Kurum İçi Veri Sızıntıları ve... - Gais Security- Gais Siber Güvenlik Teknolojileri

Kurum İçi Veri Sızıntıları ve Çalışan Riski

Kurum İçi Veri Sızıntıları ve Çalışan Riski

Özel şirketler veya kurumlarda yaşanan veri ihlallerine baktığımızda en büyük sızıntı ve ihlallerin kurum içi memnuniyetsiz çalışan, yanlış güvenlik politikaları veya hedefli olarak konumlandırılmış çalışanlardan kaynaklandığı görülmektedir. Bu durum sadece ülkemizde değil uluslararası yaşanan güvenlik risklerinin başında gelmektedir.

Yaşanan vakalarda farklı motivasyon ve sebeplerle kişilerin bu eğilimi gösterdiği aşikardır. Yaşanan sızıntılarda personelin ve firma politikalarının sebep olduğu veri sızıntılarının sebepleri şu şekildedir;

  • Memnuniyetsiz Çalışan: Çalıştığı firmanın imkanlarından memnun olmayan, mobinge uğrayan, hak ettiği değeri, maaşı ve terfiyi alamadığını düşünen personel profilidir. Terfi ve zam süreçlerinin uzaması, yaşanan belirsizlik, baskı ve sonunda hayal kırıklığının sonucu, personele el bombasının pimini çekip eline vermekten farksızdır. Burada kızgın iç müşterinin intikam duygusuyla hareket etmesi, yaşanacak sızıntı veya iş süreçlerini kesintiye uğratmakla sonuçlanabilir. Tespit edilmesi ve riskin yönetilmesi diğer profillere nazaran daha kolaydır.

 

  • Ajan (Insider) Personel: Farkında olun veya olmayın maaş verdiğiniz, günlük görev atadığınız veya yönetime getirdiğiniz çalışanlar, aslında size veya firmanıza çalışmıyor olabilir. Yani bedenen şirketinizde olan fakat tüm mesaisini bilgi elde etme veya gerektiğinde hizmet kesintisine sebep olacak uygulamaları yerleştirmekle geçiren, kurum stratejisine amacı doğrultusunda yön veren rakip firmanın, dış istihbaratın veya terör örgütünün çalışanı personel profilidir. Uzmanlık ve bilgi seviyesi yüksek olduğu için tespit edilmesi veya profillenmesi zaman alır. Yaptığım bir incelemede çağrı merkezi çalışanının aslında başka bir firma için çalıştığını, firmadan asgari ücret alan personel asıl işvereninden 2500 TL maaş ile çalıştığını görmek durumun vahametini gözler önüne sermektedir.

 

  • Ucuz Güvenlik Algısı: Yapılacak bir güvenlik yatırımın doğruluğu veya alınacak hizmetin kalitesi, işi vereceğiniz firma ve o işi yapacak, klavye başına oturacak personelin kalitesi ile doğru orantılıdır. Bugün hiç bir firma/kurum kritik bilgilerine veya veri merkezine niyeti kötü bir firmayı veya kişiyi sokmak istemez. Ama aynı tehditi barındıran firmaların veya kişilerin yapılan bir ihalede en ucuz teklifi vererek, kurumun en mahrem sistemlerine erişmesi mümkün olmaktadır. Neden mi? Yapılan ihalede en ucuz teklifi verdi! Özellikle ülkemizde yapılan ihale ve satınalma süreçlerinin temelinde ucuza mal etmek olması, kendi elinizle en kritik bilgileri başkalarına vermeniz ve üzerine para ödemenizle sonuçlanabilir. Konu bilgi güvenliği ve ulusal güvenlik olduğunda paranın birinci sırada olması hatalı bir davranış olarak karşımıza çıkmaktadır. Bu bakış açısının değişmesi ve satınalma yapan personellerin bu konuda bilinçlendirilmesinde fayda var aksi durumda 2000 TL ‘ye kepenk kapatırsınız.

 

Bilgi İşlem departmanları  firmanın veya o kurumun beyni hükmündedir. Nasıl ki ameliyat olacağınız zaman doktor araştırıyorsanız, önceki başarılı başarısız vakalarını inceliyorsanız ve para sizin ilk planda değilse, kurumun en kritik verilerine neşteri vuracak kişiyi seçerken de aynı hassasiyeti göstermelisiniz. Aksi durumda masada “Ex” olmasın. Konu bilgi güvenliği olduğunda otopsi yapacak elinizde kadavra da kalmayabilir.

 

Eğitimsiz Personel: Sadece mezuniyetine veya referansına bakılarak alınan  personel yeterli bilgi güvenliği farkındalığı ve eğitiminden geçmemiş ise elinde tuttuğu gücün ne olduğunun farkında olmayabilir. Bir domain admin veya DB admin personelin kuruma vereceği zararı kimse veremez. Bu yüzden özellikle kritik bilgi belge ve görevlere seçilecek kişilerin sağlam bir mülakattan geçirmelisiniz. Ek olarak bilgi güvenliği farkındalık eğitimleri aldırmalı, yakın temasta olmalısınız.

 

Marka Bağımlılığı: Konu siber güvenlik olduğunda alacağınız hizmet veya ürünün kalitesi firma ve markadan bağımsız size danışmanlık veren personelin deneyimi ön plandadır. Kimse freni patlamış bir ferrariye binmek istemez. Özellikle backdoor konusunda afişe olmuş firma ve ürünlerden uzak durmalı, rakibinizi kapıya bekçi olarak koymamalısınız.

Peki tüm bu riskleri nasıl minimize ederiz?

  • İstemci, sunucu, ağ ve güvenlik cihazlarından alınan log kayıtlarının analiz edilmesi ve anlık izlenmesi.
  • Özellikle uluslararsı başarıya imza atmış milli ürünleri de ihale süreçlerine dahil etmelisiniz.
  • Afişe olmuş backdoor barındıran ürün ve bu misyonda kurulmuş firmalardan uzak durmak.
  • Personel teknik ve farkındalık eğitimlerine önem vermek.
  • İş alımlarında teknik mülakat,kişilik analizi ve güvenilirlik araştırması yapmak.
  • Marka ve firma bağımlılığını ortadan kaldırmak.
  • Bilgi Güvenliği konusunda birden fazla firma ile çalışmak.
  • Yatırım ve hizmetlerde ucuza kaçmayıp, ihtiyacınız olanın en iyisini almaya özen gösterin.
  • Kritik personelin imkanlarını iyileştirmek ve memnuniyetini arttırmak.
  • Firmanızı ve kurumunuzun güvenlik açıklarını ve risklerini dış tehditlere karşı sürekli izleyen, takip eden hizmetler edinin.
  • Kritik bilgileri sınıflandırın ve hangi personelin ne zaman, hangi seviyede erişebileceğini belirleyin.
  • Bilgi Güvenliği Yönetim Sistemini işletmek ve yönetimi süreçlere dahil etmelisiniz.
  • Yapacağınız yatırımlarda ürünü getiren kızın güzelliğine değil, ne getirdiğine bakın. Aksi durumda ürün girdiğinde, siz çoktan gitmiş olursunuz.
  • Güvenlik açığınızı size bildiren kişilere teşekkür maili gönderip, küçük bir hediye verin.
  • Fiziksel güvenlik de artık dijital güvenlik kapsamında değerlendirilmeli.
  • Ofis evraklarını kağıt kıyma makinelerinden geçirmeli, attığınız çöpü kimin aldığına bakın.
  • İşinin ehli personel ve firma bulmak için çaba gösterin.

 

Siber Güvenlik konusundaki bilinçsiz atılan her adım, sizi rakiplere çalışan firma veya kurum haline getirir. Sürekli doldurmaya çalıştığınız kap delik durumdayken, daha fazla su koymanız kabı doldurmayacak. Sızıntı olan delikleri kapamanız dileğiyle...

 


Editor 05.01.2018