Siber suçlular genellikle spot ışığında olsa da, şirketiniz için en tehlikeli tehditlerden biri kendi ekibinizde düz bir şekilde saklanıyor olabilir.
Hassas bilgilere erişimi olan çalışanlar, yükleniciler veya iş ortakları, veri çalıyor, sistemleri sabote etme veya gizli ayrıntıları sızdırıyor olsun, zarara neden olmak için bu erişimi kullanabilir.
Ancak bir şirket içindeki birini buna karşı dönmeye karar veren nedir? Kişisel hayal kırıklığı, finansal stres veya haksızlığa kavuşma duygusu olsun, genellikle psikolojik bir yönü vardır.
İçeriden tehditlerin arkasındaki motivasyonlar
Kişisel şikayetler: Bir çalışan göz ardı edildiğini hissettiğinde, kötü muamele gördükleri gibi, şirkete karşı kızgınlığa dönüşebilir. Belki promosyonları veya ödeme artışlarını kaçırdılar ya da belki bir tür ayrımcılık yaşadılar. Bu adaletsizlik duygusu, insanları bir geri ödeme biçimi olarak zararlı eylemleri haklı çıkarmaya yönlendirebilir.
Finansal Sorunlar: Finansal sorunlar insanları kötü seçimlere yönlendirebilir ve dış etkilere daha duyarlı hale getirebilir. Borç veya kredi ile mücadele edenler, durumlarından yararlanmak isteyen bilgisayar korsanlarından veya rakiplerden teklifleri kabul etmeye cazip gelebilir.
Sosyal veya ideolojik inançlar: Çalışanlar, şirketin çevre sorunları, işgücü uygulamaları veya işyeri kültürü gibi şeyleri nasıl ele aldığına güçlü bir şekilde katılmadıklarında, meseleleri kendi ellerine almaya mecbur hissedebilirler. Yanlış yaptıklarına veya bir nedenden dolayı ayağa kalktıklarına inanırlarsa, medyaya veya aktivist gruplara hassas bilgileri sızdırabilirler, şirketi incitse bile doğru şeyi yaptıklarına ikna olabilirler.
Can sıkıntısı veya nişan eksikliği: Bazen insanlar işlerini önemsemeyi bırakırlar. Belki de görevlerinin tekrarlayıcı hissetmesi ya da çabalarının nasıl önemli olduğunu görmedikleri içindir. Bu olduğunda, gerçekten düşünmeden şirket kurallarını görmezden gelmeye veya adım atmaya başlayabilirler. Zamanla, bu ilgisizliğe dönüşebilir. Artık şirkete yatırım yapmıyorlar. Güvenlik perspektifinden bakıldığında, bu riskli çünkü sıkılmış çalışanların güvenlik protokollerini atlama olasılığı daha yüksektir. Bunu, kontrol ettikleri bir işe karşı geri itmenin büyük bir anlaşma ve hatta düşük anahtar bir yolu olarak görebilirler.
Ruh Sağlığı Sorunları: Ruh sağlığı sorunları birisini otomatik olarak tehdit etmiyor, ancak yargıyı bulutlayabilir ve insanları dürtü konusunda harekete geçirebilirler. Anksiyete veya depresyon gibi şeylerle uğraşan çalışanlar riskli seçimler yapabilir – mutlaka zarar vermeye çalıştıkları için değil, net düşünmedikleri için. Bir şirket zihinsel sağlığı desteklemezse, yanlışlıkla bu sorunların farkına varmadan biriktiği bir alan yaratabilir.
Davranış kalıpları ve yetki: Bazı çalışanlar kuralların kendileri için geçerli olmadığına inanıyor. Şirket kaynaklarını kötüye kullanma veya hassas bilgileri sızdırmaya hak kazanabilirler, çünkü bunu hak ettiklerini düşünürler. Aşırı durumlarda, narsisistik eğilimleri olan insanlar, şirketin sonuçlarını göz önünde bulundurmadan eylemlerini kendi çıkarlarına hizmet etmek olarak haklı çıkarabilirler.
Kariyer memnuniyetsizliği: Bir çalışan şirkette bir gelecek yokmuş gibi hissediyorsa, işverenlerine geri dönmek isteyebilirler veya en azından ayrılmadan önce zamanlarından faydalandıklarından emin olabilirler. Sıkışmış hisseden veya büyüme potansiyeli görmeyen çalışanlar, bir sonraki işleri için bunları kullanarak veri veya kaynakları çalabilirler.
Dolandırıcılık üçgeni
Kriminolog Donald Cressey, insanların neden işyerinde sahtekarlığa veya zararlı davranışlara katıldıklarını açıklamak için bir teori buldu. Buna denir Sahtekar üçgenive üç bölüme ayrılır: basınç, fırsat ve rasyonalizasyon.
- Basınç: Kişisel stres veya finansal sıkıntılar çalışanları riskli kararlara yönlendirebilir.
- Fırsat: Zayıf güvenlik sistemleri zararlı niyetler üzerinde hareket etme şansı yaratır.
- Rasyonelleştirme: Çalışanlar, genellikle bir şey borçlu olduklarına veya daha büyük bir iyilik için harekete geçtiklerine inanarak eylemlerini haklı çıkarırlar.
Bu üç faktörü (basınç, fırsat ve rasyonalizasyon) anlayarak, örgütler içeriden gelen tehditleri gerçekleşmeden önce tespit etmeye ve önlemeye daha iyi hazırlanabilir.
Odaklanan içeriden gelen tehditler
İçeriden gelen tehditlerin ne kadar ciddi olabileceğini gerçekten anlamak için, bu riskleri odaklayan birkaç yüksek profilli vakaya bakmak yardımcı olur.
2019 yılında, eski bir AWS çalışanı, Capital One’ın bulut altyapısında bir güvenlik açığından yararlandı ve 106 milyondan fazla müşterinin verilerini tehlikeye attı. Saldırgan, yetkisiz erişim elde etmek için içeriden AWS bilgisini kullandı.
Mayıs 2023’te Tesla, iki eski çalışanın bir veri ihlalinden sorumlu olduğunu ve burada 75.000’den fazla kişinin kişisel bilgilerine eriştiklerini ve sızdırdıklarını açıkladı.
Uzaktan çalışma, içeriden tehditleri tartıştığımızda başka bir sıcak patatestir, çünkü çalışan kişinin gerçekten iddia ettikleri kişi olup olmadığını belirlemek zordur. Son zamanlarda, çoğunlukla Çin’den faaliyet gösteren Kuzey Kore BT ön şirketleri ağı ortaya çıkarıldı. Bu şirketler, Kuzey Koreli işçilerin küresel olarak uzak işler almalarına yardımcı olur, genellikle kripto para birimleri veya gölge bankacılığı yoluyla ödemeler akar. Bu ön şirketler, BT firmalarını meşru olarak taklit ederek işletmelerin sahtekarlığı tespit etmesini zorlaştırıyor.
FBI ayrıca, genellikle serbest çalışanlar olarak poz veren Kuzey Koreli BT işçilerinin, tescilli verileri çalmak, siber suçları kolaylaştırmak ve Kuzey Kore rejimi için gelir elde etmek için şirket ağlarına erişimden yararlanarak işverenleri zorladığı konusunda uyardı.
Casusluk veya siyasi güdüler tarafından yönlendirilen içeriden gelen tehditleri bir kenara bırakırsak, bu risklerin çoğu hala kişisel konulardan, hayal kırıklıklarından veya şirket içinde tanınabilecek ve ele alınabilecek karşılanmayan ihtiyaçlardan kaynaklanmaktadır.
İçeriden Tehditler Nasıl Önlenir
Çalışanların değerli, desteklendiği ve meşgul olduklarını hissettikleri bir ortam yaratmak, içeriden tehdit riskini azaltabilir. Çalışanların adil muamele edildiğini hissettikleri pozitif kültürleri olan şirketlerin, zararlı davranışlara yol açabilecek hayal kırıklığını veya ayrılmasını deneyimleme olasılığı daha düşüktür.
İçeriden tehditleri azaltmak için kuruluşlar psikolojik içgörüleri siber güvenlik önlemleriyle birleştirmelidir. İşte bazı stratejiler:
- Olumlu bir kültürü teşvik etmek: Çalışanları düzenli olarak meşgul edin ve hemen şikayetleri ele alın.
- Erişim sınırlaması: Rol tabanlı izinleri uygulayın ve veri kullanımını izleyin.
- Ruh Sağlığı Desteği: Danışmanlık ve iş-yaşam dengesi programları sunun.
- Etik eğitim: Personeli karar verme ve güvenlik riskleri konusunda eğitin.
- Güvenli Raporlama Kanalları: Misilleme korkusu olmadan raporlamayı teşvik edin.
- Rutin Güvenlik Denetimleri: Güvenlik açıklarını belirleyin ve siber güvenlik uygulamalarını uygulayın.
- Çıkış Protokollerini Temizle: Hemen sistem erişimini iptal edin ve ayrışma sonrası davranışları izleyin.
İnsan ruhunun hassas olduğunun farkında olmak önemlidir; Bugün en iyi ve en güvenilir çalışan olan kişi yarın için çalıştıkları şirkete karşı dönebilir ve hiçbir psikolojik analiz bunu engelleyemez. Zamana karşı yarış, artan kâr artışı, iş baskıları ve insanlar arasında sağlıklı iletişim eksikliği, birisinin içeriden bir tehdit haline gelmesi için tetikleyici olmaya devam edecektir.
Sonunda, bu kırmızı bayrakları erken tanımak ve herkesin duyulduğunu ve saygı duyulduğu bir iş kültürü oluşturmakla ilgilidir. Bunu yaparsak, içeriden tehdit şansını azaltacak.