← Back to Blog
Web Geliştirme ve Güvenlik09.03.2024

NGO'lar İçin Veri Güvenliği: Bağışçı Bilgilerini Nasıl Korursunuz?

Siber saldırıların sayısı günden güne artıyor. Kuruluşunuzun son derece hassas bağışçı kayıtlarını korumak için benimsemesi gereken veri güvenliği tedbirleri.

NGO'lar İçin Veri Güvenliği: Bağışçı Bilgilerini Nasıl Korursunuz?

NGO'lar İçin Veri Güvenliği: Bağışçı Bilgilerini Nasıl Korursunuz?

Siber saldırı terimini duyduğumuzda, aklımıza genellikle çok uluslu küresel bankalardaki veya büyük teknoloji holdinglerindeki (Facebook, Sony vb.) devasa ve yıkıcı veri sızıntılarını hayal ederiz. Ancak Sivil Toplum Kuruluşları (STK'lar) ve hatta kâr amacı gütmeyen hayır kurumları, aslında usta hacker toplulukları (korsanlar) için gizliden gizliye en paha biçilmez ve çok aranan "ödüllü" hedeflerden birisidir.

Neden mi? Çünkü STK'lar; devasa zenginliğe sahip VIP bağışçıların, devlet üst düzey yetkililerinin, kurumsal ağ şirketlerinin isimlerini, cep telefon numaralarını, ev adreslerini ve e-postalarını içeren, milyonlarca temaslık dev bir veri tabanına ev sahipliği yapar. Üstelik bu STK'lar, büyük ticari şirketlerin binde biri kadar bile bir IT siber güvenlik bütçesi ayıramaz. Çoğu zaman yamalanmamış ve güncel olmayan eski, amatör sunucular üzerinde çalışırlar. Bu da onları siber savaşta tam anlamıyla bir "Yumuşak Hedef" (Kolay Lokma) haline getirir.

Bir vakıf için gerçekleşecek bir veri siber sızıntısı projenin iflası demektir; korkunç yasal tazminatlara sebebiyet verir ve bağışçı tarafında itibarın tümüyle çöküşü anlamına gelir. Kurumunuzun varoluş sebebi olan "Bağışçı Güvenini" nasıl zırhlamanız gerektiğine dair teknik stratejiler:

1. "En Az Ayrıcalık" Kesin Kuralı (Erişim Kontrolü)

İnternetteki veri ihlallerinin bir numaralı müsebbibi, dışarıdan gelen devasa saldırılar değil; zayıf, ihmalkâr veya "hacklenmiş" dikkatsiz kurum çalışanı hesap şifreleridir.

  • Kurulumunuzun sadece X (Twitter) hesabını yönetmesi için işe alınan sosyal medya yöneticisinin / stajyerin; büyük elçilerin veya binlerce bağışçının açık cep telefon numaralarını gördüğü "Ana Veritabanı" (CRM vb.) panellerine giriş hakkı, şifresi asla ve asla olmamalıdır.
  • Nasıl Uygulanır: Hemen tüm dijital altyapınızı (Kullanılan CRM'ler, web site eklentileri, CMS hostingleri) ve yetkili hesap listelerini baştan sona denetimden geçirin. Yönetim kurulu üyesinden, saha koordinatorüne ve stajyere kadar; ekibindeki istisnasız herkesin (Kendi görev tanımını / işini sadecene yapmasına yetecek) Mutlak Minimum "Zorunlu Erişim (Minimum Access)" güvenlik basamağında tutulduğundan yüzde yüz emin olun.

2. Sistemi Kesin Olarak Çift Faktörlü Kimlik Doğrulamasına (MFA) Zorlayın

Elinizdeki sistem parolalarının veya standart hesap şifrelerinin; bot ağlarından gelen otomatik kırıcı (brute-force) saldırılara veya basit oltalama algoritmalarına karşı artık dünyada sıfır (%0) koruması ve kıymeti kalmıştır.

  • Çift Faktörlü Doğrulama (Multi-Factor Authentication - MFA veya 2FA): STK'nızın web mailine, veri tabanına ve özelliklede internet ödeme geçidi paneline giriş yapacak kişilerin hepsi (kurumun başkanı dahil) sisteme sadece şifreleriyle girememeli; girmek istediklerinde akıllı cihazlarına, e-postalarına veya GSM sms hatlarına gelen ikinci bir onay kodu (Authenticator / SMS) yardımıyla içeri alınmaya zorlanmalıdır.
  • Yalnızca bu ücretsiz, tek teknik eklenti ayarı tek başına bir internet ağını; dış siber otomasyon saldırılarının (kırıcıların) %99.8'inden anında ve doğrudan tamamen korumaktadır.

3. Bağışçının Kredi Kartı (Ödeme Şifrelerini) Verilerini Kesinlikle Kendi Bünyenizde Asla Tutmayın

Afrika, Güney Amerika veya bulunduğunuz devlette sivil toplum için ulusal bazlı çalışıyor olsanız bile; e-ticaret sitelerinin on milyonlarca dolarlık bulut bütçesine sahip olmadığınız sürece bağışçılarınızdan gelen "Ham 16 Haneli, Açık, Gizlenmemiş" donör CVV kredi kart numarasını "Benim Sunucularıma / Kendi Sitemin Hostuna Kaydedeyim" riskini asla ve asla denemeyin!

  • Ödeme Verisi Tokenizasyonu (Tokenization): Her zaman Stripe, PayTR veya Iyzico gibi dünyaca tanınmış, şifreleme alt yapısına sahip saygın bir 3. taraf sivil sanal pos (ödeme) işlemcisini kendi sisteminize bir "Pencere/Köprü" kurarak bağlayın. Bağışçı süzülerek kendi CVV numarasını tuşladığında; bu güçlü güvenlik kurumları (sağlayıcılar), numarayı anında tamamen anlaşılmaz bir (Token) karmaşık kriptolu hash dizesine dönüştürecektir.
  • Eğer bir felaket olur ve bir gün günün birinde sizin sivil toplum örgütünüzün zayıf web sunucusu hacklenirse; bilgisayar korsanları o veritabanında "insanların açıkça görünen kredi kartlarını" DEĞİL sadece ne idüğü belirsiz işe yaramayan, kilitli dize karmalarını ele geçirecektir. Sorumluluğunuz dramatik biçimde azaltılmış ve donörler kurtulmuştur.

4. Tüm Yazılım, Tema, Modül ve CMS Güncellemelerini Düzenli (Kesin) Takip Edin

Platformunuz milyonlarca sivil organizasyonun çokça kullandığı standart CMS (WordPress gibi) tabanlarına inşa edilmiş ise "Düzenli Güncelleştirme (Update)" kelimesi kuralların en mutlak dinidir.

  • Siber korsanlar ellerinde kahveleriyle hangi siteyi hacklesek diye boşça oturup beklemezler, 7/24 internetin en ücra, bilinen güvenlik yamalarını yapmamış (veya tembel davranmış) "Unutulmuş Yazılımlarına ve Açık kapılarına Sahip Siteleri" taramak üzere yüzlerce otonom zombi bot gönderirler.
  • Aylık Bakım: O çekirdek alt yapınız, beğendiğiniz temanız ve hatta tek işlem bile görmeyen her eklentinizin çıktığı o an da 'acilen' güncellendiğinden şüphe duymayın. Kurduğunuz ama kullanmaktan vazgeçtiğiniz (ve sistemi yavaşlatan) her "Durdurulmuş / Devredışı (Inactive) Modülleri ve Eklentileri" anında komple çöpe stin (Silin).

5. Acil Olay Müdahale Planı (Kriz Komitesi) Oluşturun

İnternet gibi bir çağda ne yazık ki dünyanın hiçbir yerinde siber güvenlik için %100 "kurşun" geçirmezlik sözü verilemez. Her ihtimale karşı "En Kötü Senaryo" anayasası hazır olmalıdır.

  • Veri ihlali olduğu bir sabah saniyer tıkırdar; veri kanunları yetkililerine (Dünyada GDPR, lokal de KVKK vb standartları) ilk etapta ne bildireceksiniz? Hangi harici Acil PR siber sözleşmeli ajansınız bu duruma hızlıca yanıt verip gazetecilere gerekli ve yumuşatıcı / doğru kriz bilgisini sunacak? Çöken tehlikeli sızdırılmış ağ sunucusunun doğrudan fişini "teknik" odada çekecek personel şuan nerede ve kim? (IT ekibi var mı?)
  • Elinde bu tatbikat edilmiş senaryoları belgelemiş Kurumsal bir "Veri Ve Olay Müdahale Gücü/Planı", ekiplerinizin başlarına çorap örüldüğünde en doğru hukuki ve halkla ilişkiler kararlarını vererek itibar krizin zararlarını (tamir edilemez en büyük darbeyi) atlatmalarını garantileyecektir.

Güven denen devasa varlığı kurmak bir vakıf için on yıllar; onu yok etmek bir siber korsan için yalnızca beş saniye sürer. Gelin kurumsal altyapınızı Echo Lab ile sağlama alalım. Echo Lab, ticari / sivil toplum (NGO) sektörüne doğrudan, uluslararası güvenlik standartlarını benimseten profesyonel bir Kurumsal Web Yapılanmaları geliştiricisi ve 'Önleyici Siber Atak (Danışmanlığı/Uyarlaması) partneridir'. Varlığınızı güvence ve kalkan altına almak için EchoLab ile Güvenli Geleceğe Yürüyün.