik gibi çok daha büyük bir kısmı ise şifrelerini değiştirdiğini söylüyor.

web sitesi güvenlik web sitesi koruması harcamaları grafik

Bu da konuyu yeniden web sitesi güvenlik paradoksuna getiriyor. Küçük işletme sahipleri risklerin farkındalar ancak kendilerini tamamen koruyacak uzmanlığa ya da finansmana sahip değiller. Araştırmaya göre, her 5 işletmeden 1’i web sitesi koruması için hiç para harcamıyor. Sadece yüzde 4’ü ise 1000 dolardan fazla harcadığını belirtiyor.

web sitesi güvenlik kontrolü grafik

Benzer şekilde, her 10 işletmeden sadece 3’ü, web sitesi güvenlik açıklarını en az haftalık olarak kontrol ettiklerini söylüyor. Küçük işletme sahiplerinin yaşadıkları zorluklar düşünülürse, web sitesi güvenlik konusunun öncelik olmaması anlaşılabilir. Ancak güvenlik açıklarını izleme ve tespit etme hizmetleri bir küçük işletmeyi felaketle sonuçlanabilecek saldırılardan kurtarabilir.

Web sitesi korumasında “havlayan köpek/uyuyan kedi” yaklaşımı

Siber güvenlik riskleri ortadan kaldıramaz. Bu henüz mümkün değil. Ancak riskleri azaltabilir. Küçük işletme sahipleri pek çok şeyle aynı anda ilgilendikleri için web sitesi güvenlik konusunu ikinci plana atıyor olabilirler. Ancak çok küçük önlemler bile büyük farklar yaratabilir.

Aslında konu, soyacağı evi belirlemek için iki farklı evi gözetleyen bir hırsızın durumuna benziyor. Evlerin birinde havlayan bir köpek var, diğerinde ise uyuyan bir kedi. Hırsızın hangisini seçeceği belli.

Web sitesi güvenliğine yapılan çok küçük yatırımlar bile fark yaratabilir.

GoDaddy Web Sitesi Güvenliği, riskleri tanımlayan, saldırıları engelleyen ve küçük işletme sahiplerinin hızla ayağa kalkmasına yardımcı olan izleme ve kurtarma hizmetleri sunuyor.

Hangi araçları kullanırlarsa kullansınlar, küçük işletme sahiplerinin siber güvenlik konusuna önem vermeleri gerekiyor. Online olan bir küçük işletme, bir hayalin doruk noktasıdır. Araştırmalar, küçük işletmelerin online olmasının, işletme sahiplerini istedikleri gibi, istedikleri zaman ve istedikleri yerde çalışacak şekilde özgürleştirdiğini gösteriyor. Bir hacker’ın bu hayali yıkabiliyor olması ise oldukça kalp kırıcı.

Siber güvenlik uzun süreli bir kedi-fare oyunu olsa da, hacker’ların önünün kesilmesi bu sürecin ilerlemesine yardımcı oluyor. Her geçen gün, web sitesi güvenlik araçlarını edinmeyi iTunes’dan müzik indirmek kadar kolay bir hale getiren yeni siber güvenlik yaklaşımları tanıtılıyor.

Girişimciler, alan adı sağlayıcıları, geliştiriciler ve siber uzmanlar bir araya gelerek interneti hacker’ların elinden geri alabilir.

Bu web sitesi güvenlik raporundaki veriler hakkında

Mayıs 2017 – Mart 2018 arasında GoDaddy Güvenlik ekibi, dünya genelinde 65.477 küçük işletme web sitesinin güvenlik ihlalinden dolayı yaptığı destek talebini analiz etti. GoDaddy, küçük işletme sahiplerine ve güvenlik uzmanlarına, web sitesi güvenliğini nasıl iyileştirebilecekleri hakkında içgörü sağlayabilmek için edindikleri verileri düzenli olarak bildirmeyi amaçlıyor.

GoDaddy, küçük işletmelerin faaliyetlerini ve güvenlik konusundaki perspektiflerini anlamak amacıyla, ABD’deki 1.012 çok küçük işletmeyle anket yapmaları için araştırma firması Morar’ı görevlendirdi. 24 Mayıs 2018 – 30 Mayıs 2018 arasında yapılan araştırmada, 5 ya da daha az çalışanı olan küçük işletmelerle anket yapıldı. Bu araştırmaya istek üzerine ulaşabilirsiniz.

GoDaddy olarak, gelecek araştırmalar için geri bildirimlerinizi ve önerilerinizi dinlemekten memnuniyet duyarız.

 

 

 

 

Fotoğraf Robin Joshua , Unsplash aracılığıyla.

Tony Perez
Tony Perez is the General Manager and Vice President of GoDaddy’s Security Product Group. He is responsible for managing GoDaddy Security, Sucuri, and Media Temple Security brands. Tony leads a diverse and global team spanning over 20 countries from sales agents to software engineers. As a two-time business founder, Tony combines his understanding of the needs and concerns of small businesses with his expertise in cyber security products and services. Previously, Tony was the Vice President of Product Management for Sucuri under GoDaddy, Co-Founder, CEO, and COO of Sucuri Inc., Co-Founder and COO of CubicTwo LLC, and served as a US Marine.