Veri Kaybı Önleme - DLP (Safetica)

1. Veri Sızıntısı Probleminin Arkasındaki Psikoloji ve Anatomisi

Siber güvenlik endüstrisi onlarca yıl boyunca "kötü adamları" hep dışarıda aradı. Rusya'daki hacker grupları, Çin kaynaklı APT (Gelişmiş Sürekli Tehdit) organizasyonları veya anonim fidye yazılımı (Ransomware) çeteleri her zaman manşetleri süsledi. Milyarlarca dolarlık bütçeler Firewall, IPS, Anti-DDoS ve EDR sistemlerine yatırılarak "kalenin surları" sağlamlaştırıldı. Ancak istatistiksel bir gerçek yıllarca göz ardı edildi: Dünyadaki kurumsal veri sızıntılarının ve endüstriyel casusluk vakalarının %70'inden fazlası surların dışından değil, içeriden gelmektedir. Kalenin kapılarını içeriden açan, yüksek yetkili anahtarlara sahip olan meşru çalışanlar (Insider Threat), herhangi bir hacker'dan çok daha tehlikelidir.

İç tehditler temelde üç kategoriye ayrılır: Kötü niyetli çalışanlar (Malicious Insiders), ihmalkâr/dikkatsiz çalışanlar (Negligent Insiders) ve hesabı ele geçirilmiş (Compromised) personeller. Kötü niyetli çalışan, genellikle işten ayrılma arifesinde olan, terfi alamadığı için öfkeli veya rakip firma tarafından satın alınmış bir personellerdir. Bu kişiler satış listelerini, AR-GE kodlarını, fiyat tekliflerini kişisel USB belleklerine kopyalar veya web tabanlı özel e-posta adreslerine gizlice yönlendirir. İhmalkâr çalışan ise tamamen iyi niyetlidir ancak işin doğası gereği dikkatsizdir. Sırf evde çalışabilmek için şirketin en kritik finansal tablosunu kendi korumasız Dropbox hesabına yükler. Veya daha kötüsü, Outlook'ta e-posta gönderirken isim tamamlama özelliğinin (Auto-Complete) azizliğine uğrar ve gizli yönetim kurulu kararlarını kurum dışındaki aynı isimli birine yanlışlıkla gönderir (Misdirected email). Data Loss Prevention (DLP) yani Veri Sızıntısı Önleme teknolojileri, niyetin iyi veya kötü olmasından bağımsız olarak, "Veri"nin kimliğini teşhis eden ve dışarı çıkmasını kesin ve katı bir şekilde yasaklayan yegane teknolojidir.

2. DLP Motorları Veriyi Nasıl Tanır? Tespit Algoritmaları

Bir belgenin "Gizli" veya "Sıradan" olduğunu bir insanın anlaması saniyeler sürer; ancak bunu bir makineye (DLP Agent) milyonlarca dosya arasında, ağ trafiği saniyede gigabit hızında akarken anında yaptırmak muazzam bir mühendislik gerektirir. DLP çözümleri veriyi teşhis etmek için birçok farklı analiz algoritmasını aynı anda kullanır:

A. Düzenli İfadeler (Regex - Regular Expressions) ve Sözlük Eşleşmesi

En temel ve en hızlı DLP yöntemidir. DLP motoruna T.C. Kimlik numaralarının, uluslararası kredi kartı numaralarının (Luhn Algoritması) veya IBAN numaralarının matematiksel desenleri öğretilir. Eğer bir Word belgesinde veya e-posta gövdesinde peş peşe 16 haneli ve belirli bankacılık standartlarına uyan bir sayı dizisi tespit edilirse, sistem anında bunun bir "Kredi Kartı" verisi olduğunu anlar. Aynı şekilde "Gizli", "Şirket İçi", "Yönetim Kurulu", "Bilanço" gibi kelimelerin bulunduğu özel sözlükler yaratılarak, metin tabanlı kelime eşleşmesi (Keyword Matching) yapılır.

B. Kesin Veri Eşleştirmesi (EDM - Exact Data Matching)

Regex tekniği bazen "False Positive" (Yanlış Pozitif) adı verilen hatalara yol açabilir. Rastgele yazılmış 16 haneli bir ürün kodu, kredi kartı numarası zannedilebilir. Exact Data Matching (EDM) teknolojisinde ise DLP sistemi, şirketinizin meşru SQL veri tabanına (örneğin CRM veya İK veritabanına) periyodik olarak bağlanır. Tüm müşteri adlarını, e-postalarını ve T.C. Kimlik numaralarını şifrelenmiş (Hash) formatta kendi belleğine (Fingerprint) kaydeder. Bir personel dışarıya bir Excel listesi atmaya çalıştığında, DLP bu belgedeki verileri Hash'leyip kendi veritabanıyla kıyaslar. Birebir eşleşme olursa (Yani bu gerçekten Ahmet isimli müşterinizin TC kimlik numarasıysa) veri sızıntısını kesin olarak (Zero False Positive) tespit edip engeller.

C. İndekslenmiş Doküman Eşleşmesi (IDM - Indexed Document Matching)

Her veri yapılandırılmış metinlerden (Excel, Veritabanı) oluşmaz. Şirketinizin bir sonraki yıl çıkaracağı ürünün PDF formatındaki tasarım çizimleri, hukuki bir davanın scanned (taranmış resim) formundaki dosyası veya AutoCad planları da olabilir. IDM teknolojisi, bu orijinal gizli dosyaları bloklara böler ve dijital parmak izini (Digital Fingerprint) çıkarır. Eğer kötü niyetli bir çalışan bu dosyanın adını "Tatil Fotograflari.pdf" olarak değiştirip, içinden birkaç paragraf silip dışarı göndermeye çalışsa bile, DLP motoru dosyanın parmak izinden bunun %85 oranında "Gizli Tasarım Dokümanı" olduğunu anlar ve manipülasyonları boşa çıkartır.

3. Endpoint (Uç Nokta) ve Network (Ağ) DLP Mimarilerinin Farkları

Bütünsel bir Veri Kaybı Önleme (Data Loss Prevention) projesi, kör nokta bırakmamak için birden fazla katmanda uygulanmalıdır. Veri sızıntısının yaşanabileceği kanallar genelde Uç Nokta (Kullanıcının bilgisayarı) ve Ağ (Şirketin omurgası) olmak üzere ikiye ayrılır.

Endpoint DLP (Uç Nokta Veri Kaybı Önleme): Şirket bilgisayarlarına yüklenen hafif bir yazılım (Agent/Ajan) vasıtasıyla çalışır. En büyük avantajı, bilgisayar şirket ağından çıksa bile (personel laptopu evine veya bir kafeye götürse dahi) korumanın devam etmesidir. Endpoint DLP, USB flaş bellek yuvalarına kimin ne taktığını görür. Eğer izinsiz bir USB bellek takılırsa, "Read Only" (Sadece Okunabilir) moda geçebilir veya USB portunu tamamen bloke edebilir. Ek olarak, ekrandaki gizli bir belgenin "Print Screen" tuşu ile resminin çekilmesini, akıllı telefonlara Bluetooth üzerinden gönderilmesini, yerel ağdaki bir yazıcıdan (Printer) çıktı alınmasını veya belgedeki metnin kopyalanıp (Ctrl+C) masaüstündeki basit bir Not Defterine yapıştırılmasını bile milisaniyelik tepkilerle engelleyebilir. Ayrıca şirket dışındayken verinin HTTPS üzerinden dışarı çıkmasını, SSL şifresini donanım seviyesinde çözerek engelleme yeteneğine sahiptir.

Network DLP (Ağ Veri Kaybı Önleme): Kurumun internet çıkış kapısında (Gateway) veya e-posta sunucusunun önünde (MTA) konumlandırılan donanımsal veya sanal sunuculardır. Ajan yüklenemeyen (Linux makineler, cep telefonları, şirketi ziyarete gelmiş misafir bilgisayarları) cihazlardan çıkan trafiği gözetler. Özellikle E-Posta (SMTP/Exchange) tabanlı sızıntılarda Network DLP kritik rol oynar. Çalışan e-postayı gönder tuşuna bastığında, e-posta dışarı çıkmadan önce Network DLP cihazına düşer. İçerik ve ekteki dosyalar (Attachment) derinlemesine taranır. Eğer "Yalnızca Kurum İçi" ibaresi taşıyan bir Word dosyası varsa, e-posta iptal edilerek personele "Güvenlik İhlali Nedeniyle E-postanız Geri Çevrildi" uyarısı gönderilir. Network DLP'ler günümüzde SSL/TLS şifrelemesini kırarak (SSL Inspection) giden web trafiğini (HTTPs) de anlık taramaktadır.

4. Yasal Regülasyonlar (KVKK, GDPR) Kapsamında DLP'nin Yeri

Geçmişte DLP projeleri yalnızca finans bankacılığı veya savunma sanayii gibi "çok gizli" verilerle uğraşan kurumların lüksü olarak görülürken, bugün Kişisel Verilerin Korunması Kanunu (KVKK) ve global General Data Protection Regulation (GDPR) yasalarıyla her boyuttaki şirket için hukuki bir zorunluluk haline gelmiştir. KVKK kurumu tarafından yayınlanan "Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)" dokümanında, şirketlerin siber güvenlik altyapılarında "Veri Sızıntısı Önleme" sistemlerinin kurulması net bir şekilde önerilmektedir.

KVKK çerçevesinde şirketler, bünyelerinde barındırdıkları müşterilerine ait T.C. kimlik numaralarını, kredi kartı (PCI-DSS) bilgilerini, etnik köken, sağlık kayıtları (Özel Nitelikli Kişisel Veri) gibi bilgileri korumakla yükümlüdür. Bir hastane düşünün; hastaların tahlil sonuçları veya psikiyatri kayıtları bir sekreterin USB belleğine girip dışarı çıkarılırsa, hastane KVKK kurumu tarafından milyonlarca lira "İdari Para Cezası" ile cezalandırılır. Dahası, haber sitelerine düşecek bir sızıntı haberi, kurumun yıllarca biriktirdiği itibarını bir gecede yerle bir eder. DLP, verilerin kurum dışına izinsiz çıkışını otomatik olarak durdurduğu için, şirketleri bu devasa hukuki risklerden (Legal Liabilities) ve maddi tazminat davalarından doğrudan koruyan tek teknolojik kalkandır.

5. Bulut Bilişim Dönemi: Cloud Access Security Broker (CASB) ve DLP Entegrasyonu

Şirketler hızla On-Premise (yerel sunucu) yapılarından çıkıp Microsoft Office 365, Google Workspace (G-Suite), Salesforce, AWS ve Azure gibi Cloud (Bulut) sistemlerine göç etmektedir. Bulut mimarisi muazzam bir esneklik getirse de, klasik çevre (Perimeter) güvenliği mantığını yıkmıştır. Klasik DLP'ler, bilgisayardan dışarı çıkan veriyi görebilir ancak bir personel ofis dışındayken cep telefonuyla doğrudan şirketin Office 365 bulutuna girip verileri oradan kendi kişisel e-postasına yönlendirirse, klasik Uç Nokta veya Ağ DLP'si bunu göremez.

İşte bu yüzden modern DLP sistemleri CASB (Cloud Access Security Broker) çözümleri ile entegre çalışır. CASB destekli Bulut DLP'si (Cloud DLP), doğrudan Microsoft veya Google API'leri ile konuşur. Buluttaki OneDrive veya SharePoint dizinlerinizi tarar, oraya atılan dosyaların paylaşım izinlerini analiz eder. Eğer bir çalışan "Çok Gizli Tasarım" belgesinin linkini (Anonymous Link) "Herkesin Erişebileceği" (Anyone with the link) şeklinde buluttan dışarı açarsa, Cloud DLP bunu saniyeler içinde fark eder ve o linki otomatik olarak iptal edip, sadece şirket içi personel erişimine çeker (Auto-Remediation). Bulut entegrasyonu olmadan yürütülen günümüz veri sızıntısı önleme stratejileri tamamen kör kalmaya mahkumdur.

6. Sonuç: Etkili Bir DLP Projesi Nasıl Yönetilmelidir?

Veri sızıntısı önleme çözümleri "Tak, Çalıştır ve Unut" türünde yazılımlar değildir. Kötü planlanmış bir DLP projesi, personelin günlük işini (Business Continuity) yapmasını engelleyebilir, yöneticileri binlerce gereksiz alarm (False Positive Alert Fatigue) ile boğarak sistemin çöpe atılmasına yol açabilir. Başarılı bir DLP projesi mutlaka şu evrelerden geçmelidir:

• Sınıflandırma ve Envanter (Classification & Discovery): Önce neyi koruyacağınızı bilmelisiniz. Kurum içindeki veriler (Gizli, İçi Kullanım, Halka Açık) olarak etiketlenmelidir.
• Sessiz İzleme Modu (Monitoring Mode): DLP sistemi ilk kurulduğunda asla engelleme (Blocking) moduna alınmaz. 1-2 ay boyunca sadece izleme yapılır. Çalışanlar hangi veriyi, kime gönderiyor? Hangi iş süreçleri çalışıyor? Bu izleme sayesinde sistem eğitilir.
• Kural Optimizasyonu (Tuning): İzleme süreci sonunda meşru iş süreçleri beyaz listeye (Whitelist) alınır. Engellenecek kanallar netleşir.
• Aktif Engelleme ve İyileştirme (Enforcement): Son aşamada kurallar aktif edilir. Personele, engellendiklerinde bunun neden yasalara aykırı olduğunu anlatan eğitici pencereler (Popup) çıkartılır.

Inoguard Siber Güvenlik olarak, kurumsal müşterilerimize sadece yazılım lisansı satmıyoruz; şirketinizin kültürüne, departmanlarınızın çalışma dinamiklerine (İnsan Kaynakları, Satış, Finans) ve KVKK yasal zorunluluklarına %100 uyumlu, organik olarak nefes alan bir Veri Sızıntısı Önleme stratejisi inşa ediyoruz. Teknolojimiz sayesinde iş süreçlerinizi aksatmadan, sızıntı riskinizi "Sıfır"a indiriyor ve itibarınızı güvence altına alıyoruz.