İNSAN FAKTÖRÜNÜN SEBEP OLDUĞU SİBER OLAYLAR GENELLİKLE ÇALIŞANLARIN YAPTIĞI HATALARA DAYANIYOR. ANCAK SİBER TEHDİTLER İÇİNDE, PERSONELİN OLASI KASITLI KÖTÜ NİYETLİ DAVRANIŞLARI GÖZ ARDI EDİLİYOR. SİBER GÜVENLİK VE DİJİTAL GİZLİLİK ŞİRKETİ KASPERSKY’NİN YAPTIĞI EN SON ARAŞTIRMA, SON İKİ YILDA TÜRKİYE’DEKİ KURUMLARIN YÜZDE 73’ÜNÜN FARKLI ŞEKİLLERDE SİBER OLAYLARLA KARŞILAŞTIĞINI VE BUNLARIN YÜZDE 29’UNUN ÇALIŞANLARIN KASITLI DAVRANIŞLARINDAN KAYNAKLANDIĞINI ORTAYA KOYUYOR.
Kurum içinde gerçekleşen tehditlerin kasıtsız ve kasıtlı olmak üzere iki ana kaynağı bulunuyor. Kasıtsız veya kazara meydana gelen tehditler, kimlik avı ve diğer sosyal mühendislik yöntemlerine kanmak veya hassas ve gizli bilgileri yanlış kişiye göndermek gibi çalışan hataları olarak gözleniyor. Buna karşılık kasıtlı tehditler, işverenlerinin sistemlerine kasıtlı olarak giren kötü niyetli kişiler tarafından içerden gerçekleştiriliyor. Bu, genellikle hassas verilerin satışından maddi kazanç elde etmek veya şirketten intikam almak için yapılıyor. Dolayısıyla kurum içindeki kötü niyetli çalışanlar, siber olaylara neden olabilecek en tehlikeli gruplar olarak tanımlanıyor. Çünkü bu kişilerin eylemlerinden kaynaklanan tehditler şu faktörler nedeniyle daha da karmaşık hale geliyor:
• Kullanılan bilgi güvenliği araçlarının detayları da dâhil olmak üzere bir kuruluşun altyapısı ve süreçleri hakkında özel bilgiye sahiptirler,
• Şirket ağının içindedirler ve kimlik avı, güvenlik duvarı saldırıları gibi yollarla dışarıdan şirkete erişmeleri gerekmez,
• Kurum içinde meslektaşları ve arkadaşları vardır, bu nedenle sosyal mühendislik tekniklerini kullanmaları çok daha kolaydır,
• Kuruma zarar vermek adına yüksek motivasyona sahiptirler.
İÇ TEHDİTLERVE İŞLETMELERİN SAVUNMA STRATEJİLERİ
Çalışanların işverene karşı kötü niyetli eylemlerde bulunmasının ana nedenlerinden biri finansal kazanç elde etmektir. Genellikle bu, hassas bilgileri üçüncü bir tarafa satmak amacıyla çalmak anlamına gelir. Ayrıca, çalışanlar işten çıkarıldıklarında ya da şirket içinde bir haksızlıkla karşılaştıklarında intikam amacıyla da kötü niyetli davranışlar sergileyebilir; üstelik bunu mevcut erişim yetkileriyle ya da eğer işten çıkardılarsa diğer çalışanlarla olan bağlantıları aracılığıyla kolaylıkla gerçekleştirebilirler. Özetle, kurumsal sistemlere erişim yetkisi kaldırılmamış eski çalışanın hâlâ iş hesabına uzaktan giriş yapabiliyor olması, kötü senaryolara açık kapı bırakır.Bir diğer farklı kötü niyetli eylem türü, içerden bir veya daha fazla kişinin, organizasyonun güvenliğini veya istikrarını tehlikeye atmak amacıyla harici bir aktörle bilinçli olarak iş birliği yapmasıdır. Bu vakalar sıklıkla, özellikle siber suçluların farklı türde saldırılar gerçekleştirmek üzere bir veya daha fazla kişiyi içeriden kandırma veya işe alma yoluyla anlaşmasını temel alır. Bu tür eylemler, genellikle organizasyonun itibarına, finansal durumuna veya operasyonel etkinliğine ciddi zararlar vererek uzun vadeli olumsuz sonuçlara yol açabilir. Kaspersky Bilgi Güvenliği Başkanı Alexey Vovk, kötü niyetli çalışanların hemen her işletmede olabileceğine dikkat çekerken, “Bunu asla bilemezsiniz, işte bu yüzden işletmeler tehditlere karşı koruma sağlamak için güncel, dayanıklı ve şeffaf bir bilgi teknolojileri güvenlik sistemini oluşturmalı; etkili güvenlik çözümleri, akıllı güvenlik protokolleri ve hem bilgi teknolojileri personeli hem de diğer personel için eğitim programlarını birleştirmelidir. Bunlara ek olarak, organizasyonun altyapısını koruyacak ürünlerin ve çözümlerin uygulanması da hayati önem taşır. Örneğin Kaspersky Endpoint Detection and Response Optimum, gelişmiş anomali kontrolü içerir. Bu da şirket içinden ya da dışarıdan olsun şüpheli ve potansiyel olarak tehlikeli faaliyetleri tespit etmeye ve önlemeye yardımcı olur.” diyor.
NASIL ÖNLEM ALINABİLİR?
Kaspersky, kurum içinden gelen tehditlerle mücadelede şunları öneriyor: • Çalışanlar arasında farkındalığı artırmak ve kasıtlı bilgi güvenliği politikası ihlallerini önlemek için siber güvenlik eğitimleri uygulayın. • Bilgi teknolojileri güvenlik uzmanları için uygun eğitim programlarına yatırım yapın. Bu eğitim yazılımlarıyla basit olay müdahale senaryolarını öğrenebilir, bilgi güvenliği ekibini tehdit yönetimi ve tehditleri azaltma konusunda en son bilgi ve becerilerle donatabilirsiniz.• Gelişmiş anomali kontrolü özellikleri sunan ağ güvenliği yazılımları kullanın. Bu gibi yazılımlar, çalışanlar tarafından veya bir saldırganın sistemin kontrolünü ele geçirmesi durumunda potansiyel olarak tehlike ortaya koyan faaliyetlerin önlenmesine yardımcı olur. • Kişisel cihazların ve üçüncü parti uygulama ve hizmetlerin kullanımını kontrol edin ve sınırlayın. • Yönetici haklarının yalnızca iş için gerekli olan seçeneklerle sınırlandırılmasına izin veren ürünler kullanın. • Şirket ağı içindeki uç noktalarda türüne, platformun koruma durumuna ve kullanıcı davranışına bakılmaksızın istenmeyen veri iletimini önlemek için içerik filtreleme özelliğine sahip olan bir güvenlik yazılımına sahip olun.