Kurumsal Siber Güvenlikte İçeriden Gelen Tehditler

Siber suçlar ve güvenlik ihlalleri hala yükselen eğilimler sergilemeye devam etmektedir. Yapılan araştırmalara göre, son 10 yıldır güvenlik ihlal sayısında yıllık %10-20 artışlar olmaktadır. İçinde bulunduğumuz COVİD-19 salgın sürecinde ise %300’lere varan artışlar yaşanmıştır.

Siber Güvenlik ihlallerinin en yaygını olan veri ihlali, korunan verilere yetkisiz bir şekilde erişildiği veya ifşa edildiği bir olaydır. Bu tür olaylara iç veya dış aktörler neden olabilmektedir. İç tehdit aktörleri kötü niyetli veya dikkatsiz kullanıcılar ya da çalışanlardır. Dış tehdit kategorisinde ise bilgisayar korsanları, siber suç örgütleri ve devlet destekli aktörler yer almaktadır. Haberlerde görünen veri ihlalleri genellikle yabancılar tarafından gerçekleştirilmektedir. Dışarıdan gelen saldırılar genellikle “derinlemesine savunma” yaklaşımı ile geleneksel güvenlik önlemleriyle ele alınan tehditleri ortaya koymaktadır. İçeriden kaynaklanan tehlikelerin önlenmesi ve tespit edilmesi daha zordur; çünkü içerdekiler kuruluşun ağ topolojisine, sistemlerine, yönergelerine ve politikalarına aşina oldukları için yüksek bir tehlike oluşturmakta ve nispeten düşük kısıtlamalarla gizli bilgilere erişebilmektedirler.

Siber suçları analiz edildiğinde görülmektedir ki çoğu zaman “iç tehdidin” tehlikeleri genellikle hafife almaktadır. Oysa içeriden gelen tehditler kuruluşlar için önemli risk oluşturmaktadır ve geçmiş yıllarda en yaygın saldırı kaynağı olmasalar bile, kurtarılması en pahalı ve zor olanlardır.

Literatürde iki tür içeriden kullanıcı sınıflaması vardır: kötü niyetli kullanıcılar (yukarıda açıklandığı gibi kurumlara kasıtlı olarak zarar verenler) ve kasıtsız iç tehditler (aşağıda açıklanacağı üzere yanlışlıkla, bilgisizlik ya da tedbirsizlikten gizli verileri ifşa edenler). Bu faaliyetler işletmenin bilgi güvenliği temel prensipleri olan gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atmaktadır.

“Kötü niyetli” içerden tehditlerin farklı tanımları olabilmektedir. Ancak; “Kötü niyetli bir iç tehdit, mevcut veya eski bir çalışan, anlaşmalı tarafa veya bir kuruluşun ağına, sistemine veya verilerine erişim yetkisi olan veya yetkilendirilen ve bu erişimi kuruluşun bilgi veya bilgi sistemlerinin gizliliğini, bütünlüğünü veya kullanılabilirliğini olumsuz etkileyen bir şekilde kasten aşmış veya kötüye kullanmıştır.” tanımı oldukça kapsamlı ve yaygın kabul görmektedir. Kötü niyetli kişilerin motivasyonları şunlar olabilir: parasal kazanç, hoşnutsuz bir çalışan, yetki, ideoloji veya sahtekarlık, sabotaj, casusluk ve gizli bilgilerin çalınması veya kaybolmasının sonuçları ile dış etki vb.

“Kasıtsız” iç tehdit, “ bir kuruluşun ağına, sistemine veya verilerine erişimi olan veya yetkisi olan ve kötü niyetli olmayan eylem veya eylemsizlik yoluyla zarar veren veya gelecekte kuruluşun bilgi veya bilgi sistemlerinin gizliliğine, bütünlüğüne veya kullanılabilirliğine ciddi zarar verme olasılığını önemli ölçüde arttıran mevcut veya eski bir çalışan tarafından oluşturulan zafiyet” olarak tanımlanabilir. 

Siber Güvenlik ve İçeriden Gelen Tehditler      

İçeriden gelen tehditler; firmalar, kuruluşlar ve devlet kurumları için en büyük siber güvenlik tehlikesi olarak kabul edilebilmektedir. Güvenlik şirketi Clearswift’e göre, “Kuruluşlar, siber güvenlik olaylarının %42’sinin kendi çalışanlarının eylemlerinin bir sonucu olarak meydana geldiğini bildirmektedir.”

İçerdekilerin (çalışan ya da kullanıcı) getirdiği tehlikelerin, riskleri değerlendirilirken göz önünde bulundurulması gereken birden fazla değişken vardır, teknoloji tek başına yeterli değildir.

  • İçeriden bir kişi mevcut fiziksel ve teknolojik güvenlik kontrollerini yasal haklar yoluyla kolayca atlatabilmektedir. Hatta çalışanların günlük görevleri için kuruluşun verilerine erişmesi gerekmektedir. Kötü niyetli aktiviteyi tespit etmek son derece zor ve zaman alıcıdır.
  • Teknik bilgiye sahip ya da mevcut sistemin zafiyetlerini bilen çalışanlar yürürlükte olan güvenlik kontrollerinden kolayca kurtulabilirler.
  • Kontroller kötü niyetli eylemleri algılayabilir ve engelleyebilir, ancak ayrım gözetmeden kullanıcıları önlemek istiyorsak ek bilgiye ihtiyacımız bulunmaktadır. İnsan davranışının, tavır konusunda büyük etkisi vardır ve bazen bir kişinin diğer eylemlerini tanımlamaya yardımcı olan göstergeler sağlayabilir. Yani ortaya çıkan yöntem duygu analizine odaklanmaktadır. Hoşnutsuz çalışanların izlenmesi ve belirlenmesi, ayırım gözetmeyen faaliyetlerin tecrit edilmesi şansını büyük ölçüde artırabilir.
  • Kötü niyetli faaliyetleri önlemek için farklı kontrollerden verilere ihtiyaç bulunmaktadır. Genellikle kuruluşun tamamında kullanıma açık bilgilerin güvenliği tehlikeye girebilmektedir. Bunun için, verilere yasal olarak erişebilmek için farklı paydaşların onayını almak gerekmektedir. Kuruluş içinde verilere ulaşım ve işleme ile ilgili ham veriler incelenerek herhangi bir ihlal veya şüpheli davranış durumunda Güvenlik Operasyon Merkezi’nin (SOC) uyarılmasına yardımcı olabilecek önemli bilgiler verebilmektedir.
  • Verilerin gizliliğini yasalara uygun olarak korumak her firma ve kuruluş için zorunludur. İç tehdit analistlerinin, Kişisel Verilerin Korunması da dahil olmak üzere gizlilik ve özgürlük ile ilgili düzenleme ve yasalara uyması zorunludur.

NATO’nun Kooperatif Siber Savunma Mükemmeliyet Merkezi (CCDCoE) tarafından yürütülen bir araştırma, tehditleri beş ana farklı alanda sınıflandırmaktadır:

  1. Dolandırıcılık: Kurumsal yada kişisel bilgi ve verilerinin kişisel kazanç için kullanılmasıdır.
  2. Bilgi Teknolojileri Sabotajı: Kuruma karşı büyük ve öngörülemeyen bir eylem olarak altyapının veya sistemlerin kullanılabilirliğinin engellenmesi ya da bozulmasıdır.
  3. Fikri Mülkiyet Hırsızlığı: Kurumun telif haklarını, patentleri, markaları, teknik ve ticari sırları izinsiz olarak kurum dışına çıkarılması, çalınması, satılması ya da kazanç için kullanılmasıdır.
  4. Casusluk: Kurum ya da devlete ait planlar ve faaliyetler hakkında yasadışı olarak bilgi edinilmesi durumudur.
  5. Kasıtsız: Kötü niyetli olmayan çalışan ya da kullanıcıların eylemleri veya davranışlarından kurumların olumsuz etkilenmesidir.

 

Siber Güvenlik Noktasında Yapılması Gerekenler

Dikkatsizliğin bir sonucu olarak kasıtsız aktörler de büyük bir güvenlik ihlaline neden olabilmektedir ve bu, kötü niyetli eylemler kadar zarar verebilmektedir. Gizli bilgilerin; açık kaynaklı olarak ve sosyal medyada açıklanması, kimlik avı kampanyalarına yanlışlıkla yanıt verilmesi veya internetten kötü amaçlı kodların indirilmesi, kuruluş için ciddi sonuçlar doğurabilecek ihmalkâr faaliyetlerin örnekleridir.

İçeriden gelen tehditleri önleme, tespit etme ve bunlara müdahale etme şansını artırmak için, kuruluşun genel güvenliği iyi yapılandırılmış ve organize olmalıdır. Her yöneticinin bu konuda çalışanlara liderlik etmesi ve örnek olması çok önemlidir.

Kurumlarda (kamu kurumu ya da şirket), konunun ana sorumlusu bir baş bilgi güvenliği görevlisi (CISO) olmalı ve onun liderliğinde Kurum, uzun vadeli bir vizyon ve iç tehdit programını (İTP) da içeren bir eylem planı ortaya koymalıdır.

Etkili bir İTP, insan kaynakları, bilgi güvencesi, hukuk ve bilgi işleme bölümü gibi farklı paydaşların katılımını içermelidir. İTP için en iyi uygulamalar, genel riski azaltmak için en azından aşağıdaki alanları dikkate almalıdır:

  • İdari kontroller: Kanunlar, direktifler ve düzenlemelerin gerektirdiği idari kontroller açıkça belirlenmeli ve uygulanmalıdır. Kurumun sistemi, ağı ve bilgilerinin kabul edilebilir bir seviyede kullanımı kriterlerini belirlemek önemlidir. Bu çalışanlardan ne beklendiğini ortaya koymak ve ihlallerin olası sonuçları açısından önemli ve değerli bir caydırıcılık yöntemidir.
  • Teknik kontroller: Teknik kontrol genellikle her İTP’nin omurgası olarak kabul edilmektedir. Veri kaybı önleme, e-posta izleme, web vekil sunucu, sahte cihaz algılama, uç nokta analizi, güvenlik bilgileri ve olay yönetimi (SIEM), veri sızıntısını algılayabilen ve önleyebilen güvencelerdir. Son yıllarda güvenlik, Kullanıcı ve Varlık Davranışı Analizi (UEBA) adı verilen yeni bir özellik geliştirmiştir. Bu; yönlendiriciler, sunucular ve uç noktalar gibi kullanıcılar dışındaki varlıkların davranışsal analizini içermektedir. UEBA, karmaşık saldırıları tespit etmek için birden fazla kullanıcı ve bilgi ve iletişim teknolojisi (ICT) cihazındaki davranışı analiz edebiliyor olmasından dolayı oldukça etkilidir.
  • Fiziksel kontroller: Fiziksel kontroller, fiziksel varlıklara ve bilgi sistemlerine yetkisiz erişim riskini kontrol etmek ve en aza indirmek için hayati öneme sahiptir.
  • Güvenlik farkındalığı: Kurum çalışanlar ve kullanıcılar, kendilerinden ne beklendiğini ve hangi tehditlere maruz kalabileceklerini açıklamak için içeriden gelen tehdide adanmış belirli bir bölümle birlikte güvenlik farkındalık eğitimi almaları gerekmektedir. Kasıtsız iç tehdit, sosyal mühendislik yoluyla dışarıdan işe alınmışta olabilir. Tüm çalışanların, bu tür tehlikeler hakkında bilgili hale getirilmesi ve kuruluşun güvenlik bariyerindeki zayıflıktan nasıl kaçınacakları hakkında eğitilmesi önemlidir.
  • Olay müdahale: Kuruluşlar, kötü niyetli veya kasıtlı olmayan bir iç tehditlere müdahale etmeye hazır olmalıdır. Bunun için uygun iş akışılarının belirlenerek eylem planının olmalıdır. Aynı zamanda, olay ve müdahale raporlama, yönetimi bilgilendirme ve gerektiğinde iç soruşturma da iş akışı ve eylem planlarında yer almalıdır.

Sonuç

İç tehdit her zaman dış tehditten daha tehlikelidir. İçeriden gelen bir tehdidi sınırda durdurmak zor olduğundan, erken tespit sağlamak hayati öneme sahiptir. Modern bilgi ve iletişim teknolojisi altyapısında çeşitli teknik kontroller uygulanmakta ve yetkisiz erişim, kuruluş politikalarının ihlali, hakların kötüye kullanılması ve veri kaybı gibi şüpheli etkinlikler belirlenebilmektedir. Bununla birlikte, siber güvenlik sadece teknolojiyle ilgili bir şey değildi.

Siber Güvenliğin sağlanması bir “Risk Yönetim” süreci olup İnsan, Sistem/Süreç ve Teknoloji olmak üzere üç boyutlu bir olgudur. Gerek iç ve gerekse dış tehditlere karşı, bilgi varlıkları ve bilişim sistemlerini korumak çok boyutlu bir savunma stratejisi gerektirmektedir.

Abonelik talebiniz geçersiz. Lütfen tekrar deneyin.
Başarılı bir şekilde abone oldunuz.

Email Aboneliği

Makalelerden, sunumlardan ve paylaşımlardan hemen haberdar olmak için email bültenine abone olun

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir