Kurumsal Sosyal Medya Hesabı Güvenliği

Sosyal medya işlerimizi tanıtmak için kullandığımız önemli bir iletişim aracıdır. Saldırganlar ise kurumsal itibarımıza zarar vermek, müşterilerimize yönelik sosyal mühendislik saldırılarında veya sırf kendi isimlerini duyurup reklam yapmak için bu hesaplarımızı hedef almaktadırlar. Sosyal medya hesaplarımızda yaşanacak bir güvenlik ihlali kurumsal itibarımızı zedeleyecek sonuçlar doğurabilir. 

Bugün bir GSM operatörünün sosyal medya hesabına karşı düzenlenen saldırı üzerine sosyal medya hesaplarınızın güvenliğine yönelik bir kaç öneri paylaşmak istiyorum.

Kurumsal sosyal medya hesaplarının da en nihayetinde bireysel kullanıcıların elinde olduğunu düşünürsek sadece teknik önlemler almak yeterli olmayacaktır. Bu hesapları yöneten personelin de dikkatli olması gerekir.

Politikalarınızı belirleyin

Kurumsal sosyal medya hesaplarına kimlerin erişebileceği, nasıl paylaşımlarda bulunacağı açıkça belli olmalıdır. Kurumsal sosyal medya hesabı kullanım politikası aşağıdaki başlıkları düzenlemelidir:

• Paylaşılmaması gereken bilgileri belirler
• Sorumlu personelin olumsuz davranışlarının sonuçlarını belirler
• Şirketinize soruların soruları yanıtlayacak kişiyi belirler
• Sosyal medya “tonunu” belli eder (sen mi diyeceğiz? Siz mi? Vb.)
• Şirket kültürüne uygundur
• İlgili personele yol gösterir niteliktedir
• Şirket çalışanlarının kişisel hesaplarında şirket ismini/logosunu kullanabilmesini ve işleri hakkında görüş bildirme özgürlüğü (veya yasağı) gibi konular da bu politika dahilinde belirlenebilir.

Resim 1: Burger King Twitter hesabı ele geçirilip rakipleri McDonald's logosu eklenmişti

Sahipleri belirleyin

Kurumsal sosyal medya ağlarının kim veya kimler tarafından yönetileceğinin net bir şekilde belirlenmesi çok önemlidir. Kullanıcı bilgileri mümkün olduğunca üçüncü taraflarla paylaşılmamalı, paylaşılması gerekiyorsa (halkla ilişkiler firması, vb) bunun çok sıkı bir şekilde denetlendiğinden emin olun.

Resim 2: Ele geçirilen hesaptan atılan tweetlere bir örnek

Kullanıcılarınızı eğitin

Sosyal medya hesaplarıyla ilgilenecek personelin sosyal medya üzerinden gelebilecek tehlikelere karşı eğitilmesi önemlidir. Sosyal mühendislik saldırılarına karşı ekstra tedbirli olmaları gerekir. Bu saldırılar DM (direkt mesaj) yoluyla yapılabileceği gibi, herkese açık şekilde “@sirketinizin_kullanıcı_adı bu iddia doğru mu?” veya “@sirketinizin_kullanıcı_adı sizi çok seviyorum!” gibi merak uyandıracak bir mesajın devamında kısaltılmış bir URL (t.co, bit.ly veya goo.gl gibi bir hizmet kullanılarak adresin tamamını yazmak yerine, gerçek adresi saklayacak kısaltılmış bir adres) ile yapıldığını görüyoruz.

Sürekli izleyin

Hesaplarınızı gerçek zamanlı ve sürekli olarak izleyin. İzinsiz veya politikaların izin verdiğinin dışında yapılacak paylaşımlardan ne kadar hızlı haberdar olursanız o kadar kısa sürede müdahale edebilirsiniz.

Resim 3: Ele geçirilen hesaptan verilmeye çalışılan sosyal içerikli mesajlara örnek

Maksimum güvenlikle kullanın

Bir çok önemli sosyal medya platformu SMS ile tek kullanımlık şifre gönderimi (2 factor authentication) gibi ek güvenlik özellikleri sunmaktadır. Bunlar mutlaka kullanılmalıdır.

Uygulamalara dikkat edin

Sosyal medya hesabınıza yükleyebileceğiniz üçüncü taraf uygulamaların (doğum günü hatırlatıcısı, oyun, vb.) birer saldırı vektörü olabileceğini unutmayın. Kurumsal hesaplara gerekmedikçe uygulama yüklenmemesinde fayda vardır.

Resim 4: Ele geçirilen hesaptan aşalamaya yönelik atılan tweetlere bir örnek

Güvenli ağlardan giriş yapın

Kurumsal sosyal medya hesabına ortak kablosuz ağ veya bilmediğiniz/güvenmediğiniz ağlar üzerinden giriş yapmayın. Bu tür durumlarda güvenli olduğunu bildiğiniz bir ağa VPN tünel (SSL veya IPsec) oluşturup onun üzerinden bağlanın.  

Parola

En kritik konulardan birisi de kırılması/tahmin edilmesi zor bir parola kullanılması, bunun düzenli aralıklarla değiştirilmesi ve bu parolanın dağıtımının kontrollü bir şekilde yapılmasıdır.

Farklı bir tarayıcı kullanın

Kişisel güvenliğiniz için bankacılık işlemlerinizi günlük olarak internette kullandığınızdan farklı bir tarayıcı kullanmanızda fayda vardır. Benzer şekilde kurumsal sosyal medya hesaplarına erişim için personelin günlük olarak kullandığından farklı bir tarayıcı kullanmasında fayda var. Saldırganlar bir tarayıcıyı kolayca ele geçirip üzerinde saklanan parolaları görebilirler. Bu tür bir saldırıya kurban gitmemek için sosyal mühendislik saldırılarına hedef olabilecek tarayıcıyı ayrı tutmak lazım.

Sosyal medya hesaplarının kullanıldığı bir şirkette saldırganların akıllarına gelen bütün saldırı vektörlerini kullanacaklarını göz önünde bulunduracak şekilde bir risk analizi ve testleri yapılmalıdır.