İç tehdit, bir kuruluşun verilerine meşru erişimi olan kişilerin neden olduğu bir veri ihlali güvenlik riskidir. İçeriden gelen tehditler kasıtsız ya da kötü niyetli olabilir. Dijital çalışma alanlarının artması, uzaktan çalışmanın yaygınlığı ve şirketlerin esnek politikalar uygulaması nedeni ile bu tür tehditler giderek yoğunlaşmaktadır.
İç tehdit nedir?
İç tehdit, bir kuruluşun verilerine erişimi olan iç operasyonlardan veya kişilerden kaynaklanan, bir kuruluşa yönelik kötü niyetli veya belki de kasıtsız tehdittir.
İçeriden kaynaklanan bir tehdit olayının genel maliyeti 2020’de 11,45 milyon dolardan 2021’de 15,4 dolara yükselmiştir. Daha iyi bir bağlam için, genel maliyetler 2018’de 8,76 milyon dolardı (Ponemon). Bir iç tehdidi tespit etmek ne kadar uzun sürerse, maliyetler de o kadar yüksek olur. Ortalama olarak, bir iç tehdit olayını kontrol altına almak yaklaşık üç ay (85 gün) sürmektedir. Keşfedilmesi 90 günden fazla süren olayların şirketlere maliyeti 17,19 milyon dolar, 30 günden kısa sürede keşfedilen olayların ortalama maliyeti ise 11,23 milyon dolar olmuştur.
Dijital çalışma alanları, esnek ve uzaktan çalışma ve BYOD yaklaşımları nedeniyle içeriden gelen tehditler artıyor. Toplam vaka sayısı son iki yılda yüzde 44 oranında artmıştır. Bu tehditlerin çoğu kasıtsızdır, %56’sı ihmalkâr çalışanlardan dolayı kaynaklanırken, %26’sı kötü niyetlidir.
İçerideki kötü niyetli kişilerin şirket verilerini kötüye kullanma motivasyonları farklılık gösterebilir. Şirkete zarar vermek ya da para kazanmak isteyebilirler. Çalışanlar ihmalkar davranıp verileri yanlışlıkla şirket dışına da gönderebilir.
Kişisel verileri işliyorsanız ve CRM’inizde isimler, iletişim bilgileri, güvenlik numaraları, kart numaraları vb. varsa, veriler herkesin satın alabileceği dark web’de satılabilir. Ürün veya hizmet satıyorsanız ya da müşterilerden uygulama verileri topluyorsanız şirketiniz risk altındadır.
Müşteri veri tabanlarınız varsa, verileriniz doğrudan bir rakibe satılabilir, bu durumda rakibiniz müşterileriniz hakkında değerli bilgilere erişebilir ve onları kolayca cezbedebilir. Örneğin, finansal hizmetler, leasing vb. sağlıyorsanız bu durum gerçekleşebilir.
İçeriden Gelen Tehdit Türleri
İçeriden gelen tehditler aşağıdaki kategorilere ayrılabilir:
- Veri satıcısı – bir şirketin verilerini satmak için finansal olarak motive olan bir çalışan. Böyle bir çalışan şirketinize isteyerek zarar verebilir. Şirketinizin verileri dark web’de (kişisel verilerle çalışıyorsanız) veya doğrudan rakiplerinize (örneğin, müşteri veritabanları) satılabilir.
- Tembel çalışan – ihmalkar olan ve şirketin güvenlik politikalarına uymayan çalışan. Bu tür bir çalışan sadece işini yapar ve veri güvenliğin karmaşıklığını kavrayamaz. Bir şirketin politikaları çok katıysa ve günlük işleri daha karmaşık hale getiriyorsa, uyumsuzluk riski artar.
- Sahip – işten ayrılan ve çalıştıkları süre boyunca yarattıkları her şeyin kendi mülkleri olduğunu düşünen çalışanlar. Gelecekte çalışacakları firmada kullanmak üzere verileri yanlarında götürebilir veya bir şirketin müşterilerini bir rakibe götürebilirler.
- Saf çalışan – kimlik avı kampanyasının kurbanı olan bir çalışandır. Örneğin bir eposta ekini açar veya dışarıdan bir sosyal mühendis tarafından gönderilen bir e-postaya tıklar, bu kişi çalışanın kimlik bilgilerini çalar ve şirket verilerine erişir. Hırsız daha sonra çalışanın kimliği altında hareket ettiği için bu tür bir sızıntıyı tespit etmek çok zordur. İyi bir DLP yazılımı bu konuda yardımcı olabilir.
İç tehditlere karşı nasıl korunabiliriz?
Hassas verileri güvende tutmak çeşitli yaklaşımların bir kombinasyonunu gerektirir. Ancak verilerinizi içeriden gelebilecek tehditlere karşı korumak göründüğünden daha kolaydır.
Güvenlik politikalarınızı değerlendirin
Güvenlik politikalarınızın açık ve kolay anlaşılır olduğundan emin olun. Politikalarınız ne kadar karmaşık olursa, çalışanların bunları görmezden gelme ihtimali de o kadar yüksek olur. Çalışanlarınızın veri güvenliğinin neden önemli olduğunu ve hassas verileri neden özenle kullanmaları gerektiğini anlamaları da önemlidir.
Yeni işe alınanları tarayın ve güvenliği tehlikede olan çalışanlarınızı izleyin
Yeni işe alımlarınızda geçmiş kontrolü yaptığınızdan emin olun. İşten ayrılan çalışanların yanlarında herhangi bir veri götürmeyeceğinden emin olmak için güvenli bir işe alım süreci oluşturun. Tehlikede olabilecek herhangi bir çalışanın farkındaysanız, gözünüz onların üzerinde olsun ve ne tür verilere erişimleri olduğunu ve buna ihtiyaçları olup olmadığını kontrol edin.
Çalışanlarınızı iç tehdit için eğitin
Veri güvenliğinin önemi bazı çalışanlar için çok anlamsız olabilir, bu nedenle onları sürekli eğitmek önemlidir. Şirketinizin ne tür verileri hassas kabul ettiğinin ve bunların nasıl kötüye kullanılabileceğinin farkında olmalıdırlar. Bununla birlikte, verilerinizin çalınmasının sonuçları konusunda da net olduğunuzdan emin olun. Amacınız, insanları verilerinizi korumaları ve dışarıya çıkarmamaları için motive etmektir.
Geçmiş olayları araştırın
İçeriden başlatılan bir veri sızıntısı yaşadınız mı? O zaman araştırma sürecinin ne kadar tatsız olabileceğini bilirsiniz. Böyle bir durum yaşandığında, olayı düzgün bir şekilde araştırmanız ve olaydan sonra uygun önlemleri almanız şarttır. Ayrıca, diğer çalışanları olay hakkında bilgilendirin ve onlara güvenlik politikalarına nasıl uyacakları konusunda tavsiyelerde bulunun.
Bir veri güvenliği çözümü uygulayın
Yukarıdaki tüm adımlar veri güvenliği konusunda size yardımcı olabilir, ancak en güçlü aracınız tüm bunları yapmanıza yardımcı olan bir yazılım çözümüdür. Bu tür bir yazılımın bir avantajı, günlük iş akışını kesintiye uğratmaması veya çalışanlarınızın verimliliğini hiçbir şekilde düşürmemesidir. Çözüm arka planda çalışır ve verileri her zaman güvende tutar.
Örneğin Safetica ile hassas verilerinizi içeriğe göre etiketleyebilir ve çalışanlarınızın bunlara nasıl eriştiğini ve bunlarla nasıl çalıştığını görebilirsiniz. Belirli güvenlik politikaları belirleyebilirsiniz, dosya işlemlerini, veri yakalamayı (ekran görüntüleri gibi) veya belirli e-posta alanlarını engelleyebilir, harici cihazların kullanımını kısıtlayabilir, buluta veri yüklemeyi kısıtlayabilirsiniz vb. Bunun da ötesinde, Safetica’nın uygulanması, entegre edilmesi ve kullanılması son derece basittir. Eğer ilgileniyorsanız, daha fazla bilgi için bu bağlantıya göz atın.
İçeriden gelen tehdit örnekleri
1. Ubiquiti
Ubiquiti, kablosuz iletişim cihazlarının dünya çapındaki en büyük üreticilerinden biridir. Şirketin çalışanları arasında kötü niyetli biri vardı. Nickolas Sharp gigabaytlarca şirket verisini çalarak işvereninden fidye almaya çalıştı.
Nickolas Sharp, gizli verileri klonlamak ve çalmak için bulut yöneticisi kimlik bilgilerini kullandı. Faaliyetlerini gizlemeye çalıştı ve kimliğinin bilinmemesi için günlük saklama politikalarını değiştirdi. Verileri elde ettiğinde, dosyaların iadesi karşılığında Ubiquiti’den yaklaşık 2 milyon dolar talep etti. Ancak şirket ödeme yapmayı reddetti, Nickolas’ı buldu ve tüm çalışanların kimlik bilgilerini değiştirdi.
Ocak 2021’de Ubiquiti bir veri ihlali bildirimi yayınladı ve Nickolas Sharp veri hırsızlığı ve gasp suçlarından tutuklandı.
2. Amazon
Ekim 2021’de birkaç Amazon çalışanı, e-posta adresleri de dahil olmak üzere müşteri verilerinin bağlı olmayan bir üçüncü tarafa sızdırılmasından sorumluydu. Bu davranış şirket politikalarını ihlal ediyordu. Şirket bu çalışanları işten çıkardı ve kolluk kuvvetlerine sevk etti. Amazon kaç müşterinin etkilendiğini hiçbir zaman açıklamadı.
3. İsveç Ulaştırma Ajansı (STA)
Eylül 2015’te İsveç hükümeti bir veri sızıntısı yaşadı ve milyonlarca vatandaşın verileri açığa çıktı. İsveç Ulaştırma Ajansı (STA) veri tabanı ve BT hizmetlerinin yönetimini İsveç dışındaki şirketlere yaptırmıştı. STA tüm veri tabanını bu şirketlerin bulut sunucularına yükledi ve bazı çalışanları veri tabanına tam erişim sağladı. Sızdırılan veriler arasında tüm İsveç sürücü ehliyetleri, İsveç’in tanık yerleştirme programının kişisel bilgileri, elit askeri birlikler, savaş pilotları, pilotlar ve hava kontrolörleri, polis kayıtlarındaki vatandaşlar, tüm İsveç hükümet ve askeri araçlarının detayları ile yol ve ulaşım altyapısına ilişkin bilgiler yer alıyordu.
STA’nın müdürü General Maria Ågren istifa etti ve bir İsveç mahkemesi tarafından suçlu bulundu. Bazı vatandaşlara göre yeterli olmayan aylık maaşının yarısı kadar para cezası ödemek zorunda kaldı.
Veriler halen İsveçli olmayan iki şirketin yönetimi altındadır.
4. Coca-Cola
2018 yılında The Coca-Cola Company bir veri ihlali olduğunu duyurdu. Eski bir çalışanın Coca-Cola’dan çalınan bilgileri içeren harici bir sabit diske sahip olduğu tespit edildi.
Bleeping Computer’a konuşan bir Coca-Cola sözcüsü, “Eski bir çalışanımızın şirketten ayrılırken yanında götürdüğü bilgisayar dosyalarında kişisel bilgileri bulunan yaklaşık 8.000 kişiye veri ihlali bildiriminde bulunuyoruz” dedi.
5. Trend Micro
2019 yılında Trend Micro, içerideki kötü niyetli bir kişinin neden olduğu bir kişisel veri sızıntısı yaşadı. Şirket, bazı müşterilerinin Trend Micro desteği olduğunu iddia eden dolandırıcılık aramaları aldığını fark etti.
Hemen bir soruşturma başlatıldı ve bunun içeriden bir tehdit olduğu doğrulandı. Bir çalışan, isimlerin, e-posta adreslerinin, Trend Micro destek bileti numaralarının ve telefon numaralarının bulunduğu bir müşteri destek veri tabanına erişim sağladı. Çalışan, hassas verileri üçüncü taraf kötü niyetli bir gruba sattı.
Çalışan derhal işten çıkarıldı ve müşterilere dolandırıcılık çağrılarına tepki vermemeleri tavsiye edildi.
Özet
Çeşitli “yeni normal” çalışma biçimleri nedeniyle içeriden gelen tehditler artıyor. Verilerinizi korurken, verilerinizi riske atabilecek iki tür çalışan olduğunu aklınızda bulundurun.
İlk grup, hassas verilerin üçüncü bir tarafa satılabilecek değerli bir mal olduğunun farkındadır. Bu çalışanlar sürekli olarak fark edilmeden veri çalmanın yollarını bulmaya çalışırlar.
İkinci risk grubu, verilerin önemli bir varlık olduğunun farkında olmayabilir ve bu nedenle verileri düzgün bir şekilde ele almayabilir veya kötüye kullanabilir (belgeleri yeni bir işverene götürerek). Bir şirket DLP çözümü kullanmıyorsa veya net olmayan güvenlik politikalarına sahipse kazara veri kaybı riski artar. Bunun en büyük risk grubu olduğunu ve kazara veri sızıntılarının çok yaygın olduğunu unutmayın.
Hassas bilgilerinizi güvende tutmanıza yardımcı olacak uygun önlemleri alarak verilerinizi koruyun. Verilerinizin denetimini gerçekleştirin ve kimlerin hangi amaçla erişebileceğini kontrol edin. Çalışanlarınıza da dikkat edin. Veri güvenliği hakkında eğitim, anlaşılması kolay güvenlik politikaları gibi çok yardımcı olabilir.
En büyük veri güvenliği varlığınız doğru yazılımdır. Tüm önemli özellikleri bir araya getiren ve kritik verilerinizin yanı sıra çalışanlarınızı da koruyan bir yazılım bulun. Unutmayın ki insanlar kendilerini güvende hissederse, şirketinizin verileri de güvende olacaktır.
Safetica, dijital çalışma alanınızdaki hassas veya diğer iş açısından kritik verilerin ilk (ve sürekli) keşfinden, verimli dinamik veri sızıntısı ve içeriden tehdit korumasına, diğer araçlarla ve çok alanlı bir kurumsal ortama kolay entegrasyona kadar verilerinizi güvende tutmanıza yardımcı olan bir çözüm sunar.
Son olarak, Safetica’nın uygulanması ve entegrasyonu çok kolaydır. En azından Safetica müşterileri böyle düşünüyor! Daha fazlası için: SoftwareReviews 2021 Veri Kaybı Önleme raporu
ESET Tehdit Raporu H1 2023
