İnsan hatası, ihlalleri tetikliyor: Profesyonellerin yalnızca yarısı siber güvenlik eğitimi alıyor

Kaspersky’nin Türkiye genelindeki profesyonellerle gerçekleştirdiği “İş Yerinde Siber Güvenlik: Çalışan Bilgisi ve Davranışı” başlıklı son anket, profesyonellerin yalnızca %49’unun dijital tehditler konusunda eğitim aldığını ortaya koydu. Bu bilgi eksikliği, siber güvenlik ihlallerinin çoğunun insan hatasından kaynaklandığı göz önüne alındığında oldukça kritik bir durum teşkil ediyor. Bulgular, BT departmanlarının net yönergeler sağlamasının ve kuruluşların her seviyedeki çalışana ulaşacak yapılandırılmış, uygulamalı siber güvenlik eğitimleri sunmasının önemini bir kez daha gözler önüne seriyor.

Günümüzde birçok siber saldırı, insan psikolojisini istismar ederek dijital savunmaları aşmak amacıyla kasıtlı olarak tasarlanıyor. “Sosyal mühendislik” yöntemleri, çalışanların güvenini ve aciliyet algısını kullanarak, onları hassas bilgileri paylaşmaya veya sahte işlemler başlatmaya ikna ediyor. Ankete katılan profesyonellerin neredeyse yarısı (%34) son bir yıl içinde, organizasyonlarından, meslektaşlarından veya tedarikçilerden geliyormuş gibi görünen dolandırıcılık mesajlarıyla karşılaştığını bildirirken, %11’i bu tür yanıltıcı iletişimler sonucunda olumsuz etkiler yaşadı. İnsan faktörüyle yakından bağlantılı diğer siber güvenlik sorunları arasında şifrelerin ele geçirilmesi, hassas verilerin sızdırılması, güncellenmemiş IT sistem ve uygulamaları ile kilitlenmemiş veya şifrelenmemiş cihazlar yer alıyor.

İnsan kaynaklı siber saldırılar, uygun eğitim ve farkındalık ile önlenebilir. Katılımcıların %16’sı, siber güvenlik bilgisi eksikliği nedeniyle IT ile ilgili hatalar yaptığını kabul etti. Aynı zamanda, eğitim, IT dışı çalışanlar arasında siber güvenlik farkındalığını artırmanın en etkili yöntemi olarak öne çıktı: Profesyonellerin %65,5’i, vaka hikâyeleri (%18) ve hukuki sorumluluk hatırlatmaları (%40) gibi diğer seçeneklere kıyasla eğitimi tercih etti. Bu bulgular, siber güvenlik eğitiminin organizasyonel savunmanın temel bir katmanı olduğunu gösteriyor.

Katılımcılara belirli eğitim konularını seçme imkânı verildiğinde, çoğunluk şu başlıkları tercih ettiklerini belirtti: gizli iş verilerinin korunması (%47,3); internet ve web güvenliği (%52,8); hesap ve şifre güvenliği (%52,3); mobil cihaz güvenliği (%51,5); e-posta güvenliği (%40,5); sosyal medya ve mesajlaşma uygulamalarının güvenli kullanımı (%38,5); güvenli uzaktan çalışma (%39,0) ve chatbot gibi yapay zekâ tabanlı hizmetlerin güvenli kullanımı (%20,3). Ayrıca, katılımcıların %12,5–26’sı tüm bu eğitimleri almak istediklerini belirtti; bu durum, kapsamlı siber güvenlik eğitimine olan geniş talebi ortaya koyuyor.

Veriler, çalışanların siber güvenlik becerilerini geliştirmeye açık olduğunu gösteriyor. Ancak bu bilgilerin günlük IT rutinlerinin bir parçası haline gelmesi için eğitimlerin iyi yapılandırılmış, çalışanların rolüne ve mevcut IT becerilerine uygun, düzenli olarak güncellenen, oyunlaştırılmış ve uygulamalı olması gerekiyor. Bu yaklaşım, çalışanların katılımını ve bilgilerin kalıcılığını artırıyor. Kuruluşlar bu tür eğitime yatırım yaptığında, yalnızca bir zorunluluğu yerine getirmekle kalmıyor; aynı zamanda çalışanlar arasında “önce güvenlik” zihniyetini teşvik ediyor. Bu sayede, çalışanlar potansiyel bir zayıf halka olmaktan çıkarak, güvenlik konusunda sezgisel ve bilinçli kararlar alabilen, dikkatli birer gözetmen ağına dönüşüyor.

Kaspersky Türkiye Genel Müdürü İlkem Özar: “Siber güvenlik, yalnızca IT departmanına ait bir alan olamaz. Yönetim kademesinden staja kadar herkesin dijital riskleri anlaması şarttır. Dayanıklı bir organizasyon inşa etmek için her çalışanın dolandırıcılığı fark etme, maliyetli hatalardan kaçınma ve şirket verilerini koruma yetkinliğine sahip olması gerekir.” dedi.

Kuruluşlar savunmalarını güçlendirmek için aşağıdaki adımları göz önünde bulundurabilir:

• Kaspersky Next ürün serisi gibi güçlü izleme ve siber güvenlik çözümleri uygulamak.
• Çalışan eğitimleri ve siber güvenlik eğitimlerini devreye almak; örneğin, IT ve İK departmanlarının çalışanlara pratik siber güvenlik becerilerini kazandırmasına yardımcı olan Kaspersky Automated Security Awareness Platform’u.
• Çalışanlara yönelik güvenlik politikaları uygulamak; şifre yönetimi, yazılım yükleme ve ağ segmentasyonu gibi konuları kapsayacak şekilde.
• Güvenlik kültürünü desteklemek: Çalışanların şüpheli aktiviteleri bildirmesini teşvik etmek, proaktif güvenlik davranışlarını ödüllendirerek iyi alışkanlıkları pekiştirmek.

*Anket, 2025 yılında Kaspersky’nin talebi üzerine Toluna araştırma ajansı tarafından yürütüldü. Çalışma, Türkiye, Güney Afrika, Kenya, Pakistan, Mısır, Suudi Arabistan ve BAE’de bilgisayar kullanarak çalışan profesyoneller ve iş sahipleriyle yapılan 2800 online görüşmeyi içeriyor.