İnsanlar genellikle güvenlik zincirindeki en zayıf halka olarak görülüyor ancak tehdidi hafifletmeye yönelik girişimlerin çok az etkisi olduğu görülüyor. Aslında, içeriden gelen tehdidin veri ihlaline neden olma olasılığı artık kimlik avı saldırısına göre iki kat daha fazla. Apricorn tarafından 200’den fazla BT güvenliği karar vericisinin katıldığı son araştırma, içeriden gelen tehditlerin en büyük tehdit olduğunu ve %40’ının (%22 kasıtsız/kazara ve %20 kasıtlı/kötü niyetli) kendi kuruluşlarındaki veri ihlalinin ana nedeni olduğunu belirtti.
İçeriden öğrenilenlerin istatistikleri diğer temel nedenlerden çok daha yüksektir; ihlallerin neredeyse dörtte biri (%24) fidye yazılımı saldırılarından, beşincisi kimlik avı e-postalarından (%21) ve kayıp/çalıntı cihazlardan (%18) kaynaklanmaktadır. Bu rakamlar, Bilgi Komiserliği Ofisi (ICO) 2023 Veri Güvenliği Olay Eğilimleri kapsamında rapor edilen ve fidye yazılımından kaynaklanan 667 olay, 395 kimlik avı saldırısı ve 88’inin kayıp veya çalıntı cihazlarla ilişkilendirildiği tespit edilen verileri takip ediyor. Yıl boyunca siber olayların sayısının iki katından fazlasına (1.677’ye kıyasla 3.666) kullanıcı hatası neden oldu.
Kimlik avı, kötü amaçlı yazılım dağıtmak ve fidye yazılımı saldırıları gerçekleştirmek için kullanılan yaygın bir saldırı vektörü olduğu için uzun süredir ana tehdit olarak tanımlanıyor; bu nedenle bu bulgular endişe verici. Ancak, içeriden kötü niyetli kişi, erişim kimlik bilgilerini sağlayarak artık bu tür saldırıların ana kanalı haline geldi. Örneğin. Aslında Apricorn araştırması, kurumsal ihlallerin %70’inin çalışanlara kadar takip edilebildiğini ortaya çıkardı.
Neden ve sonuç
Peki neden artış? Bilinçli bir tahmin, içeriden gelen tehditlerdeki artışı bir dizi faktöre bağlayacaktır. Öncelikle uzaktan çalışmadaki artış var. Aynı anket ayrıca mobil çalışanların %48’inin 2023’te kurumsal verileri bilerek ihlal riskiyle karşı karşıya bıraktığını ve kuruluşların %51’inin kendi işlerini ihlal riskine maruz bırakmalarını beklediğini de ortaya koydu.
İkincisi, uzaktan desteği aceleyle uygulamaya koyan ve hâlâ güvenli bir uzaktan çalışma ortamı sağlayamayan kuruluşlar var. Ankette yalnızca %14’ünün uzaktan çalışanların eriştiği sistemleri ve verileri kontrol ettiği ortaya çıktı. Dörtte bire yakını çalışanların kendi cihazlarını kullanmak için onay almasını gerektiriyor ancak daha sonra herhangi bir kontrol uygulamıyor, %17’si ise onay gerektirmiyor veya herhangi bir kontrol uygulamıyor. Endişe verici bir şekilde, güvenlik liderlerinin %22’si şirket verilerinin nereye gittiği konusunda hiçbir kontrollerinin olmadığını itiraf etti.
Son olarak, dikkate alınması gereken bir kriz yaşamanın maliyeti de var. Ekonomik açıdan baskı altında olan birçok personel, saldırganlara erişim sağlayarak ek para kazanma ihtimaline daha fazla kapılıyor ve bunun potansiyel olarak kurbansız bir suç olduğunu düşünüyor. İçeriden kişilerin işe alınmasında suç faaliyetlerinin arttığına işaret eden kanıtlar zaten mevcut.
Örneğin, ISC2’nin Siber İşgücü Araştırması 2023, katılımcıların %52’sinin geçen yıl içeriden gelen tehditlerde bir artış yaşadığını ve %71’inin bunu ekonomik belirsizliğe bağladığını ortaya çıkardı. Üstelik %39’u kendilerine veya tanıdıkları birine kötü niyetli bir işe alım görevlisinin yaklaştığını söyledi; bu da kasıtlı ihlallerin artmasını bekleyebileceğimizi gösteriyor.
İçeriden kişilerin işe alınması
Organize suç çeteleri, 2022’den bu yana bireyleri işe almak için yoğun çaba harcıyor; raporlar, onların Telegram gibi platformlar üzerinden reklam kampanyaları yürüttüklerini doğruluyor. Örneğin Lapsus$ fidye yazılımı grubu, telekomünikasyon, yazılım ve oyun şirketleri, çağrı merkezi ve sunucu barındırma sağlayıcılarında VPN veya sanal masaüstü altyapısı (VDI) oturum açma bilgileri sağlamak için çalışan çalışanları arayan bir gönderi yayınladı.
Ancak Hitachi ID’nin Aralık 2023’te yaptığı bir anket, içeriden çalışanların sayısında iki yıl öncesine göre %17 artışla bugün %65’e önemli bir artış olduğunu ortaya koyuyor. Çalışanların neredeyse %60’ına e-posta yoluyla ulaşıldı, %27’sine telefon edildi ve %21’ine sosyal medya aracılığıyla ulaşıldı. Siber suçluların çabaları sonuç veriyor gibi görünüyor; bir çalışana ulaşılan şirketlerin neredeyse yarısı fidye yazılımı saldırısına maruz kalıyor.
İçeriden gelen saldırıların giderek yaygınlaştığına dair kanıtlar göz önüne alındığında, şu soru ortaya çıkıyor: Kuruluşlar bu tehdide karşı ne yapabilir? İlk olarak, güvenlik farkındalığı eğitiminin yansımaları (verilerin ifşa edilmesi mağdursuz bir suç olmaktan çok uzaktır) ve ortaya çıkan tehdit açısından daha net olması gerektiği açıktır. Ödeme karşılığında kimlik bilgilerini saldırganlara verirken yakalananların büyük olasılıkla suç ortağı olarak görülmesi muhtemel olduğundan, herhangi bir yaklaşımın rapor edilmesini kolaylaştıracak ve Bilgisayar Kötüye Kullanım Yasası’nın (CMA) şartlarını hatırlatacak mekanizmalar oluşturulmalıdır.
Politikanın kontroller yoluyla uygulanması
Ancak Apricorn’un araştırmasının uzaktan çalışmaya yönelik kontrollerin uygulanmasıyla ilgili olarak gösterdiği gibi, belki de işletmenin iyileştirme yapabileceği en büyük alan, güvenlik politikasını teknoloji aracılığıyla uygulamaktır. Bireylerin kurumsal sistemlere nasıl erişmeleri gerektiğini belirlemek iyi ve güzel ancak hayal kırıklığına uğrarlarsa çözüm arayacaklar. Teknik kontrollerin yürürlükte olması bu eğilimi ortadan kaldırabilir ve çalışanın sorumluluğunu ortadan kaldırabilir.
Kontroller, dizüstü bilgisayarın USB bağlantı noktalarının yalnızca onaylı cihazları kabul edecek şekilde kilitlenmesini veya hayati sistem ve uygulamalara erişimi kontrol eden yazılımın uygulanmasını içerebilir. Kurumsal olarak onaylanmış ekipmanların kullanımının zorunlu kılınması, saldırı potansiyelini de önemli ölçüde azaltabilir. Standart olarak kuruluş genelinde tüm verilerin otomatik olarak şifrelenmesinin zorunlu kılınması, verilerin tehlikeye atılmasını da önleyerek kaybolması veya çalınması durumunda okunamaz hale gelmesini önleyecektir.
Bu tür önlemler yaygın olarak en iyi uygulama olarak kabul ediliyor, ancak şaşırtıcı derecede fazla sayıda kuruluş bunları uygulamıyor. Apricorn araştırması, uzaktan çalışanlar için kontrollerin uygulanmamasının yanı sıra, şifrelemenin de düşüşte olduğunu ortaya koydu; 2022’de %68 olan bu oran, dizüstü bilgisayarlardaki verileri şifreleyenlerin yalnızca %12’siyken, masaüstü bilgisayarlardaki verileri şifreleyenlerin oranı %65’ten %17’ye düştü. 2022’de cep telefonları için de benzer bir hikaye var. 2022’de %55 olan bu oran %13’tü, bugün bunları %54’ten %17 oranında şifreleyen USB bellekler ve %57’den %4’e düşen taşınabilir sabit diskler için de benzer bir durum söz konusu. %.
Bu, içeriden gelen tehditler artarken kuruluşların teknik kontrollerinde daha gevşek hale geldiğini ortaya koyuyor. Bu ters etki, organize suç çetelerine içeriden kişileri işe alma fırsatını sunarken aynı zamanda kasıtsız veri ihlalleri sorununu da böyle bir sorun haline getiriyor. Aslında, bunu yalnızca çalışanlarla ilgili bir sorun olarak düşünmeyi bırakmamız gerekiyor çünkü kurumun tepesinden gelmesi ve BT ile güvenlik departmanları tarafından uygulanması gereken riskleri azaltmalarına yardımcı olacak araçlara, kontrollere ve eğitime ihtiyaçları var.