Kurumsal güvenlikte iç tehditler

Kurumsal güvenlikte iç tehditler

CIO Görüşü- Türkiye Sigorta Birliği IT Müdürü/ Mustafa Özen

Güvenlik sürecinin en zayıf halkası insandır. Güvenlik perspektifinde, gerek dış tehdit aktörlerinin istismarına açık olması gerek ise iç tehdit olabilme potansiyeli nedeni ile insan faktörüne dikkat edilmelidir.

Dış tehditlere karşı çeşitli teknolojiler ile önlem alınabilir. Ancak, iç tehditler tam olarak bir teknoloji problemi değildir. Çünkü iç tehdit aktörleri, dışarıdan organizasyona saldıran saldırganlar değil organizasyon içerisinde bir takım yetkilere sahip olan çalışanlardır. Çalışanların, dış tehdit aktörleri gibi veriye erişmek için efor göstermelerine gerek yoktur. Bu nedenle, iç tehditlerin tehdit potansiyeli yüksek, tespit edilmesi ve engellenmesi zordur. Yakın zamanda yaşanan, NSA çalışanları Edward Snowden ve “2.Snowden” olarak adlandırılan Harold Thomas Martin olayları iç tehdit tehlikesini gözler önüne sermektedir. Snowden ve Martin sözleşmeli olarak NSA’de siber operasyonlar yürüten Booz Allen Hamilton firmasında çalışıyordu. İki çalışan da erişim yetkilerini kötüye kullanarak NSA’ye ait bilgileri elde ettiler. Yine ülkemizde yaşadığımız, 50 milyon Türkiye vatandaşının kimlik bilgilerinin sızdırılması olayında, kimlik bilgilerinin YSK’da çalışan birileri tarafından sızdırıldığı düşünülmektedir.

İnsanlar neden iç tehdit haline gelir?
Verizon’un, Data Breach Investigations 2016 raporuna göre finansal kazanım ve casusluk, iç tehditlerin en önemli motivasyon kaynaklarıdır. İntikam duygusu, ideolojik gerekçeler, sabotaj, kriminal organizasyonların parçası olma gibi nedenler de çalışanları iç tehdit haline getirebilir.
İç tehditleri yakalayabilmek için insanların davranışlarına ve motivasyonlarına odaklanmak gerekir. Çalışanları, iç tehdit olarak tetikleyebilecek gelişmelere dikkat edilmelidir. Performans değerlendirmesinde verilen düşük performans notu, çalışanın mali sıkıntı içerisinde olması, yapılacak bir iş için farklı düşünülmesi ve bu düşüncede ısrar edilmesi, organizasyonda uygulanan prosedür ve politikalardan hoşnutsuzluğun dillendirilmesi, çalışanın maddi durumundaki kaynağı belirsiz artışlar, tutarsız çalışma saatleri, beklenmedik yerlere beklenmedik yolculuklar, beklediği terfiyi alamama, işten kovulma ve bunun gibi gelişmeler bir iç tehditin tetiklenebileceğinin veya tetiklenmiş olabileceğinin göstergesi olabilirler. Örnek olarak, kar amacı taşımayan sağlık kuruluşu Council of Community Clinics’te Teknik Servis Yöneticisi olarak çalışan Jon Paul Oson, performans değerlendirme raporlarında kendisi için “İnsanlarla ilişkilerinde sorunlu.” değerlendirmesini görünce istifa etti. İki ay sonra kuruma bağlanıp yedekleme programını devre dışı bıraktı. Bu bağlantıdan altı gün sonra tekrar bağlanıp, bütün hasta kayıtlarını sildi. Bir başka örnek, Rajendrasinh Babubhai Makwana, Unix sistem yöneticisi olarak çalışıyordu. Birçok sunucuda izinsiz değişiklik yaptığı için işten kovuldu. Son iş gününün bitimine birkaç saat kala bütün verileri silecek bir script yazıp, kendisi ayrıldıktan sonra çalışacak şekilde zamanladı. Makwana kovulduktan sonra iş arkadaşlarından biri scripti fark etti ve çalışmadan etkisizleştirdi.

Güven duygusu aldatıcı olabilir
Genel olarak insanlar etnisite, ideoloji, taraftarlık, siyasi görüş, akrabalık gibi bir şekilde kendisi ile bağ kurabildiği insanlara güvenme eğilimindedir. Bunun yansıması olarak, birlikte çalıştığı insanlara da güvenirler ve onları bir tehdit olarak görmezler. Çalışanların, organizasyona zarar verecek davranışlarda bulanabileceği düşünülmez. Güvenlik perspektifinde, organizasyon çalışanları, organizasyona dışarıdan gelen sözleşmeli çalışanlar, iş ortakları, danışmanlar gibi verilere ve sistemlere erişebilen herkes iç tehdit aktörü olarak değerlendirilmelidir. Üst yönetim dahil her çalışanın zamanla iç tehdit haline gelebileceği daima göz önünde bulundurulmalıdır.

Çoğu zaman, oturaklaşan güven duygusu, işlerin yönetilmesini kolaylaştırmak için verilmemesi gereken izinlerin verilmesine, paylaşılmaması gereken bilgilerin paylaşılmasına neden olmaktadır. İş ortakları ile gerçekleştirilen projelerde, kurulum ve devreye alım için erişim bilgilerinin iş ortakları ile paylaşılması, kontrolsüz verilen VPN hakları, izleme ve algılama kontrollerinin olmaması veya kuralların doğru belirlenmemesi gibi nedenler, bilerek veya bilmeyerek iç tehdit aktörlerinin veri sızdırmalarına neden olabilir.

Çalışanlarınızın tehdit olabileceğini kabul edin
İç tehdit problemi olmadığını düşünen bir organizasyon aslında iç tehdit aramıyordur. Öncelikle çalışanların bir tehdit olabileceğini kabul etmek gerekir. Çünkü;
• Bazen iyi insanlar da yanlış yapabilir.
• Bazen kötü insanlar, iyi insanlar gibi görünebilir.
• Bazen iyi insanlar, kötü biri olmak zorunda kalabilir.
İç tehdit ölüm zinciri (Insider Threat Kill Chain)
Dış tehditlerden kaynaklanan siber olayların gerçekleşme yol haritasını ifade eden Siber Ölüm Zinciri, iç tehditler için geçerli değildir. Siber Ölüm Zinciri’nin temeli, erişim elde etmeye çalışmaktır. İç tehditlerin, erişim elde etmek için efor sarfetmeye ihtiyacı yoktur. Yaptıkları işin gereği olarak erişim hakkı zaten verilmiştir. İç tehditlerden kaynaklanan bir olayın gerçekleşmesinin dört aşaması vardır:
1. İç tehdit olacak kişi işe alınır veya çalışanlardan biri, yaşadığı bir olay sonrasında iç tehdit olma yoluna girer.
2. Hedeflenen veriler tespit edilmeye çalışılır.
3. Tespit edilen veriler ele geçirilmeye çalışılır.
4. DVD, CD, USB, e-mail gibi yollarla veri çalınır.
Son söz olarak, iç tehditlerden kaynaklanacak siber olayları engellemek, yakalamak ve ihlal gerçekleştiğinde müdahele etmek için insanlara ve verilere odaklanarak, organizasyonda çalışanların potansiyel risk durumu, organizasyonun mevcut güvenlik durumu ve olası ihlal durumlarında yapılacak müdaheleler tespit edilmelidir. Verilerimizi dış tehditlere karşı koruduğumuz hassasiyetle, iç tehditlere karşı da korumalıyız.

Categories: GÖRÜŞLER

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*