BT profesyoneli olmayanlar için öneriler – 2
Bilişimci olmayanlar için kurumlarda yapılan suiistimaller, ortaya çıkarılması ve önlenmesi.
Berfin Seydan
Suistimal senaryoları ve uyarı işaretleri; Örneğin şifresini bilgisayar ekranına yazan bir bankacı yada bilgisayarını kilit moduna almadan yemeğe giden bir sistem yöneticisine üçüncü taraf (third party) bir firmanın yemeğe çıkan yöneticisinin haberi olmaksızın, sisteminizden çalınan verileri ne zaman fark ederdiniz? Ya da sistem yöneticisi bu durumu fark ettiğinde ne yapardınız? Tam olarak yanıt veremeyebiliriz ama T.C. kimlik numaralarının çalınması su istimal senaryosu olarak örneklenebilir. Bu tip durumlarda verilen bir alarm varsa buna da uyarı işareti diyebiliriz.
Suistimal inceleme ve ortaya çıkarılma yöntemleri arasında Veri Kaybı Önleme Platformu (Data Loss Prevention – DLP) çözümü bulundurmanız gerekmektedir. Hassas verileriniz sınıflandırılmış bir halde kurumun dışına çıkmasını önleyebilir, gerektiğinde uyarı alabilir ve hatta şüphelendiğiniz bir verinin kimler arasında gidip geldiğini keşfedebilirsiniz. Eğer sistem yöneticisi tarafından size de yetki verilirse, uyarıları anlık olarakta takip edebilir ve sistem yöneticinizle karşılıklı denetim ilkesi ile el sıkışa bilirisiniz. Ortaya çıkarılma yöntemleri için tüm protokol ve uç noktada çalışan “kullanıcı ajanları” ile ortaya çıkarma faaliyetlerinde %98’ e varan doğruluğa ulaşabilirisiniz.
Suistimal önleyici uygulamaları ise, ilk başta öğrenme arzusu ve eğitim ile şekillense de en önemli konu da elbetteki liyakattır. Eğer sistemlerinizi, hiyerarşi gereği size bağlı olan sistem yöneticileri ile eş zamanlı denetleyebilir ve yapılan en ufak bir işlemden bile haberdar olursanız önleyici uygulama sahibisinizdir. Kısacası DLP ve Audit çözümleri kullanmalı ve bu sistemlerin erişim tarafında yönetici olarak sizlerde bulunmalısınız. Üçüncü taraf (third party) ve ya kendi araştırma geliştirme çalışmalarınız ile önleyici uygulamalar satın alabilir veya kendinize özel uygulamalar geliştirebilirsiniz.
Aslında buradaki tüm süreç yönetimi bilginin izlenebilirliği ve izleme ile sürdürülebilirlik sağlamak adına yapılmaktadır. Kısa, orta ve uzun vadede önlemler almak için, bilgi seviyesini eşitlemek adına çalışmalar yapılmalıdır. Sürekli veri toplanmalı, bu veriler analiz edilmeli ve karar alınması adına geliştirmelere kaynak ayrılmalıdır. Her zaman, elde edilecek veri bilgiye dönmelidir. Operasyonel sistemlerdeki gelişmeler ve değişimler izlenmelidir. Kayıpların az olması ve kıyaslanabilir olması, bilginin kesinliğini ortaya çıkarmaktadır. Bu kesinlik ile gelişmeye devam edilmelidir. Kurulan sistemlerdeki her bir açık, suistimal edilecek gözü ile bakılıp, olası önlemler tahmin edilmelidir. İşlemlerin ve organizasyonel yapının birbiri ile olan ilişkisi doğru tanımlanmalıdır.Suistimal Risk Yönetimi adına yapılması gerekenler oldukça basittir. Kurum içi farkındalık eğitimleri ve önleyici uygulamaların kullanıldığını gösteren etkinlikler ve sisteme karşı suistimalde bulunanların, kullanılan önleyici uygulamaları sayesinde tespit edilip, meslekten men gibi ağır yaptırımlara maruz kalınabileceğinin anlatılması en büyük risk yönetimidir. Bunun dışında elbette ki Siber Olaylara Müdahele Ekibi (SOME) başlığı altında toplanan risk yönetimi kriterlerini de iyi bilmekte fayda var. Örneğin veri kaybı önleme platformunda hassas verilerinizi sınıflandırıp güvenlik politika ve kurallarını da tanımladınız. Peki; hassas veriniz, text halinde kopyalanıp bir image doyasına sytograph metodu ile eklenip gizlense, veri kaybı önleme platformunuzda böyle bir kural ya da politika tanımlanabilir mi? Üstelik tanımlanmış olsa bile sistem izinli içeriğin içinde şifrelenen gizli içeriği algılayabilir mi? Nasıl tespit edebilir? Bunun için geliştirilebilir çözümler olsa bile malesef henüz herhangi bir güvenlik çözümünde (standart gelen lisanlarda) yanıt bulamayız. Tablolardaki gizli bilgileri okuyabilme yeteniğiniz, sisteminizin kimin algoritması olduğuna ve hangi mimari ile inşa edildiğine göre farklılıklar göstermektedir.
Kaçak (Fraud); tablolardaki hata ve hile arasındaki farklardır şeklnde açıklandığında; şüpheli işlemleri analiz edebilme hızınıza orantılı olarak sonuca varabilirsiniz. İstemeden yapılan hile ise bilinçli bir eylemdir. Sık yapılan hatalar aynı zamanda bir hile göstergesidir. Daha net anlaşılabilmesi için örnek vermek gerekirse, sürekli zararlı yazılımlara maruz kalıyor ve fidye ya da çözümleme (decrpytion) bedeli ödüyorsanız, büyük olasılıkla hileye kurban gidiyorsunuz. Daha da kötüsü, egosu yüksek olan ve herşeyi bildiği sanan bir bilgi işlemciniz var demektir.
Yaşanmış suistimal örnekleri ve örnek çalışmalardan; dünyaca ünlü meşhur hacker olan Kevin Midnick’in “Aldatma Sanatı” isimli kitabında anlattığı onlarca hikayenin öznesi, yine insandır. Çünkü sosyal mühendislik çalışmaları ile zaafiyet bulan Kevin, kitabında insanların iyi niyetinden faydalanarak, çalışanların “suistimali oluşturan” unsur olduğuna dikkat çekmiştir. En son “wannacry” zararlı yazılımının oluşturduğu tehdit ve verdiği zararlar arasında İngiliz sağlık sisteminin çöküşü de vardı.
Sistemi ayağa kaldıranlar; şimdilik, “wannacry” tehditinden sıyrıldılar ve yeni olası saldırıları hazır kıta bekliyorlar. Sistem yöneticisinin denetlenebilir olması, sistemin daha güvenli olduğunu ispatlayamaz ama en azından, yöneticilerin bilgi işlemcinin dilini anlayabilmesi, bilgi işlem yöneticilerinin de zan altında kalmasını kesinlikle önleyebilmektedir.
Ortak dil kullanımı ve anlaşılabilirlik oranı ne derece yükselirse, yöneticilere sunulan güvenlik önlemleri arasında kullanılan açık kaynak kodlu, geliştirilebilir bir yapının oluşabilmesini ve hatta özgün sistemlerin kullanımını arttırdığı gibi, ödenen yüksek meblağlı donanım ve yazılımların millileşmesine de katkı sağlayacaktır.
Siber Güvenilir kalın efendim…