Siber güvenlik tehditlerini düşündüğümüzde, genellikle siyah bir kapüşonluyla gizlenmiş, tüm duvarı kaplayan bir ekran bankasında siber imparatorluklarına hayranlıkla bakan karanlık bir hacker figürü hayal ederiz. Hatta yabancı hükümetlere girip sahadaki memurlara istihbarat veren bir casus figürü bile hayal edebilirsiniz. Muhtemelen kendinizi hayal etmiyorsunuzdur. Ancak şaşırtıcı bir şekilde bir organizasyon için en büyük risklerden birisiniz.
Birkaç dakikanızı ayırın ve çalıştığınız şirkete en fazla zararı verebilecek şeyi düşünün. Satış verilerini kopyalayıp gidip kendi şirketinizi kurmak veya kasıtlı olarak bir iş bilgisayarına kötü amaçlı yazılım indirmek gibi görünebilir. Başka bir seçenek de fikri mülkiyeti çalıp bunu bir rakibe aktarmaktır.
Bu teorik değil, Verizon’un 2024 Veri İhlali raporu, dahili tehdit aktörlerinin tüm olayların %35’ini temsil ettiğini gösteriyor. Ancak, bunun kasıtlı ve kasıtsız saldırıları da içerdiğini belirtmek önemlidir. Ancak veriler hikayenin yalnızca bir kısmını anlatıyor — birçok içeriden saldırı tamamen fark edilmiyor ve kötü şöhretli bir şekilde az bildiriliyor.
Dijital Ekmek Kırıntıları — Bunlar Nelerdir ve Her Zaman Göründükleri Gibi Olmazlar
Tipik bir saldırganın aksine, içeridekiler kuruluşlarının kullandığı sistemleri, işletmeleri, endüstrileri ve verileri içten dışa bilir. Dışarıdan bir aktör keşif yapmalı, açık portları aramalı veya güvenlik açıklarını test etmelidir, oysa içerideki biri muhtemelen bu bilgileri zaten bilir. Dışarıdan yapılan saldırılar, bir güvenlik ekibinin bulup araştırabileceği “dijital ekmek kırıntıları” yani küçük kanıt parçaları oluşturur. İçeridekiler mutlaka aynı izi oluşturmaz.
Kötü niyetli niyeti belirlemek de zor olabilir. Her iş belirli roller ve sorumluluklar hedeflese de, bir noktada neredeyse her çalışandan düzenli olarak tanımlanmış iş rollerinin dışında bir şey hazırlaması veya bir görevi tamamlaması istenecektir. Finansal raporlara ani erişim ilk bakışta şüpheli görünebilir, ancak daha sonra çeyreğin sonu olduğunu fark edebilirsiniz. Bir iş hesabından kişisel bir hesaba gelen bir dizi e-posta, öğle tatillerinde bazı fotoğrafları yedeklediklerini görene kadar “Veri gönderiyorlar” diye bağırabilir.
Araştırmacıların bulabileceği dijital kırıntılar olsa bile, bunların çoğunlukla son derece zararlı bir saldırı olmaktan ziyade meşru (veya belki de çalışanların BT sistemlerini kötüye kullanması) olma olasılığı daha yüksektir.
İç ve Dış Tehdit Aktörleri İçin Motivasyonların Farklılaştırılması
Dışarıdaki saldırganlar için en büyük motivasyonlardan biri finanstır. 2024 Verizon Veri İhlali Raporuna göre, dışarıdaki saldırganlar tarafından meydana getirilen olayların %90’ından fazlasının katalizörü olmuştur. İçeridekiler için biraz daha az önemlidir ancak yine de %88 ile öncelikler arasında üst sıralardadır.
İçeridekiler için casusluk motivasyonunda belirgin bir artış görüyoruz (%46). Bunu genellikle fikri mülkiyeti veya müşteri bağlantılarını mevcut bir rakibe devretmede veya kendi şirketlerini kurmak için kullanmada görüyoruz. Çoğu zaman bunun nedeni bir kin duygusudur. Bunu gerçek hayatta şu olaylarda gördük:
- Bir okul bilişim teknisyeni, işten kovulduktan sonra kuruma girerek verileri silerek intikam aldı
- Kötü performansı nedeniyle işten çıkarılan eski bir çalışan intikam aldı ve uzun bir hapis cezasına çarptırıldı
- San Francisco’daki eski bir ağ yöneticisi, hapis cezasına çarptırıldıktan sonra bile şirket şifrelerini vermeyi reddetti (belediye başkanı içerideki kişinin hapishane hücresine geldiğinde sonunda itiraf etti)
Kuruluşunuzu İçeriden Gelen Tehditlerden Koruma
Peki işletmenizi içeriden gelebilecek tehditlerden nasıl koruyabilirsiniz?
Sağlam teknik kontrollerin uygulanması kesinlikle önemlidir, ancak hikayenin sadece yarısıdır. Veri kaybı önleme (DLP) çözümleri gibi araçlar, ekiplere veri transferlerindeki önemli artışları bildirebilir ve taşınabilir sürücülerin kullanımını engellemek, saldırı fırsatlarını etkili bir şekilde en aza indirebilir. Ancak bu kontrollerin bazen tam tersi bir etkiye sahip olabileceğini belirtmekte fayda var. Çalışanlar yoğun bir şekilde izlendiklerini algıladıklarında bu, hoşnutsuzluklarını artırabilir ve daha güvensiz uygulamalar benimsemelerini teşvik edebilir.
Diğer siber tehdit türlerinin aksine, içeriden kaynaklanan tehditler önemli bir insan unsuruna sahiptir ve bu, aşağıdakiler gibi insanlar ve süreçler aracılığıyla en iyi şekilde yönetilir:
- Çalışanların erişimini tamamen iptal eden, çalışan izinlerini düzenli olarak denetleyen ve kişilerin yalnızca rolleri için gerekli olan sistemlere ve dosyalara erişebilmesini sağlayan kapsamlı bir işten çıkarma prosedürü oluşturmak.
- Mali zorluklarla veya ruhsal sağlık sorunlarıyla karşı karşıya olan çalışanlara yönelik yardım programları sağlamak, şirket çalışanlarının harekete geçme zorunluluğu hissetme olasılığını azaltabilir.
- Performans sorunlarını erken bir aşamada tespit eden ve işten çıkarmayı düşünmeden önce iyileştirme fırsatları sunan bir çalışan değerlendirme süreci uygulamak, içeriden kaynaklanan tehditlerin ortaya çıkmasını önlemeye yardımcı olabilir.
Sonuç olarak bu üç faktörün hepsi güvenli ve destekleyici bir çalışma ortamının oluşturulması üzerine kuruludur. Bu tür bir kültürle, işletmeler bir çalışanın içeriden biri olma riskini azaltabilir ve potansiyel sorunların tam bir saldırıya dönüşmeden önce belirlenip ele alınmasını sağlayabilir.
Reklam