İçindekiler
- 1. İçerideki Tehdit (Insider Threat) Profilini Anlamak
- 1.1. Kötü Niyetli (Malicious) Çalışan ve Kurumsal Casusluk
- 1.2. İhmalkar (Negligent) ve Dikkatsiz Çalışan
- 1.3. Ele Geçirilmiş (Compromised) İçeriden Kullanıcı
- 2. Veri Kaçırma (Data Exfiltration) Yolları ve Geleneksel Körlük
- 2.1. USB Bellekler ve Fiziksel Depolama Cihazları
- 2.2. Webmail, Bulut Diskler ve WeTransfer
- 2.3. Print (Yazdırma) ve Ekran Görüntüsü (Screenshot) Sızıntısı
- 3. Inoguard DLP (Data Loss Prevention) ile Kanamayı Durdurmak
- 3.1. İçerik ve Bağlam (Context) Duyarlı Engelleme
- 3.2. Cihaz (Device) ve Uygulama Kontrolü
- 3.3. Adli Bilişim (Forensics) ve Kanıta Dayalı Raporlama
- Sonuç: Dışarıyı Korurken İçeriyi Unutmayın
Şirketinizin etrafına milyar dolarlık güvenlik duvarları kurdunuz, peki ya düşman içerideyken? USB bellekler, kişisel Gmail hesapları ve Dark Web satışlarıyla sonuçlanan 'İçerideki Tehdit (Insider Threat)' profillerini ve Safetica DLP ile bu sinsi veri sızıntılarını nasıl engelleyeceğinizi inceliyoruz.
Siber güvenlik denildiğinde pek çok yöneticinin aklına maskeli hackerlar, dışarıdan gelen karmaşık siber saldırılar ve şirketin etrafına örülmüş yüksek güvenlik duvarları (Firewall) gelir. Yönetim kurulları, "dışarıdaki" düşmanı durdurmak için milyonlarca dolarlık yatırımlar yapar. Ancak istatistikler ve acı tecrübeler, şirketler için en büyük, en yıkıcı ve tespiti en zor tehlikenin genellikle "içeride" olduğunu göstermektedir. Şirketinizin en gizli verilerini çalan kişi, Rusya'daki bir hacker grubu değil; hemen yan masanızda oturan, her sabah kahve içtiğiniz, sistemlerinize zaten tam erişim yetkisi olan ve işten ayrılmayı planlayan bir çalışanınız olabilir.
Veri Sızıntısı (Data Leakage) kavramı, kurumun fikri mülkiyetinin, müşteri veri tabanlarının, mali tablolarının veya kaynak kodlarının yetkisiz kişiler tarafından kurum dışına çıkarılması anlamına gelir. Bu eylem; bazen kötü niyetli bir casusluk girişimi (Insider Threat), bazen de sadece işini evden yapmak isteyen bir personelin yaptığı masum ama ölümcül bir "ihmal" sonucunda gerçekleşir. İster kötü niyetli olsun ister ihmalkar, sızdırılan bir müşteri veri tabanının Dark Web'de satılması veya rakip firmanın eline geçmesi, şirketin itibarını ve ticari geleceğini saniyeler içinde yok edebilir. Inoguard olarak "İçerideki Tehdit" konseptini, sızıntının anatomisini ve Data Loss Prevention (DLP) teknolojilerinin bu kanamayı nasıl durdurduğunu üç ana başlık altında derinlemesine inceleyeceğiz.
1. İçerideki Tehdit (Insider Threat) Profilini Anlamak
İçerideki bir tehdidi durdurmanın ilk adımı, o tehdidin psikolojisini ve motivasyonunu anlamaktır. İçeriden veri sızdıran personeller siber güvenlik terminolojisinde homojen bir grup değildir. Her birinin farklı bir amacı ve yöntemi vardır. Şirketler genellikle üç farklı "Insider" profili ile karşı karşıya kalırlar.
1.1. Kötü Niyetli (Malicious) Çalışan ve Kurumsal Casusluk
Bu profil, veri sızıntısının en tehlikeli türüdür. Kötü niyetli çalışan, genellikle istifa sürecine girmiş, şirkete öfkeli olan veya rakip bir firmayla çoktan anlaşmış bir personellerdir. Motivasyonları tamamen finansal kazanç veya intikamdır. Bu çalışan, şirketin Müşteri İlişkileri (CRM) veri tabanını, AR-GE departmanındaki yeni ürün tasarımlarını veya fiyatlandırma algoritmalarını rakip firmaya "transfer ücreti" olarak götürmek ister.
Bu tarz sızıntıları yakalamak son derece zordur çünkü bu personeller "hackleme" yapmazlar. Zaten o dosyalara erişmeye yasal olarak (Active Directory yetkileriyle) hakları vardır. Güvenlik duvarı (Firewall) bu durumu "Ahmet kendi yetkisindeki dosyayı indirdi" olarak görür ve alarm üretmez. Dosya bilgisayara indikten sonra, personel bunu kriptolu bir USB belleğe atıp cebine koyarak binadan yürüyüp çıkar. İşte bu noktada klasik ağ güvenliği çöker ve uç nokta (Endpoint) denetimine ihtiyaç duyulur.
1.2. İhmalkar (Negligent) ve Dikkatsiz Çalışan
Veri sızıntılarının büyük bir çoğunluğu, Hollywood filmlerindeki gibi kötü niyetli casuslar tarafından değil, işini hızlı veya rahat yapmak isteyen dikkatsiz çalışanlar tarafından gerçekleştirilir. Bir pazarlama uzmanı, hafta sonu evde sunum hazırlamak için şirketin en gizli strateji raporunu şahsi Gmail veya Dropbox hesabına yükler. Amaç zarar vermek değil, çalışmaktır (Gölge IT - Shadow IT).
Ancak bu masum hareket, şirket verisini koruma çemberinin dışına çıkarır. Eğer o personelin kişisel Gmail hesabının şifresi kolaysa ve hacklenirse, hackerlar şirketin strateji raporuna anında ulaşır. Şirket, verisinin hacklendiğinden haberdar bile olamaz çünkü sızıntı şirketin kendi sunucularından değil, personelin evindeki kişisel bilgisayarından olmuştur. İhmalkar çalışanlar, siber suçlular için kurumsal ağa girmeden şirket verisine ulaşmanın en kolay kapısıdır.
1.3. Ele Geçirilmiş (Compromised) İçeriden Kullanıcı
Bu senaryoda çalışan tamamen masumdur. Ancak çalışanın bilgisayarına başarılı bir Oltalama (Phishing) saldırısıyla veya zararlı bir yazılımla (Malware) sızılmıştır. Saldırgan (Hacker), içerideki personelin kimliğine bürünür (Identity Theft) ve personelin yetkilerini kullanarak verileri dışarı sızdırmaya başlar. Sistem loglarında her şey "Ahmet yaptı" olarak görünür, ancak bilgisayarın başındaki kişi çoktan Rusya'daki bir siber suç çetesine dönüşmüştür. Bu tür durumlarda, kullanıcının normal davranış profilinden sapan "anormal indirme ve kopyalama" hareketlerinin (User and Entity Behavior Analytics - UEBA) yapay zeka tarafından saniyeler içinde tespit edilmesi gerekir.
2. Veri Kaçırma (Data Exfiltration) Yolları ve Geleneksel Körlük
Veri bir kez yetkili kullanıcının bilgisayarına (Uç noktaya) indiğinde, onu şirket dışına çıkarmanın binlerce farklı yolu vardır. Geleneksel güvenlik sistemleri bu çıkış kapılarının çoğunda tamamen "Kör (Blind)" kalır.
2.1. USB Bellekler ve Fiziksel Depolama Cihazları
Bir flash bellek, taşınabilir hard disk veya hatta sadece bilgisayara şarj kablosuyla bağlanan bir akıllı telefon, devasa bir veri hırsızlığı aracıdır. 1 TB'lık bir M.2 SSD disk, bir kredi kartı boyutundadır ve şirketin 20 yıllık tüm doküman arşivini içine alabilir. Şirket ağının dışına fiziksel bir kabloyla bağlanan bu cihazlar, ağ güvenlik cihazları (Firewall, IPS) tarafından izlenemezler. Çalışan dosyayı USB'ye sürükle-bırak yaptığı anda sızıntı gerçekleşmiş olur.
2.2. Webmail, Bulut Diskler ve WeTransfer
Eğer şirketinizde internet açıksa ve personel Google Drive, OneDrive, Yandex Disk gibi sitelere girebiliyorsa, veriniz zaten dışarı çıkmaya hazır demektir. Çalışan bir dosyayı alır ve kişisel bulut diskine saniyeler içinde yükler (Upload). Yeni nesil hırsızlar, WhatsApp Web veya Telegram Web gibi anlık mesajlaşma uygulamalarını kullanarak bile şirket dosyalarını kendi arkadaşlarına veya kendi telefonlarına göndererek sızdırırlar. Geleneksel sistemler bu trafiği "HTTPS (Şifreli Trafik)" olarak gördüğü için içindeki dosyanın ne olduğunu okuyamaz ve engelleyemez.
2.3. Print (Yazdırma) ve Ekran Görüntüsü (Screenshot) Sızıntısı
En sinsi sızıntı yöntemlerinden biri de veriyi dijital ortamdan fiziksel ortama aktarmaktır. Çok gizli bir PDF dosyasının dışarı gönderilmesini engelleseniz bile, personel CTRL+P tuşuna basıp belgeyi ofis yazıcısından çıkartıp çantasına koyabilir. Veya daha basit bir şekilde, cep telefonunun kamerasını açıp bilgisayar ekranındaki müşteri veri tabanının fotoğrafını çekebilir. Sinyal yok, kablo yok, iz yok. Bu, tespit edilmesi en zor veri kaçakçılığı yöntemidir.
3. Inoguard DLP (Data Loss Prevention) ile Kanamayı Durdurmak
Yukarıda saydığımız tüm bu sinsi çıkış kapılarını, insan faktörünü ve dikkatsizlikleri kontrol altına almanın tek yolu, verinin nerede olduğunu ve nereye gittiğini anlayan bir DLP (Veri Kaybı Önleme) mimarisi kurmaktır. Inoguard olarak kurumlara entegre ettiğimiz Safetica DLP çözümleri, verinin şirket dışına çıkmasını ağ (Network) seviyesinde değil, doğrudan Uç Nokta (Endpoint - Bilgisayar) seviyesinde keser.
3.1. İçerik ve Bağlam (Context) Duyarlı Engelleme
DLP sistemlerinin en büyük gücü, dosyaların uzantılarına (PDF, XLSX) değil, "içeriklerine" bakmalarıdır. Bir çalışan, "Tatil_Resimleri.zip" adında bir dosya oluşturup içine şirketin gizli bilançolarını koysa bile, Inoguard DLP o ZIP dosyasının içini x-ray cihazı gibi okur. İçerideki "Gizli (Confidential)" etiketini veya binlerce kredi kartı/TC kimlik dizilimini anında fark eder.
Çalışan bu dosyayı USB belleğe atmaya, Gmail'e yüklemeye veya WeTransfer ile göndermeye çalıştığında, DLP motoru milisaniyeler içinde araya girer ve eylemi donanımsal olarak reddeder (Block). Çalışanın ekranında "Güvenlik İhlali: Bu dosya KVKK kapsamındaki veriler içerdiği için şirket dışına çıkarılamaz" uyarısı belirir. Dosya bilgisayardan bir milimetre bile dışarı çıkamaz.
3.2. Cihaz (Device) ve Uygulama Kontrolü
DLP sadece dosyaları değil, donanımları da kontrol eder. Inoguard mimarisinde şirket bilgisayarlarına takılan tüm USB bellekler varsayılan olarak engellenebilir. Veya daha akıllı bir yaklaşımla (Granular Control); çalışan USB belleğe sadece kendi şahsi dosyalarını atabilir, ancak şirketin "Gizli" etiketli dosyalarını atamaz. Hatta takılan tüm USB'lerin otomatik olarak askeri standartlarda (BitLocker) şifrelenmesi zorunlu tutulabilir. Böylece USB yolda düşse bile içindeki veriler kırılamaz.
Uygulama kontrolü sayesinde, "Print Screen (Ekran Alıntısı)" tuşuna basıldığında ekranı karartabilir veya WhatsApp Web / Telegram üzerinden dosya gönderim butonlarını (Upload) tamamen pasif (gri) hale getirebilirsiniz.
3.3. Adli Bilişim (Forensics) ve Kanıta Dayalı Raporlama
Veri sızıntısını engellemenin yanı sıra, kötü niyetli çalışanı tespit edip gerekirse hukuki süreç başlatabilmek (İş akdi feshi veya Dava) için elinizde dijital deliller olmalıdır. Inoguard DLP panelleri, şirketteki her kullanıcının "Dosya Yaşam Döngüsü" haritasını çizer. Bir personelin son 1 ay içinde hangi gizli dosyaları açtığını, isimlerini nasıl değiştirdiğini, hangi USB'ye atmayı denediğini (ve engellendiğini) saniyesi saniyesine raporlar.
Bu dijital kayıtlar (Logs), mahkemelerde "Adli Bilişim Kanıtı (Forensic Evidence)" olarak geçerlidir. Bu seviyede bir izlenebilirlik (Visibility), şirkette sadece güvenliği artırmakla kalmaz; aynı zamanda "Biri beni izliyor" psikolojisi yaratarak içerideki kötü niyetli personellerin sızıntı girişimlerini daha başlamadan kafalarında bitirmelerini sağlar (Psikolojik Caydırıcılık).
Sonuç: Dışarıyı Korurken İçeriyi Unutmayın
Siber güvenlik bütçenizin tamamını Firewall'lara, Antivirüslere ve sızma testlerine harcayarak kurumunuzun etrafına çelikten bir kale inşa edebilirsiniz. Ancak o kalenin anahtarlarına zaten sahip olan bir çalışan, elinde küçük bir USB bellekle kapıdan çıkıp gittiğinde, tüm o milyon dolarlık dış güvenlik yatırımlarınız anlamsız kalır.
Günümüz dünyasında veri, şirketin kendisidir. Fikri mülkiyetinizi, ticari sırlarınızı ve itibarınızı "içerideki" ihmalkarlıklardan veya casusluk girişimlerinden korumak bir tercih değil, yasal bir zorunluluktur (KVKK/GDPR). Inoguard'ın kurumsal ağlara entegre ettiği Data Loss Prevention (DLP) mimarisi ile uç noktalarınızı kontrol altına alın, verinize dijital bir kelepçe takın ve sızıntı yaşandıktan sonra özür dilemek yerine, yaşanmadan önce o kırmızı butona basarak kanamayı durdurun.
