İçeriden Tehditler Çağında Veri Güvenliği

Çalışanlarınız çalışkan, güvenlik bilincine sahip ve aidiyeti yüksek olabilir. Ama gerçek dünya farklı bir hikâye anlatıyor. Kurumların %94’ü geçen yıl şirket içi veri ihlali yaşadı ve bunların %84’ü insan hatasından kaynaklandı. Veri ihlallerinin %66’sı kötü niyetli bir sızıntıdan kaynaklanırken, aynı çalışma Bilişim Teknolojileri (BT) liderlerinin yalnızca %28’inin “kendilerini en çok endişelendiren içeriden bilgi ihlali türü” olarak “kasıtlı olarak kötü niyetli davranışı” belirttiğine dikkat çekti. Bu noktada bir bilgi eksikliğinin söz konusu olduğu aşikâr görünüyor. Belki de hepsinden kötüsü, başka bir çalışan anketine katılanların %23’ü, yeni bir şirkete geçme durumlarında eski şirketlerinden veri alma hakları olduğuna inanıyor.

Şu vaka aslında tüm bu istatistikler için çok iyi bir örnek: İki General Electric (GE) çalışanı, işyerinde indirdikleri ticari sırları kullanarak rakip bir şirket kurdu. İki eski GE çalışanı, hapis cezası ve 1,4 milyon dolar büyüklüğünde para cezasına çarptırıldı. Bu hikaye, çalışanların şirket verilerini başka bir şirkete geçerken beraberlerinde aşma haklarının olmadığını net bir şekilde hatırlattı.

Şirket içinden kaynaklı veri ihlallerinin çoğu o kadar kötü niyetli veya bariz olmasa da, en kötü senaryoya hazırlanmak önemli…

İçeriden gelen tehdidi ne tetikler?

İçeriden gelen bir tehdit, tipik olarak sistemin güvenlik duvarı veya diğer ağ çevre savunmaları içinde dahili veya uzaktan erişimi olan kullanıcılardan gelen olası saldırılardan kaynaklanır. Bu “tehdit aktörleri” çalışanları, yüklenicileri, üçüncü taraf satıcıları, hatta iş ortaklarını içerebilir. Başka bir deyişle, ağ erişimi olan herkesi. Potansiyel sonuçlar arasında dolandırıcılık, fikri mülkiyet hırsızlığı (IP), güvenlik önlemlerinin sabote edilmesi veya veri sızıntılarına izin vermek için yanlış yapılandırmalar yer alır…

Tabii ki, içeriden gelen tüm tehditler aslında “tam olarak içeriden” gelmiyor olmayabilir. Örneğin, üçüncü bir tarafın fiziksel tesislere erişim kazandığı ve ağa doğrudan bağlanarak gelecekteki uzaktan erişim için gizli bir konuma bir yönlendirici dağıttığı durumları hayal etmek zor değil. Bu örnek, ağa onaylanmamış cihazlar eklendiğinde şirket içi güvenliğin ve erken algılamanın önemini artırıyor.

USB bellekler veya Bluetooth vericileri gibi birkaç yaygın örnek de genellikle radarın altından geçebilir.

Sisteminiz bunları algılıyor mu? Muhtemelen değil. Bu önemlidir, çünkü birkaç kilit noktayı vurgular:

Her tehdidi kapsayacak tek bir güvenlik çözümü yoktur

Potansiyel saldırganların motivasyonlarını veya modellerini bilmeden içeriden gelen tehditleri tespit etmek zordur…

İçeriden gelen bir tehdidi ne motive eder?

Potansiyel içeriden gelen tehditlerin olası motivasyonlarını nasıl tespit edip, tahmin edebiliriz? Çoğunlukla, şirketiniz için geçerli olan içeriden öğrenen tehdit aktörünün türü sektörünüze, şirket büyüklüğünüze ve BT altyapınızın kapsamına bağlı olacaktır. En yaygın tehditlerden birkaçına bakalım:

1. İnsan hatası: Çoğu şirket, aktörün kötü niyetli olmadığı durumlarda insan hatasıyla uğraşmak durumunda kalır. Çalışanlar çoğunlukla eylemlerinin güvenliği tehlikeye attığının farkında olmayabilirler (özellikle rolleri teknik bilgi içermiyorsa) ya da sadece dikkatsiz olabilirler.
2. Verilerin güvenliğini sağlama sorumluluğu konusunda yaşanan odak sorunu: Birçok BT uzmanının onaylayabileceği gibi, bazı kullanıcıların güvenliği ciddiye almak için diğerlerinden daha fazla yardıma ihtiyacı vardır. Tüm çalışanların güvenlik sorumluluğunu üstlenmesinin çok önemli olduğunun farkında olmak gerek. Yöneticiler ise güvenlik bilinci söz konusu olduğunda özellikle örnek olmalı.
3. Kötü niyet: Şirket içinde kötü niyetli kişiler, hikâyenin başka bir tarafıdır. Hedefleri genellikle çok basittir: Elde ettikleri verileri satmak veya (harici bir tarafla bağlantılı olarak) güvenlik varlıklarını uzaktan erişim için yeniden yapılandırarak bundan kâr etmek. Bu noktada maaş artışı, terfi veya gerekli itibarı alamayan hoşnutsuz çalışanların tümü potansiyel tehditlerdir.

İstihbarat, savunma ve kritik altyapı gibi hassas sektörlerdeki kuruluşlar, içeriden ek tehditlerle daha fazla karşı karşıyadır. Çalışanlar, aslında, rakip bir organizasyon için casus olabilir veya mevcut çalışanlara, bir rakibin çıkarları doğrultusunda hareket etmeleri için şantaj yapılabilir.

Şirketiniz kendisini bunun gibi tehditlere karşı kendini koruyabilir mi?

İçeriden gelen tehditlerin risk faktörleri

Kurumları içeriden gelen tehditlere karşı savunmasız hale getirebilecek şu risk faktörlerine göz alalım:

1- Erişim düzeyi: BT yöneticileriniz, tam denetime izin veren en üst düzey ağ kimlik bilgilerine sahiptir. İçlerinden birinin kendini değersiz hissettiğini ve şirketten ayrılmayı planladığını varsayalım. Yönetici, ayrılmak yerine Microsoft Office’in birkaç kopyasını yükler. Gizemli bir muhbir daha sonra BSA | Software Alliance gibi bir kuruluşu bilgilendirir ve lisans ihlali için verilen ağır cezanın bir yüzdesini alır. Daha küçük şirketler için bu içeriden gelen tehdide, hatta iflasa neden olabilir.

2- CCTV: Bir sağlık hizmeti sağlayıcısıysanız ve hastanın tıbbi kayıtlarının görüntülendiği bilgisayar ekranlarına bakan CCTV (kapalı devre) kameraları kuruyorsanız, HIPAA (ABD’de) ve diğer ülkelerde sağlık kayıtları için diğer veri gizliliği yasalarını ihlal ediyorsunuz. Bu olası bir içeriden tehdittir ve sizi yüksek cezalarla karşı karşıya bırakabilir.

3- Sosyal mühendislik: Ekibinizin üyeleri birkaç yerel kafe, restoran veya barın müdavimi olabilir. Bir gün, bir promosyonun parçası olarak, çalışanlarınızın sıkça bildiği bir yerde tüm müşterilere USB bellekler verilir. Promosyonu kabul eden herkes, bilgisayar korsanının USB bağlantı noktasına takıldığında sisteme uzaktan erişmesine izin veren bir kötü amaçlı yazılıma maruz kalır. Bu zararsız görünen aygıtlar, büyük bir yerel işveren olan şirketinizi hedef alma planıyla, sahte bir şirket tanıtımının parçası olarak bir siber korsan tarafından sunulmuştur. Kaç çalışanınız bu merak uyandırıcı ve ücretsiz USB bellekleri iş yerinde kullanacak? Bunu siz hesaplayın.

4- Uzaktan çalışma: Uzaktan çalışma giderek daha yaygın hale geldikçe, ağ altyapısının dışından kaynaklanan içeriden tehditler de artıyor. Birincisi, ağ altyapısının dışında olmak, şirket içinde ve dışında çalışmak için kullanılan tüm cihazlara aynı güvenlik araçları yüklenmedikçe bilgisayar korsanlarının erişim elde etmesini kolaylaştırıyor. Kendi cihazını getir (BYOD) trendi, özellikle bu cihazların kaybolması veya çalınması durumunda BT uzmanlarının işini karmaşık hale getirir. Tüm cihazlar için uzaktan silme işlemi mümkün olmayabilir. Ayrıca, uzaktaki bir cihaza erişimi olan birinin hassas bilgileri manuel olarak kopyalamamasını veya fotoğraflarını çekmemesini nasıl sağlayabilirsiniz?

Güvenlik ve çalışan üretkenliğini dengeleyen bir çözüme ihtiyaç var

Evet, içeriden gelen tehditleri belirlemek zor bir iştir. Ancak bunu yapmamanın sonuçları büyüktür. Veri kaybı veya güvenlik ihlalleri maliyetlidir. Herhangi bir hizmet kesintisi de pahalıya mal olur. Son olarak, çeşitli endüstri standartları ve veri gizliliği yasaları kapsamında yasal cezaların da dikkate alınması gerekir. Bu nedenle, içeriden tehdit ister perakende müşterisine yanlışlıkla toptan satış fiyatını e-postayla gönderen satış yöneticisi olsun, isterse karanlık ağda ticari sırlar satan kötü niyetli kişi, şirket mutlaka bir bedel öder.