Veri sızıntılarının kaynağı genelde içeriden…

Fordefence Genel Direktörü Fehmi Genç

Herhangi bir bilişim sisteminin güveniği için içeriden ve dışarıdan gelen bilgi sızıntısı tehditlerine karşı birbirinden farklı ama birbirini tamalayıcı önlemler alınması gerekmektedir. İncelenen veri sızıntı vakalarının büyük kısmında, bilgi güvenliği ihlali yaşamış kişi veya kurumların ağırlıklı olarak dış tehditlere karşı tedbir almış oldukları görülmekte. Bu tarz vakalar üzerinde yapılan teknik incelemelerde veri sızıntısının içeriden bir personel tarafından bilinçli ve artniyetli bir şekilde gerçekleştirdiği veya personelin bilgi güvenliği farkındalığı olmadığı için art niyet olmasa da yanlış bir eylem yapmasından kaynaklı olarak yaşandığı görülmekte. Yapılan bu tespitlerin kurumların içeriden gelen veri sızıntısı tehditlerine karşı yeterli tedbir almadığı veya kurum çalışanlarının bilgi güvenliği farkındalığının olmadığını gösterdiğini belirten Fordefence Genel Direktörü Fehmi Genç, şu bilgileri verdi:

“Kurumların bilgi güvenliği farkındalığı eğitimlerine verdikleri önem gün geçtikçe artmakta ve bu konuda daha önce hiç eğitim almamış kurumların eğitimlerimize karşı daha ilgili olduğunu görmekteyiz. Bu gibi olumlu gelişmelere rağmen Türkiye genelinde yapılan bilgi güvenliği eğitimleri taleplerini dünya geneline göre değerlendirecek olursak oldukça geride olduğumuzu söyleyebilirim. Dünya genelinde gelişmiş ülkelerde iş  ve bilgi güvenliği tedbirleri büyük bir ciddiyele uygulanmakta, personellerin farkındalığını en üst seviyede tutmak maksadı ile sürekli ve periyotlar halinde farkındalık eğitimleri profesyonel firmalar tarafından dışarıdan verilmektedir. Yine Türkiye geneline baktığımızda, kurumlar çoğunlukla bu tarz eğitimleri iç eğitim olarak görmekte ve maliyetten kaçınmak için  iç kaynakları ile eğitimleri sürdürmeye çalışmaktadır. Çok nadiren kurumlar bu eğitimlerde başarılı olsa da genel olarak eğitmen “dışarıdan farklı bir göz” bakış açısına sahip olmadığı için yüzeysel veya etkisiz bir eğitim ile süreci tamamlanmaktadır.

Biz, öncelikle kurumlara bu eğitimlerin tek seferlik ve basit bir eğitim olmadığını anlatmaya çalışıyoruz. Zira teknolojinin sürekli olarak ilerlediği bir çağda yaşıyoruz ve her geçen gün farklı uygulamalar, farklı tehditlerle karşılaşıyoruz. Bilgi güvenliği yaşayan ve sürekli değişen bir süreç haline gelniştir. Personellerin de bu sürece ayak uydurabilmeleri için belirli periyotlarda bilgilerini güncellemeleri gerekmektedir. Diğer bir husus ise kurumların bu eğitimler dışarıdan, profesyonel bir kurumdan almaları gerektiğidir. Bu kısım çok önemli, çünkü çoğu zaman kurum içerisinde var olan bir eksikliği içeriden ve geleneksel bakış açısıyla görmek mümkün olmuyor. Eksiklikleri veya hataları farklı bir bakış açısı, farklı bir deneyim birikimi ile yorumlama her zaman daha olumlu sonuçlar doğurmaktadır.”

İnsan faktörünün asıl etken olduğu bilgi güvenliği hususunda alınan tedbirlere rağmen veri sızıntısı vakaları yaşanabiliyor malesef. Bu durum özellikle finans, üretim ve hizmet sektörlerinde faliyet gösteren bir kurumda yaşanıyorsa kurumsal itibarın zedelenmesinin yanı sıra çalınan verinin mahiyetine göre kuruma ekonomik olarak da inanılmaz zararlar verebiliyor. Fehmi Genç, bu konuda yaptıkları çalışmalar hakkında şu bilgileri verdi:

“Biz, veri sızıntısı vakaları incelemelerinde öncelikli olarak sızıntının halen devam edip etmediğini hızlı bir şekilde tespit ediyor ve adli bilişim delil toplama sürecini başlatıyoruz. Çoğu vakada özellikle içeriden bir sızıntının yaşandığı durumlarda şüphelenilen personeller hakkında kesin bir delil veya artniyetini gösterir bir emare kurum yetkilileri tarafından tespit edilemediği için veri sızıntısının devam etmesi veya delillerin karartılması gibi durumlar yaşanabiliyor.

Vaka inceleme sürecine başlarken en önemli husus dijital delillerin kanunlar çerçevesinde geçerli sayılabilmesi ve soruşturmanın sağlıklı ilerleyebilmesi için adli bilişim standartlarına uygun bir şekilde alınmasıdır. Soruşturma sürecinde ise deneyim faktörü sonucu doğrudan etkilemektedir. Bizim farkımız deneyimimizdir. Biz, yılda yaklaşık 2 bin adli vaka ve toplamda 12 binin üstünde adli vaka deneyimimizle teknik soruşturmalarda çok yönlü ve sonuç odaklı bir politika izlemekteyiz. Bu sayede her vakada yüksek başarı elde ve kesin sonuç elde ederiz.

Bir vakanın incelenmesi sürecinde, vakanın kim (kimler) tarafından nasıl gerçekleştirildiğinin tespit edilmesi ve tespitin delillendirilmesinin yanı sıra çalınan verinin tam olarak ne olduğu, sızma öncesi hazırlık safhasının nasıl yapıldığı, sızma sürecinde tam olarak neler yaşandığı ve ne kadar sürdüğü, sızma sonrasında delil karatma eylemlerinin yapılıp yapılmadığı, dışarıdan veya içeriden sürece destek veren kişlerin kimler olduğu, veri hasarı varsa verilerin tekrar kurtarılması, iç soruşturma veya adli dava süreçlerinde teknik destek hizmeti verilmesi, inceleme süreci sonrasında bu tarz vakaların birdaha yaşanmaması için tedbirlerin alınmasında teknik ve eğitim desteği verilmesi gibi birçok konuda müşterilerimize hizmet sağlamaktayız.”

“Biz gerekli tedbirleri alıyoruz ama…”

“Kurumlar genellikle başlarına olumsuz bir vaka geldiğinde bilgi güvenliği konusunda daha ilgili oluyorlar. Eğer kurumda daha önce veri sızıntısı vakası olmamışsa veya olsa bile bunu henüz tespit edememişlerse genel söylem ‘Biz gerekli tedbirlerimizi alıyoruz, senede bir kere test yaptırıyoruz zaten, bizim başımıza böyle birşey gelemez’ vb şeklinde olmaktadırlar. Özetle ülkemizde genel bakışaçısı bilgi güvenliği risklerini iyi anlamamak  veya görmezden gelmek. Halbu ki bir vaka yaşandığında özellikle yönetim seviyesindeki personellerin işlerini ve itibarlarını kaybetme rikleri oldukça yüksektir. Bu nedenle kurumların, özellikle yönetim kademesindeki personellerin bilgi güvenliği farkındalı eğtimleri için daha talepkar ve eğitim kurumunu daha iyi için zorlayıcı bir rolleri olması gerekir.

Eğitim bilgi güvenliğindeki ilk savunma kalesidir. Kurumlar personellerinin bilgi güvenliği farkındalığı artırmak için birşey yapmazsa gerek iç gerekse dış tehdirlere karşı asla yeterli mukavemette savunma yapamazlar. Bilgi güvenliğinde en önemli faktör insandır. Biz düzenlediğimiz eğitimde güncel ve gelişen risklerin anlatımının yanı sıra insan odaklı bir savunmanın nasıl yapılabileceğini gösteriyoruz. Eğitimlerimizde bilgisiz bir kişinin verebileceği zararların yanı sıra art niyetli insanların yapacakları eylemlerden sonra muhakkak tespit edileceği ve ne şekilde sorumlu tutulacağınıda anlatıyoruz. Bu sayede hem insanların bilgi birikimini artırmak hem de art niyetli kişilerin daha eylemi gerçekleştirmeden bundan vazgeçmesini sağlayabiliyoruz.”