Siber saldırılar denildiğinde akla ilk olarak dışarıdan yapılan hacker girişimleri gelir. İçeriden kaynaklanan tehditler ise çoğu zaman göz ardı edilir. Ancak IBM’in verilerine göre şirketlerin %83’ü içeriden kaynaklanan güvenlik ihlalleriyle karşı karşıya kalmış durumda. Dahası, 11 ila 20 arası iç tehdit vakası yaşadığını belirten şirketlerin oranı %21’e çıktı. Oysa bu oran 2023’te sadece %4’tü. İç güvenlik ihlalleri hangi amaçlarla ve hangi yollarla hayata geçiriliyor? Bu tehditlere karşı nasıl önlem alınabilir? Gelin birlikte inceleyelim.
Para mı, İntikam mı?
Kendi deneyimimden bir örnek vererek başlayayım. Büyük bir perakende şirketinde çalışan satış müdürü ile rakip firmanın yöneticisi arkadaşmış. Birlikte basit ama etkili bir dolandırıcılık planı yapmışlar: Satış müdürü, potansiyel müşterilere ait bilgileri belirli bir ücret karşılığında rakip firmaya iletecekti. Ancak şirketin bilgi güvenliği uzmanı, satış müdürünün müşteri veritabanını harici bir diske kopyalamaya başladığını zamanında fark etti. Bunun üzerine hemen şirket içi bir soruşturma başlatıldı ve olası bir veri sızıntısı önlenmiş oldu.
Kâr amacıyla yapılan bu tür girişimler aslında oldukça yaygın. Ancak her zaman sebep para olmuyor; bazı durumlarda çalışanlar, intikam amacıyla da şirkete zarar verebiliyor.
Örneğin, Singapur merkezli National Computer Systems (NCS) adlı şirkette tam da bu türden bir intikam vakası yaşandı. Şirketin eski çalışanlarından test uzmanı Kandulu Nagaraju, işten çıkarıldıktan sonra öfkesini şirkete yöneltti ve 180 test sunucusunu sildi. Bunu yapmak için hazırladığı bir komut dosyasını (script) kullandı. Olayın şirkete maliyeti tam 678 bin dolar oldu. Nagaraju, performans yetersizliği gerekçesiyle işten çıkarılmıştı ancak kendi katkılarının yeterince takdir edilmediğine inanıyordu. Eski kullanıcı hesabının hâlâ aktif olduğunu fark edince bu durumu fırsata çevirdi ve sistemlere zarar verdi. Yaşananlar sonrası 2 yıl 10 ay hapis cezası aldı.
Bilgisizlikle Gelen Zarar
Ayrıca, bilgi güvenliği kurallarına yeterince hâkim olmayan çalışanlar, farkında olmadan veri sızıntılarına neden olabiliyor. Bunun bir örneği ABD’de özel bir sağlık hizmetleri firması olan Ascensio’da yaşandı. Bir çalışan, güvenli sandığı bir dosyayı indirerek şirketin sistemine zararlı yazılım bulaştırdı. Bu da hacker’ların dosya sunucularına sızmasını ve hasta verilerini çalmasını sağladı. Olayın ardından Ascensio, bazı iş süreçlerini durdurmak zorunda kaldı ve geçici olarak kâğıt tabanlı işlemlere geri döndü.
Arka Kapı: Tedarikçi Üzerinden Gelen Tehditler
Siber saldırganlar, bazen büyük şirketlere doğrudan ulaşmak yerine, onların daha zayıf halkası olan dış tedarikçileri hedef alıyor. Geçtiğimiz yıl Netflix bu tür bir saldırıyla karşılaştı. Sosyal medya ve forumlara, yayınlanmamış yeni dizi ve filmlerin görüntüleri sızdı. Netflix duruma hızlıca müdahale ederek, post-prodüksiyon sürecinde çalışan bir iş ortağının hacklendiğini açıkladı. Şirket, sızan görüntüleri kaldırmak için girişimlerde bulundu ve yeni tanıtım videoları yayımladı. Ancak iş işten geçmişti; izleyiciler artık spoilerları almıştı.
Benzer bir olay, bulut hizmeti sağlayıcısı Snowflake’te yaşandı. Kimliği belirsiz bir kişi, şirketin 165 müşterisinin hesaplarına erişerek terabaytlarca veri çaldı. Etkilenen müşteriler arasında dünya çapında tanınan markalar da vardı. Bu saldırı, tarihin en büyük veri sızıntılarından biri olarak değerlendiriliyor. Örneğin, İngiltere’nin önde gelen bankalarından Santander’in 30 milyondan fazla kart sahibine ait veriler bu saldırı sonucunda ifşa oldu. Soruşturmada, saldırganın önce Snowflake’in dış tedarikçilerinden birini hedef aldığı, ardından onların hesaplarını kullanarak şirketin sistemine sızdığı öne sürüldü.
Olayın temel nedeni, demo ve müşteri hesaplarında çok faktörlü kimlik doğrulamanın (MFA) kullanılmıyor oluşuydu. Bu güvenlik açığı, saldırganın sistemin içine sızmasına olanak sağladı. Snowflake, olayın ardından tüm kullanıcılar için MFA kullanımını zorunlu hale getirdi ve güçlü şifre politikaları getirdi.
Yeni Teknolojiler, Yeni Tehditler
Deepfake teknolojileri de hacker’ların yeni silahlarından biri haline geldi. Giderek daha fazla dolandırıcılık vakası bu yöntemle gerçekleştiriliyor. Bu teknolojiyle yapılan ciddi dolandırıcılıklardan biri, Hong Kong merkezli uluslararası bir şirkette yaşandı. Deepfake video görüşmesi kullanan saldırganlar, şirketi 25 milyon dolar zarara uğrattı.
Dolandırıcılar, finans departmanında çalışan personele sahte bir e-posta gönderdi. Mesajda, İngiltere şubesinin finans direktörü gibi davranılarak acil para transferi talep edildi. Şüphelenen çalışan, kimlik doğrulaması için video görüşmesi talep etti. Görüşmeye birden fazla kişi katıldı ve hepsi İngiltere ofisindeki çalışanlara birebir benziyordu. Görüntüler ve sesler o kadar gerçekçiydi ki, çalışan ikna olarak 25,6 milyon doları transfer etti.
Dolandırıcılık ancak günler sonra, çalışan yaptığı transferin akıbetini öğrenmek için genel merkezle iletişime geçtiğinde ortaya çıktı. Hong Kong polisi, bu olayın birden fazla kişinin yer aldığı ilk deepfake dolandırıcılığı vakası olduğunu açıkladı.
Uygulanabilir Güvenlik Önerileri
Genel olarak, iç faktörlere bağlı bu tür güvenlik olaylarının büyük bir kısmı; yetkisiz erişim, zayıf altyapı ve çalışanların siber güvenlik farkındalığının yetersizliği nedeniyle meydana geliyor. Bu yüzden aşağıdaki önlemleri almanızı tavsiye ederiz:
- DCAP ve DLP sistemleri kullanın.
DCAP sistemleri, hangi bilgisayarlarda ve ağ klasörlerinde hassas verilerin bulunduğunu tespit eder, kimlerin erişimi olduğunu gösterir ve bu erişimi gerektiğinde sınırlayabilir. Böylece verilerin nerede ve nasıl kullanıldığını tam olarak görebilirsiniz. DLP sistemleri ise, e-posta, mesajlaşma uygulamaları ve bulut depolama gibi bilgi iletim kanallarını izler. Şüpheli davranışlar tespit edildiğinde engeller ve detaylı analiz araçlarıyla olayın sorumlusunu belirlemenizi sağlar. - Tedarikçi güvenliğini artırın.
Tüm dış iş ortakları için çok faktörlü kimlik doğrulama (MFA) kullanın. Hesap bilgilerini sadece yetkili kişilerle paylaşın. Güçlü şifre politikaları benimseyin ve erişimi sıkı şekilde kontrol edin. - Personeli düzenli olarak eğitin.
Çalışanlara bilgi güvenliği kurallarını öğretin. Kurumsal veri sızıntılarının sonuçlarını anlatan örneklerle dolu bilgilendirme belgeleri hazırlayın. Bu belgeler, phishing, şifre kırma, deepfake gibi tehditlere karşı farkındalığı artırır. - Ticari sırları güvence altına alın.
Hangi bilgilerin gizli olduğunu, bunların nasıl saklanması ve paylaşılması gerektiğini belirleyin. Tüm çalışanlarla gizlilik sözleşmeleri imzalayın. Böylece hem çalışanların sorumlulukları netleşir hem de olası bir dava durumunda elinizde hukuki dayanak olur.
Sonuç
Veri güvenliği; hem dış hem iç tehditleri kapsayan, çok yönlü bir yaklaşım gerektirir. Veri sızıntılarının önemli bir kısmı içeriden gelen tehditlerden – kasıtlı ya da kazara – kaynaklanır. Bu yüzden sadece hacker’lara karşı değil, içerideki risklere karşı da önlem almak gerekir. Erişim kontrolü, kullanıcı davranışı izleme ve eğitim, bu riskleri en aza indirmenin temel yollarındandır.
