Coğrafi Odak: Asya, Coğrafi Özel, Yönetişim ve Risk Yönetimi
Kurumsal İzleme Sistemleri Eski Çalışanın Yetkisiz Girişlerini Tespit Edemedi
Jayant Chakravarti (@JayJay_Tech) •
14 Haziran 2024
Singapur mahkemesi, Singapur merkezli NCS Group’un eski bir çalışanını, şirketin yazılım test ortamına eriştiği ve işinin sona ermesinden aylar sonra 180 sanal sunucuyu sildiği gerekçesiyle iki yıl sekiz ay hapis cezasına çarptırdı.
Ayrıca bakınız: 2024 Küresel Tehdit Raporu – İnfografik
Hindistan vatandaşı olan Kandula Nagaraju, Kasım 2021’de Singtel’in sahibi olduğu BT hizmetleri şirketine hibrit bulut danışmanı olarak katıldı, ancak 12 ay sonra NCS’nin hizmetlerini sonlandırmasının ardından Hindistan’a geri döndü.
Nagaraju, dönüşünün ardından yeni bir iş başvurusunda bulunmaya başladı ancak aynı zamanda NCS’nin işine son vermesi nedeniyle “kafası karışmış ve üzgün” hissetmişti. Mahkeme belgelerine göre, Ocak 2022’de kişisel dizüstü bilgisayarını NCS’nin QA bilgisayar sistemine en az altı kez erişmek için kullandı.
Yeni bir işe başlamak için Şubat 2022’de Singapur’a döndü ancak eski işvereninin sistemlerine erişmek için kimlik bilgilerini kullanmaya devam etti. Mart 2022’de sistemde 13 kez oturum açtı ve sonunda 18 Mart 2022 ile 19 Mart 2022 arasında sistemde programlanmış bir komut dosyası çalıştırarak test altındaki yazılım uygulamaları için uygulama kodunu depolayan 180 sanal sunucuyu sildi. NCS, silinme nedeniyle 917.832 S$ zarara uğradı.
Şirket, CNA haber sitesine, Nagaraju’nun, işi sona erdiğinde sisteme erişiminin sonlandırılmaması nedeniyle “insan gözetimi” sonucunda test ortamına erişim sağlamaya devam ettiğini söyledi.
NCS, Asya-Pasifik bölgesindeki kuruluşlara uygulama, altyapı, mühendislik ve siber güvenlik hizmetleri sunan lider bir teknoloji hizmetleri şirketidir. Şirket, 2022 başlarındaki yetkisiz erişimin münferit bir olay olduğunu söyledi.
NCS’nin ana şirketi ve Singapur’un en büyük telekomünikasyon şirketi Singtel, Avustralya’daki yan kuruluşu Optus’un 10 milyona kadar mevcut ve eski müşteriyi etkileyen büyük bir siber saldırı yaşaması sonucunda 2023 mali yılında 1,47 milyar S$ zarar bildirdi. İyileştirme maliyetleri Singtel’in net kârını %64 oranında düşürdü.
Singtel’in Avustralya’daki BT danışmanlık yan kuruluşu Dialog, Eylül 2022’de, bir tehdit aktörünün 20 müşteri ve 1.000 çalışana ilişkin veriler de dahil olmak üzere şirket verilerini çalmasını ve dökümü karanlık ağda satışa sunmasını içeren bir veri ihlali yaşadı.
Sıfır Güven ve MFA, BT Varlıklarını Korumanın Anahtarı
NCS, yetkisiz erişimi Nagaraju’nun sanal sunucuları silmesinden bir gün sonra keşfetti. Önde gelen bir teknoloji danışmanlık şirketinde kimlik ve erişim yönetimi mimarı olan Venkatesh Thanumoorthy, NCS’nin siber güvenlik stratejisini daha geniş risk yönetimi stratejisiyle uyumlu hale getirmesi durumunda yetkisiz erişimi ve veri silinmesini önleyebileceğini söyledi. Ponemon Enstitüsü’nün 2023 tarihli İçeriden Alınan Risklerin Maliyeti Küresel Raporu, kuruluşların içeriden gelen tehdit olayları nedeniyle dünya çapında 16,2 milyon dolar kaybettiğini söylüyor.
“Kimlik bilgilerinin/şifrelerin/SSH anahtarlarının bir PAM platformu aracılığıyla periyodik rotasyonu ve kullanıcı davranışı analitiği, gelecekte bu durumdan kaçınmak için iyi bir seçenektir. Uygulama sayesinde kullanıcının hedef kimlik bilgilerini bilmesine bile gerek kalmaz.” Thanumoorthy dedi.
Daha Güçlü Bir Risk Yönetimi Duruşu
Sertifikalı Dolandırıcılık Denetçileri Derneği’nin programlama direktörü ve yönetim kurulu üyesi Raina Verma, NCS gibi büyük kuruluşların, çalışanlarının işe alım süreçlerini, kritik rollere işe alım süreci kadar titiz hale getirmesi gerektiğini söyledi.
Nagaraju’nun feshinin kademeli değil anında gerçekleştiği ve aceleyle ayrılmanın, bir yöneticinin Nagaraju’nun kritik sistemlere erişimini devre dışı bırakmayı unuttuğu bir insan hatasıyla sonuçlandığı açıktır. Şirketin uyarı yönetim sistemi veya algılama sistemleri, eski çalışanın test ortamına birden çok kez erişmesi durumunda da uyarı veremiyordu.
NCS, Bilgi Güvenliği Medya Grubu’nun yorum talebine yayın sırasında yanıt vermedi.