İçindekiler
- İç Tehditlere Karşı USB ve Çevre Birimi Kontrolü
- 1. USB Portlarının Anatomisi ve Veri Sızıntısı (Data Leakage) Riski
- En Sık Karşılaşılan USB Kaynaklı Felaket Senaryoları
- Geleneksel Yöntemler Neden İflas Etti?
- 2. Akıllı Cihaz Kontrolü (Device Control) ve DLP Entegrasyonu
- Cihaz Sınıflandırma ve Beyaz Liste (Whitelist) Mimarisi
- 3. İçerik Bilinçli USB Kısıtlaması (Content-Aware Device Control)
- Zorunlu Veri Şifreleme (Enforced Encryption)
- Görünmez Veri Zırhı
- 4. KVKK, GDPR ve ISO 27001 Kapsamında USB Yönetiminin Yeri
- Inoguard Olarak Yaklaşımımız
- Veri Hırsızlığına "Dur" Deyin
Veri hırsızlığının %80'i USB bellekler üzerinden yapılır. Şirket verilerinizi korumak için USB girişlerini nasıl yöneteceğinizi öğrenin.
İç Tehditlere Karşı USB ve Çevre Birimi Kontrolü
Milyonlarca dolarlık siber güvenlik altyapısı kurabilirsiniz. Ancak çalışanınızın cebindeki 5 dolarlık bir USB flash bellek, tüm bu yatırımı saniyeler içinde çöpe atabilir. USB kısıtlaması (Device Control), modern veri güvenliği mimarisinin ve yasal uyumluluğun (KVKK) en kritik ve en çok ihmal edilen halkasıdır.
1. USB Portlarının Anatomisi ve Veri Sızıntısı (Data Leakage) Riski
Bilgi teknolojileri dünyasında "Kolaylık" ile "Güvenlik" her zaman zıt kutuplarda yer alır. USB (Universal Serial Bus) teknolojisi, cihazların bilgisayarlara anında bağlanmasını ve yüksek hızda veri aktarımını sağlayan inanılmaz bir kolaylıktır. Ancak bu kolaylık, kurumsal ağlar için bir kabusa dönüşmüştür. İşletmelerin siber savunma stratejileri genellikle dışarıdan gelen tehditlere (Hackerlar, DDoS saldırıları, Dış Kaynaklı Fidye Yazılımları) odaklanır. Güvenlik duvarları (Firewall) inşa edilir, IPS sistemleri kurulur ve dışarıdan içeriye sızmak neredeyse imkansız hale getirilir.
Ancak istatistikler çok daha karanlık bir tablo çiziyor: Şirketlerde yaşanan veri sızıntılarının (Data Breach) %60'ından fazlası dışarıdan değil, içeriden (Insider Threat) kaynaklanmaktadır. Çalışanlar, stajyerler, taşeron personeller veya şirkete temizlik için giren dış hizmet görevlileri bile boşta duran bir USB portunu saniyeler içinde kullanarak telafisi imkansız zararlar verebilir.
En Sık Karşılaşılan USB Kaynaklı Felaket Senaryoları
- Veri Hırsızlığı (Data Exfiltration): İşten ayrılmaya hazırlanan bir satış personelinin, şirketin tüm müşteri portföyünü, fiyat tekliflerini ve CRM veritabanını cebindeki bir flash belleğe kopyalayarak rakip firmaya götürmesi.
- Fidye Yazılımı Bulaştırma (Ransomware via BadUSB): Bir çalışanın otoparkta bulduğu veya hediye olarak verilen bir USB belleği "İçinde ne varmış?" diyerek ofis bilgisayarına takması. Bu bellekler genellikle klavye gibi davranarak (BadUSB / Rubber Ducky) saniyeler içinde komut satırını açar ve şirketin tüm sunucularını şifreleyen bir zararlı yazılımı (Ransomware) indirir.
- Sessiz Casusluk (Air-Gapped Network Compromise): İnternete kapalı (Air-Gapped) olan ve asla dışarıdan hacklenemeyeceği düşünülen endüstriyel üretim bantları (SCADA/OT) ve kritik sunucular, bakım yapan mühendislerin taktığı virüslü USB'ler aracılığıyla çökertilmektedir (Tarihteki ünlü Stuxnet saldırısı bunun en büyük örneğidir).
Geleneksel Yöntemler Neden İflas Etti?
Geçmişte IT yöneticileri, anakartın BIOS ayarlarından USB portlarını tamamen kapatarak veya yuvalara fiziksel silikon sıkarak önlem almaya çalışırdı. Ancak modern iş dünyasında klavye, fare, web kamerası ve sunum cihazları da USB üzerinden çalışmaktadır. Portu tamamen kapatmak şirketi felç eder. Diğer bir amatör yöntem olan "Windows Registry (Regedit)" üzerinden engelleme yapmak ise, Google'da 5 dakikalık bir arama yapan herhangi bir personel tarafından kolayca aşılabilir. Yeni nesil tehditler, yeni nesil akıllı denetim mekanizmaları gerektirir.
2. Akıllı Cihaz Kontrolü (Device Control) ve DLP Entegrasyonu
Sıfır Güven (Zero Trust) mimarisinin uç noktalardaki (Endpoint) en önemli temsilcisi olan DLP (Data Loss Prevention) yazılımları, USB portlarını fiziksel olarak kapatmak yerine Mantıksal ve Analitik bir filtreleme uygular. Sisteme entegre edilen merkezi bir ajan (Endpoint Agent), bilgisayara bağlanan her donanımın kimliğini (Vendor ID, Product ID, Serial Number) mikrosaniyeler içinde işletim sistemi çekirdeği (Kernel) seviyesinde okur ve analiz eder.
Cihaz Sınıflandırma ve Beyaz Liste (Whitelist) Mimarisi
Gelişmiş bir USB yönetim altyapısında, cihazlar türlerine göre kategorize edilir:
- İnsan Arabirim Cihazları (HID): Klavye, fare, barkod okuyucu gibi veri depolama yeteneği olmayan cihazlar. Sistem bunları otomatik olarak tanır ve çalışmasına izin verir.
- Görüntü ve Ses Cihazları: Web kameraları, mikrofonlar ve kulaklıklar iletişim için serbest bırakılabilir.
- Yığın Depolama Aygıtları (Mass Storage): Flash bellekler, taşınabilir diskler (HDD/SSD) ve akıllı telefonlar. İşte asıl kısıtlama bu kategoriye uygulanır. Varsayılan kural olarak şirketteki tüm bilgisayarlarda depolama aygıtı takılması Tamamen Engellenir (Block All).
Ancak iş sürekliliği için bazı verilerin fiziksel olarak taşınması gerekebilir. Bu durumda Beyaz Liste (Whitelist) devreye girer. Şirket, piyasadan donanımsal şifrelemeye sahip özel USB bellekler satın alır (Örn: Kingston IronKey). Sistem yöneticisi bu cihazların donanım seri numaralarını merkezi DLP konsoluna tanıtır. Artık şirketteki bilgisayarlara sadece ve sadece bu yetkili (Şirket Demirbaşı) USB bellekler takılabilir. Personelin evden getirdiği sıradan bir bellek anında bloke edilir ve ekranda "Kurumsal Güvenlik Politikası Gereği İzinsiz Cihaz Engellendi" uyarısı çıkar.
Granüler Yetkilendirme Matrisi
Gelişmiş Device Control sistemleri "Hepsi veya Hiçbiri" mantığıyla çalışmaz. İşletmenizin ihtiyaçlarına göre departman bazlı, kullanıcı bazlı veya cihaz bazlı ince ayarlar yapılabilir. Örneğin, Pazarlama departmanına sadece "Okuma İzni (Read-Only)" verilebilir. Bu sayede ajanslardan gelen görseller bilgisayara kopyalanabilir ancak şirketin gizli pazarlama stratejisi USB'ye atılamaz. Yönetim kurulu üyelerine ise tam erişim verilebilir ancak kopyaladıkları her dosyanın bir kopyası "Gölge Kopyalama (Shadow Copying)" ile gizlice sunucuya arşivlenir.
3. İçerik Bilinçli USB Kısıtlaması (Content-Aware Device Control)
Sadece portları ve donanımları değil, donanımın içinden geçmeye çalışan "Veriyi" de analiz eden teknolojilere İçerik Bilinçli Kısıtlama adı verilir. Gerçek bir Veri Kaybı Önleme (DLP) mimarisi, verinin içeriğine göre karar verecek zekaya sahiptir.
Düşünün ki İnsan Kaynakları (İK) departmanına USB kullanma izni verdiniz. İK uzmanı boş bir Word belgesi açıp içine personel izin taleplerini yazıp USB'ye kaydedebilir, sistem buna izin verir. Ancak aynı İK uzmanı, şirketin tüm personel maaş bordrolarını, T.C. Kimlik Numaralarını ve IBAN bilgilerini içeren Excel dosyasını (İçinde KVKK kapsamında kritik veriler olan) USB'ye atmaya kalktığında, sistem dosyanın içeriğini (Regex, Kelime Sözlükleri veya Fingerprint ile) saniyeler içinde tarar. Dosyanın gizliliğini tespit ettiği an kopyalama işlemini durdurur ve yöneticilere alarm gönderir. Yani USB portu açıktır, ancak "Hassas Veriler" için kapalıdır.
Zorunlu Veri Şifreleme (Enforced Encryption)
Şirket dışına çıkması gereken meşru veriler olabilir. Bir sunum dosyasını müşteriye götürmek için USB'ye kopyalamak gerekebilir. Bu durumda sistem, kopyalanan dosyayı USB belleğin içinde AES-256 bit askeri standartlarda otomatik olarak şifreler (BitLocker to Go veya Safetica Encryption). USB bellek takside veya toplantı salonunda kaybolsa bile, bulan kişi USB'yi kendi bilgisayarına taktığında dosyaları göremez; açmak için IT departmanının belirlediği çok haneli şifreyi girmesi gerekir. Böylece USB kaybolsa bile "Veri İhlali (Data Breach)" yaşanmamış sayılır.
Görünmez Veri Zırhı
Verileriniz sadece sunucularda değil, kablolardan geçerken ve cihazlara aktarılırken de anlık olarak denetlenir. Yetkisiz bir donanıma doğru akan veri, mikrosaniyeler içinde kesilerek vaporize edilir (imha edilir).
4. KVKK, GDPR ve ISO 27001 Kapsamında USB Yönetiminin Yeri
Türkiye'de yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Kişisel Verileri Koruma Kurumu tarafından yayınlanan "Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)" dokümanı incelendiğinde, şirketlerin cihaz kontrolü (Device Control) yapmak zorunda olduğu açıkça görülmektedir.
Kurum, rehberin "Cihaz Güvenliği" ve "Veri Sızıntısı Önleme" bölümlerinde şu kuralları dikte eder:
- Kişisel veri içeren sistemlere yetkisiz cihazların bağlanması (USB, CD/DVD, Taşınabilir Disk) teknik tedbirlerle engellenmelidir.
- Kurum dışına veri aktarımında kullanılan cihazlar mutlaka kriptografik yöntemlerle şifrelenmelidir.
- Kimin, ne zaman, hangi cihazı taktığı ve hangi dosyaları kopyalamaya çalıştığı değiştirilemez (Hash'li) log kayıtları olarak tutulmalıdır.
Eğer şirketinizden bir personelin USB ile çaldığı T.C. Kimlik numaraları ve sağlık verileri internette yayınlanırsa, KVKK kurumu firmanıza "Neden gerekli teknik tedbirleri almadınız?" diyerek milyonlarca liralık idari para cezası keser. Ayrıca şirket yöneticileri Türk Ceza Kanunu kapsamında yargılanabilir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetimlerinde de Majör (Büyük) uygunsuzluk yazılan en popüler konu "Kontrolsüz USB Portları"dır.
Inoguard Olarak Yaklaşımımız
Biz Inoguard olarak, kurumların işleyişini yavaşlatmayan, personeli strese sokmayan ancak veriyi demir yumrukla koruyan Safetica DLP ve Fortinet Endpoint mimarilerini kuruyoruz. "Sıfır Güven (Zero Trust)" vizyonumuzla, ofisinizdeki her bir bilgisayarın USB, Bluetooth, CD/DVD ve WiFi bağlantılarını merkezi SOC (Security Operations Center) laboratuvarımızdan yönetiyor, raporluyor ve güvenliğinizi şansa bırakmıyoruz.
Veri Hırsızlığına "Dur" Deyin
Şirketinizin en değerli varlığı olan verilerinizin tek bir USB bellek ile kapıdan çıkıp gitmesine izin vermeyin. Uzman mühendislerimizle Endpoint DLP ve Device Control mimarinizi hemen projelendirelim.
Ücretsiz Envanter ve Risk Analizi İsteyin
