Etkili veri keşfi, etkili veri güvenliği için gereklidir ve keşfin önemli bir parçası da görünürlüktür. Mükemmel keşif yöntemlerine sahip olsanız bile bunları kuruluşunuzun tüm bölümlerine uygulamadığınız sürece risk altındasınız demektir.
Gizli veriler her yerde bulunur ve şirketinizin tüm dijital ayak izini kontrol altında tutmak, güvenlik lideri olarak sizin sorumluluğunuzdadır. Veri ve varlık güvenliğini gerçekten sağlamak için tek yol budur.
Gölge BT, yapay zekâ çağında daha da önemli
Her yeni çalışan, BT ile ilgili görevler için kuruluşun protokollerine uygun şekilde dâhil edilmezse ek risk oluşturur. Çalışanın neleri paylaşabileceği ve neleri paylaşamayacağı konusunda eğitim eksikliği, riske kapı açar. Bu da kuruluşlar için önemli bir risk faktörü olabilecek gölge BT’ye yol açar.
Gölge BT, sosyal medyada yardımcı olmak için üçüncü taraf bir uygulama eklemek veya verileri saklayan bulut tabanlı bir ses transkripsiyon sitesi aracılığıyla ses kayıtları çalıştırmak kadar zararsız olabilir; ancak bu, yüksek düzeyde düzenlemeye tabi sektörlerdeki şirketler için bir mayın tarlasıdır.
Bu, yapay zekâ ile çok daha acil bir risktir. Yapay zekâ ile tek seferlik bir sohbet ya da daha karmaşık bir entegrasyon olsun, yapay zekâ söz konusu olduğunda büyük bir veri riski mevcuttur. ChatGPT’yi kullanmak, özellikle OpenAI’ye her müşteri sohbetini saklamasını emreden mevcut mahkeme kararı yürürlükteyken şirketleri veri uyumsuzluğuna düşürebilir. Daha entegre ortaklıklar söz konusu olduğunda, yapay zekâ kodlama ajanlarını kullanan şirketler, gizli ve tescilli kodların üçüncü taraflarla paylaşılması riskini taşır.
Çalışanlar, özellikle önemli belgelerin yüklenmesi veya kullanımı daha karmaşık girişimlerin bir parçası olarak veri tabanlarının entegrasyonunu içeriyorsa yapay zekâya neyin açıklanıp neyin açıklanmaması gerektiğini bilmeyebilir. Çalışanların “sadece bu seferlik” veya “sadece bu küçük, zararsız bilgi için” yapay zekâ ile paylaşmanın sorun olmadığı düşüncesine kapılmamaları için teknik güvenlik önlemlerinin uygulanması çok önemlidir.
Özellikle yapay zekânın ortaya çıkmasıyla birlikte gölge BT’yi yönetmek zorlu bir görev olabilir. Bunu tamamen ortadan kaldırmak gerçekçi değildir. Safetica’nın CTO’su Zbyněk Sopuch’un dediği gibi, “gölge BT, çalışanların kolaylık, çeviklik ve modern araçlara olan ihtiyacından kaynaklanır.”
Neredeyse tüm büyük şirketler ürünlerine yapay zekâ işlevselliği eklemiştir. Bu da yapay zekânın artık çalışanların meşru olarak kullanması gereken birçok hizmette mevcut olduğu anlamına gelir. Şirketler ayrıca yapay zekâyı birden fazla departmana dâhil etmek için kurumsal girişimlere öncülük edebilir.
Büyük veya küçük tüm bu senaryolar, şirketin verileri için yeni bir risk düzeyi ekler. Bu nedenle bir kuruluşun yapay zekâ politikası ve çerçevesini oluşturmak, güvenlik önlemleri oluşturmaktan daha da önemlidir.
Bir şirketin yapay zekâ çerçevesi, hangi kullanımların kabul edilebilir olduğunu ve hangilerinin kabul edilemez olduğunu tanımlamalıdır. Ayrıca kullanıcıların görünüşte zararsız kullanımlarla bile ilişkili tüm riskleri ve hangi hizmetlere yapay zekânın entegre edilebileceğini anlamalarına yardımcı olmalıdır.
Sopuch, yapay zekâ konusunda “kuruluşların güvenli etkinleştirmeye odaklanmaları, ekiplerin kritik sistemleri riske atmadan yeni teknolojileri keşfetmelerine olanak tanıyan ‘denemeye uygun’ sanal ortamlar ve net veri sınırları sağlamaları” gerektiğini önermektedir. Görünürlük, güven ve tanımlanmış eskalasyon yolları sağlayarak, kuruluşlar gölge BT’yi kendi avantajlarına kullanabilir ve onu “güvenlik riskinden, yaratıcılık ile kontrol arasında denge kuran, yapılandırılmış bir inovasyon yoluna” dönüştürebilirler.
Modern çalışma ortamlarında veri güvenliği gerçekleri
İnsanlar artık eskisi gibi tek bir yerde çalışmıyor. Çalışanlar bir gün içinde farklı cihazlar, konumlar ve ağlar arasında geçiş yapıyor.
Hassas veriler onları her yerde takip eder.
Bu, kendi cihazını getir (BYOD) uygulamasını da içerir ancak farklı çalışma ortamları kuruluşlar için norm hâline geldiğinden bunun ötesine geçer. Buradaki zorluk, şirketinizin birden fazla cihaz kullanımını izlemek için yeterli veri görünürlüğüne sahip olup olmadığıdır. Bu, cihazın çalışana mı yoksa şirkete mi ait olduğuna bakılmaksızın geçerlidir.
BYOD politikaları, iş ortamlarında akıllı telefon kullanımının yaygınlaşması ve buluta geçişle birlikte moda oldu. Küresel COVID salgını, birçok yerde uzaktan çalışmanın ve BYOD’nin fiili bir uygulama hâline gelmesiyle bu süreci hızlandırdı.
Görünürlüğü, yönetimi ve güvenli veri uygulamalarını kolaylaştıran çözümler, araçlar ve süreçler genellikle kişisel cihazlara yerleştirilemez. Yerleştirilseler bile mobil cihaz yönetimi (MDM) ve benzeri çözümler gibi araçlar oldukça müdahaleci olup, genellikle mülkiyet kontrollerini çalışandan alıp işverene aktarır. Doğal olarak, çalışanlar buna direnir.
Çalışanların iş kaynaklarına yalnızca şirket cihazlarından erişmelerini beklemek ve aynı zamanda bağlantılı çağımızda sıklıkla olduğu gibi “her zaman çevrimiçi” olmalarını beklemek de gerçekçi değildir. Çalışanların, onaylanmış, doğru şekilde sağlanmış ve iş için onaylanmış bir cihazdan başka bir cihazdan iş e-postalarına veya portallarına giriş yapamamaları hâlinde, “bu e-postayı hızlıca kontrol et” veya benzeri istekler tamamen durdurulabilir.
Bir güvenlik lideri olarak ister bir çalışana ait olsun ister kütüphanedeki halka açık bir bilgisayar olsun ister halka açık bir Wi-Fi ağına bağlanan işverene ait bir cihaz olsun, şirket dışındaki cihazları kontrol etmek imkânsızdır. Bunun yerine, liderler, çalışanların kuruluşunuzla bağlantılı herhangi bir şeye ne zaman ve nasıl bağlandıklarını ve verilerin kendilerini görünür kılmaya odaklanmalıdır. Bu şekilde, kullanılan cihazdan bağımsız olarak verilerinizi izleyebilir ve koruyabilirsiniz.
Veri güvenliği için üçüncü taraf riskleri
Üçüncü taraf riski her zaman mevcut olan bir gerçektir ve görünürlük ve yönetim stratejinizin bir parçası olmalıdır. Bu tür riskler SaaS sağlayıcıları, bulut hizmeti sağlayıcıları, yazılım geliştirme bağımlılıkları veya iş dış kaynak kullanımı şeklinde ortaya çıkabilir.
Üçüncü taraf görünürlüğü, üçüncü tarafların kuruluşunuzun varlıkları, verileri, entegrasyonları ve daha fazlasıyla nasıl etkileşime girdiğini ve bunlara nasıl bağlandığını ifade eder. Bir anlamda, bu bir tür Gölge BT olarak düşünülebilir ancak kendi başına dikkate alınması gereken kadar önemlidir.
Üçüncü taraflarla ilgili veri ihlallerinin sayısız örneği vardır. Örneğin, 2019/2020 SolarWinds tedarik zincirisaldırısı, federal departmanlar ve birçok Fortune 500 şirketi dâhil olmak üzere 18.000 kuruluşta kötü amaçlı yazılımların yüklenmesine neden olmuştur. Sonuçta ortaya çıkan ihlal, “[Amerika Birleşik Devletleri] tarihindeki en ciddi siber saldırı” olarak tanımlanmıştır.
Capital One’da 2019 yılında meydana gelen ve 100 milyon kredi başvurusu çalınmasına neden olan ihlal, yanlış yapılandırılmış bir AWS sunucusu nedeniyle meydana geldi.
Log4j adlı üçüncü taraf bir günlük kaydı aracındaki bir güvenlik açığı, 2019 yılında yüz milyonlarca bilgisayarın ele geçirilmesine neden oldu ve Almanya Federal Bilgi Güvenliği Bakanı’nı bu tehdidi en yüksek tehdit seviyesiolarak sınıflandırmaya sevk etti.
Üçüncü taraf risklerini ele almak için şirketlerin, bu üçüncü tarafların sistemleri ve şirketleriyle nasıl etkileşimde bulunduklarına dair görünürlük kazanmaları gerekir. İdeal durumda, güvenlik liderleri risk oluşturmayan saygın üçüncü taraf şirketlerle çalışmalıdır. Ancak güvenlik açıklarının her zaman var olacağı ve hackerlara karşı korumalı yazılım diye bir şeyin olmadığı da bir gerçektir. Üçüncü taraflar ve uygulamaları hakkında görünürlük sağlayarak, bu tarafların kesinlikle ihtiyaç duyduklarından daha fazla bilgiye erişip erişmediklerini hızlı bir şekilde değerlendirebilirsiniz.
Örneğin, kuruluşlar verilerini aktarmadan önce şifrelemiş olsalardı, kötü şöhretli MoveIt hack saldırısı büyük ölçüde önlenebilirdi. Basit bir açık-özel anahtar şifreleme stratejisi, çalınan verileri hackerlar için kullanışsız hâle getirirdi. Şifrelenmemiş verilere ilişkin görünürlük, güvenlik liderlerine bu riskin bir sorun hâline gelmeden önce bu risk hakkında fikir verirdi.
Dış kaynaklı teknik destek gibi üçüncü taraf destek hizmetleri de ağınızda ayrıcalıkları artırabilir. Bu nedenle, hangi kuruluşların yüksek ayrıcalıklara ve aşırı veri erişimine sahip olduğunu ve hangilerinin buna gerçekten ihtiyaç duyduğunu denetlemek çok önemlidir.
Kapsamlı veri güvenliği için görünürlük çok önemlidir
Veri güvenliği ve keşfi konusunda nereye bakılacağı bilmek, nasıl bakılacağı kadar önemlidir. Yukarıdaki noktalar son derece yaygındır ancak aynı zamanda tamamen ele alınabilir.
“Sahip olunmayan kanallarda görünürlüğü artırmak için teknoloji, politika ve sürekli çalışan eğitiminin doğru bir karışımı gerekir,” diyor Sopuch. “Veri Kaybı Önleme (DLP) ve bulut tabanlı veya sanal çalışma alanları gibi çözümler, kişisel ve iş ortamlarını birbirinden ayırarak, çalışanların sahip olduğu veya üçüncü taraf sistemlerde bile kurumsal verilerin korunmasını sağlar. Kullanıcı bilinci, sürekli izleme ve net yönetişim ile birleştirildiğinde bu önlemler hem güvenlik hem de kolaylık ve üretkenliği sınırlamadan görünürlük sağlar.”
Zbyněk Sopuch, Safetica CTO’su
Gölge BT, çoklu cihazlar ve üçüncü taraf risklerini görünür kılmak için bir planınız olduğundan emin olarak, veri kaybı önleme (DLP) ve veri güvenliği stratejinizi daha kusursuz hâle getirmek için adımlar atabilirsiniz.
Bu görünürlüğü nasıl elde edeceğiniz ise başka bir konudur. Karmaşıklığı artıran birden fazla araç veya Safetica’nın kapsamlı veri keşif ve sınıflandırma çözümü gibi tek bir araç tercih edebilirsiniz. Ancak Sopuch, sahip olunmayan kanalların görünürlüğünü mümkün olduğunca kaçınılması gereken bir şey olarak değil, daha stratejik bir şekilde ele almayı önerir.
“Bu eğilime direnmek yerine, kuruluşlar güvenli işlemleri aynı derecede kolay hâle getirmeye odaklanmalıdır” diyor. “Bulut hizmetleri, web tabanlı uygulamalar ve ince veya sanal istemciler, kullanıcıların herhangi bir cihazdan güvenli bir şekilde çalışmasını sağlarken kurumsal verileri yönetilen ve kontrol edilen ortamlarda tutar.”
Zbyněk Sopuch, Safetica CTO’su
Ne yaparsanız yapın, tam güvenliğin aktif tehdit algılamanın ötesine geçtiğini ve nerede olursa olsun, verilerinizin görünürlüğünü elde etmeyi kapsadığını anlamak önemlidir.
Telefon dolandırıcılığı: Bu arama yapay zekâ mı?
PromptSpy : Üretken yapay zekâ kullanan Android tehdidi
