AVUKAT IYAZ ÇİMEN ‘ SİBER GÜVENLİKTE İÇ TEHDİTLER’İ DEĞERLENDİRDİ

Avukat Iyaz Çimen siber güvenlikte dış tehditler kadar, iç tehditlerin de önemli olduğuna vurgu yaparak, BT çalışanlarının farkındalıkları arttıkça, eğitim ve bilinç egemen oldukça tehditlerin azaldığını belirtiyor.
İş dünyasının yaşadığı dijital dönüşüm sürecinde şirketlerin karşılaştığı en önemli sorunların başında iç tehditlerin neden olduğu veri ihlalleri geliyor. Veri güvenliği ve siber güvenlik sistemlerindeki çeşitli açıklar ya da bilinçli/bilinçsiz insan hatalarından kaynaklı olarak meydana gelen ihlaller özellikle şirketlere ait kritik veri yığınlarının korunmasını önemli ölçüde zorlaştırıyor.  Şirketlerin siber güvenlik yatırımlarını belirlerken iç tehditleri de göz önünde bulundurması büyük önem taşıyor. Şirketlerin olası siber tehditlere karşı yeterince savunma sağlayabilecek kapasitede olup olmadığını kontrol etmeleri için tüm olasılıkları düşünerek hareket etmesi gerekiyor. İç tehditler başta olmak üzere çeşitli siber riskler arasında doğru paylaşımların yapıldığı bir yatırım planı oluşturmanın oldukça önemli olduğuna dikkat çekelim.
İç tehdit, bir kuruluşun verilerine meşru erişimi olan kişilerin neden olduğu bir veri ihlali güvenlik riskidir. İçeriden gelen tehditler kasıtsız ya da kötü niyetli olabilir. Dijital çalışma alanlarının artması, uzaktan çalışmanın yaygınlığı ve şirketlerin esnek politikalar uygulaması nedeni ile bu tür tehditler giderek yoğunlaşmaktadır. 
İçeriden gelen tehditler aşağıdaki kategorilere ayrılabilir:
Veri satıcısı – bir şirketin verilerini satmak için finansal olarak motive olan bir çalışan. Böyle bir çalışan şirketinize isteyerek zarar verebilir. Şirketinizin verileri dark web’de (kişisel verilerle çalışıyorsanız) veya doğrudan rakiplerinize (örneğin, müşteri veritabanları) satılabilir.Tembel çalışan – ihmalkar olan ve şirketin güvenlik politikalarına uymayan çalışan. Bu tür bir çalışan sadece işini yapar ve veri güvenliğin karmaşıklığını kavrayamaz. Bir şirketin politikaları çok katıysa ve günlük işleri daha karmaşık hale getiriyorsa, uyumsuzluk riski artar.Sahip – işten ayrılan ve çalıştıkları süre boyunca yarattıkları her şeyin kendi mülkleri olduğunu düşünen çalışanlar. Gelecekte çalışacakları firmada kullanmak üzere verileri yanlarında götürebilir veya bir şirketin müşterilerini bir rakibe götürebilirler.Saf çalışan – kimlik avı kampanyasının kurbanı olan bir çalışandır. Örneğin bir eposta ekini açar veya dışarıdan bir sosyal mühendis tarafından gönderilen bir e-postaya tıklar, bu kişi çalışanın kimlik bilgilerini çalar ve şirket verilerine erişir. Hırsız daha sonra çalışanın kimliği altında hareket ettiği için bu tür bir sızıntıyı tespit etmek çok zordur. İyi bir DLP yazılımı bu konuda yardımcı olabilir.
 İç tehdit ihtimalini ciddiye alın. Global düzeyde yıllık ortalama 8,76 milyon dolar değerinde bedel yaratan iç tehditlerin yaygınlığından kaynaklanan ciddi tehlikeye rağmen çoğu şirket, teşkil edebileceği büyük problemleri fark etmediği iç tehditlere karşı bütçe ayırmıyor. Azınlıkta kalan şirketler ise bu ihtiyaçlarını karşılayabilecekleri maddi imkanı bulamıyor.
Güncel bir ankete göre şirketlerin %87’si iç tehdit yönetimi için en az %50 daha fazla bütçeye ihtiyaç duysa da sadece %12’si 2019 için %25’den daha fazla bütçe artışı almayı bekliyor. Ponemon Institute’nin son raporunda ise şirketlerin %34’ü iç tehditlere karşı savunmaya engel olarak bütçe eksikliğini gösteriyor. Olası sorunları önleyecek küçük bir savunma bütçesi ayırmak istemeyen şirketlerin, iç tehditlerden kaynaklanan yüksek bedellerle yüzleşebileceğini hatırlayarak adım atması gerekiyor.
Tehdit profilinizi anlayın. En çok hangi tipteki tehditler ile karşılaşma ihtimalinin olduğunu düşünmeden yatırım planı oluşturmak, oldukça yaygın yapılan hatalardan birini oluşturuyor. Yeni bir araştırmaya göre siber saldırılar ve insan hatalarıyla ortaya çıkan siber tehditler arasında nasıl bir bütçe ayrımı yapıldığı sorulduğunda katılımcıların %56’sı cevap veremiyor. İç tehditler gibi pek çok tehdide karşı ayıracakları bütçeye karar vermek için şirketlerin güvenlik trendlerini hem global bazda hem de sektör bazında araştırması ve kendilerine ait siber vaka geçmişlerine de dikkat etmesi kritik önem taşıyor.
İç tehditlere karşı savunma aracınızı doğru seçin. Siber güvenlikte kullanılan çoğu aracın iç tehdit yönetimi konusunda yardımcı olabileceği iddia edilse de durum hiç öyle olmayabiliyor. Kurulumları bile çok büyük emek isteyen bu yazılımlar, tehditleri genelde zamanında fark edemiyor.
Şirketlerin kısıtlı erişim yönetimi, kullanıcı hareketleri takibi, kullanıcı davranışları analitiği, etkinlik yönetimi sistemleri gibi farklı alanlardaki çeşitli programları hangisinin iç tehdit yönetimlerinde kendileri için işe yarayacağını bilmeden bütçeye dahil etmeleri, yatırım planlarını gerçekçilikten uzak kılıyor. Bu nedenle öncelikli olarak detaylı bir araştırma ile bu araçların işlev ve uygunluğunun anlaşılmasına ihtiyaç bulunuyor.
 En çok bedel yaratan iç tehdit çeşitlerine odaklanın. Ponemon Institute’nin İç Tehdit Bedeli Raporu, öncelikle üç iç tehdit çeşidine odaklı yatırım yapılabileceğini gösteriyor. Düzenli takibin yararlı olacağı bu alanlar, çalışan ya da sözleşme sahiplerinin ihmalleri, kötü niyetli çalışanların varlığı ve kimlik hırsızlıkları şeklinde sıralanabiliyor.
Ceza bedelleri gibi fazladan oluşabilecek bedelleri aklınızda tutun. Özellikle gizlilik ve güvenlik düzenlemelerinin yeni yasalar tarafından korunduğu ülkelerde bulunan şirket yetkililerinin veri sızıntılarından kaynaklanacak legal prosedürleri ve olası para cezalarını akıllarında tutması gerekiyor. Avrupa Birliği’nde yürürlüğe giren Veri Koruma Kanunları, veri sızıntısı vakalarını iyi yönetemeyen şirketlere yıllık gelirlerinin %4’üne kadar çıkabilecek cezalar veriyor. Her ne kadar böyle yüksek bir bütçenin uzun süre boyunca bir kenara ayrılması şart olmasa da, veri sızıntısının ve ilişkili cezanın yaratacağı maddi bedellerin vaka öncesinde alınacak önlemler için yapılan yatırımlara göre ne kadar büyük olacağının düşünülmesi göz önünde bulundurularak bütçenin planlanması yarar sağlıyor.