Güvenlik yöneticiler ve IT yöneticileri, izleme yazılımı kullanma konusunda gün geçtikçe daha az çekingen davranıyorlar. Üstelik bu yazılım her zaman çevreyi izlemek için kullanılmıyor. Şirketin içindeki insanların, yıllar içinde daha fazla oranda izlenmeye başlandılar. – gelen ve giden e-posta kutularında, kurumsal bilgilerin sızdırıldığı kuşkusu uyandıracak belirli sözcüklerin var olup olmadığını yoklamak, klavyede basılan tuşları kaydetmek ve çalışanın gezindiği Web sitelerinin izini sürmek gibi.
Her ne kadar öğlen arasında beraber kahve yudumladığınız insanları gözetlemek insana pek doğru gelmese de güvenlik analizcileri bunun, alınması gerekli bir önlem olduğu konusunda hemfikir.
İnsanların çoğunluğunun hacker’ların şirkete girip verileri yok edeceği ya da kritik bilgileri çalacağı korkusuna rağmen, gerçekte çoğunlukla güvenliği çiğneyenler içeriden birileri oluyor. Bunlar şirketten hınçlarını, güvenliğe zarar vererek alan şirketin kendi çalışanları – İnsan Kaynakları’nda çalışan adam, büro şefi gibi. Bu kişiler iş arkadaşlarının kişisel dosyalarına burunlarını sokarlar. Kendi kayıtlarını değiştirirler. Hatta anahtar niteliğindeki pazarlama ya da mühendislik planlarını gizlice işyerinden çalmak için rakip şirketlerden para bile alırlar.
“Hala bir şirketin en yüksek olası zararı, içsel risktir,” diyen ve bir ağ güvenliği şirketi olan SilentRunner’da başkan yardımcısı olan Dan Woolley sözlerini şöyle sürdürüyor: “Geçmişteki deneyimlerden biliyoruz ki teknolojinin içsel kullanımın beraberinde getirdiği büyük bir risk potansiyeli vardır. Bu, kablosuz bağlantıyı açık unutan birinin yaptığı kadar basit olabilir. Ya da eğer birisi huzursuzsa ya da bir diğer çalışandan hoşlanmıyorsa, kuruluşa çok pahalıya mal olacak şeyler yapabilir. İşte bizim bu konularda dikkatli olmamız gerekir.”
Sektörün analiz firması olan Gartner Inc.’in raporuna göre mali zararın çoğunluğu içeridekilerden kaynaklanmaktadır – ya yalnız başına çalışırak ya da şirket dışında birisiyle birlikte çalışarak zarara neden olmaktadırlar. Diğer analizci firmalar, güvenlik ihlallerinin %70’i ila %90’ının içeriden kaynaklandığını söylüyorlar.
Ve gerçekle yüzleşin, şirketin canını yakmayı en iyi bilenler, çalışanlardan başkası değildir – ne okuldan sonra evde tek başına kalan çocuk ne de rakip kurumca ücretli tutulmuş sabotajcılar. Çalışanların, kendi patronlarının şifrelerini tahmin etmeleri çok daha kolaydır. Kim bilir belki şifreyi patronun monitörüne yapıştırılmış bir post-it kağıdında bile görmüş olabilir. Yeni projeler tasarlandığında onların haberi olur. Muhtemelen kilit bilgilerin nerede saklandığını dahi biliyorlardır.
Böyle bir şeyi yapmaya eğilimli birisini ikna etmek hiç de zor olmaz.
“Bakın, bu işi yapması için yıllık olarak kendisine 20.000 ya da 30.000 dolar alan insanlardan bahsediyor olabiliriz,” diyen Woolley şöyle konuştu: “Bu tür çalışanlar şu tür sözlerle ikna ediliyorlar: ‘Kızının üniversite parasını bizim ödememizi ister misin? Tek yapman gereken bize biraz bilgi getirmek. 5.000 dolara ne dersin?’ Kurumsal veriler çok kritiktir öte yandan kurumsal ağlar çok zayıftır. Bu tür olaylar, düşünmek isteyeceğimizden çok daha sık olmaktadır.”
İçsel-kaynaklı güvenlik sorunları hakkındaki rakamlar, bilişim teknolojisi yöneticilerini, koridorda yanından geçen ya da aylık toplantıda yanına oturan iş arkadaşlarına ikinci kez göz atmaya teşvik etmeye yeterli. Ancak iş arkadaşlarını izlemek hala alınması kolay bir tedbir değil.
“Güvenlik yöneticiler ve bilişim amirleri şirketin içindekilerden gelebilecek tehdidin çok iyi farkındalar ama çoğu zaman bunlara karşı değil de dışarıdan gelebilecek tehditlere karşı önlem almak hem teknik hem de politik açıdan daha kolaylarına geliyor.” diyen, Gartner’ın işletmeden sorumlu başkan yardımcısı Victor S. Wheatman şöyle konuştu: “İşletmeler ya kendilerini niyeti bozuk dahili çalışanlara karşı koruma için önlem almalı ya da kendilerini dahili suçlardan gelecek zararlara uğramaya terk etmelidirler.”
Peki Ya Çalışan Hakları?
IT yöneticileri kendi çalışanlarını gözetledikleri ve bunun zaten bozuk olan bütçelerini tırtıkladığı gerçeğinin farkına vardığında, yapmak zorunda kaldıkları şey neyi gözetlemeye haklarının olduğunu bulmaktı.
Endüstri uzmanlarının çoğunluğu “Hayır” diyor. Söz konusu olan şirket ağının, şirket bilgisayarlarının, kurumsal e-posta sisteminin ve hatta şirketin telefon sisteminin kullanımı olunca, bu bağlantı hatlarından geçen her şey şirket bilgisidir. Eğer bir çalışan öğlen arasında Internet’ten alışveriş yapıyorsa, bu şirketi ilgilendirir. Eğer bir diğer çalışan üniversitede yıllarındaki oda arkadaşına e-posta gönderiyorsa şirketin bunu okumaya hakkı vardır. Bir işçi kişisel HotMail hesabını gözden geçiriyorsa bile şirketin bunu okumaya hakkı vardır çünkü o işçi posta hesabına, kurumun bilgisayarında ve kurumsal ağ üzerinden göz atmaktadır.
“Hukuk, elektronik belgelerde ve e-posta’da hiçbir mahremiyet beklentisi olmaması gerektiğini söylüyor,” diyen ve merkezi Philadelphia’da bulunan ePrivacy Group Inc.’in başkanı olan Vincent Schiavone şöyle konuştu: “Hiçbir çalışan işyerinde mahremiyet beklentisine kapılmasın. Şirketlerin güvenli bir iş ortamı temin etmeleri şarttır. Bu, yapılması zor bir iştir. Bunu temin etmek, sistemde yeterli bir güvenliğe sahip olmayı gerektirir.”
Merkezi Nebraska, Omaha’da bulunan Solutionary Inc.’in güvenlikten sorumlu baş hukuk danışmanı Mark Rasch: “Ancak şirketlerin ayrıca, çalışanların Internet ve e-posta kullanımlarına ilişkin, açık seçik düzenlenmiş bir şirket politikası oluşturmaları da şarttır, eğer bir şirket çalışanlarını izleyecekse bunun da şirket politikasında yer alması ve çalışanların bu konuda eğitilmeleri gerekir.” diyor.
“Çalışanlarınıza, onların e-postalarını, Internet kullanımlarını vs. izlemeye niyetli olduğunuzu açıklamak zorundasınız.” diyen Rasch izleme politikasının bir çok planlama gerektirdiğini ve şirketin insan kaynakları’nın, hukuk bölümünün, IT bölümünün ve işletme yetkililerinin buna katılması gerektiğini belirtti: “Şirket politikalarını çok iyi iletmek ve bunun şirkette iyi bilinmesini temin etmek zorundasınız. Yasal nedenlerden dolayı çalışanın rızasını almak zorundasınız.”
Rasch federal ve eyalet kablo çekme yasalarının, tüm bina-içi izleme durumlarında çalışana bildirimde bulunulmasını şart koştuğunu söylüyor.
Elektronik İletişimin Mahremiyetine ilişkin federal yasa, kablo çekme yasalarını genişleterek, e-posta ve web’de gezinti dahil elektronik kayıtları da bu kapsama alıyor.
“İnsanları faka basmak istemezsiniz,” diyen Rasch sözlerine şunları ekledi: “İnsanların özel yaşam mahremiyetleri olmadığı halde, var sanmalarını istemezsiniz. Tüm bu yazıları göreceğinizi çalışanlara bildirmeniz gerekir. Yok eğer bunlara göz atmayı düşünmüyorsanız, o zaman, aynı şekilde, göz atmayacağınızı bildirin.”
Rasch, işverenlerin gerçekten de çalışanlarına, işyerinde mahremiyet ummamaları konusunda uyarmaları gerekir. Onlara ayrıntılı bilgi verin. Eğer şirket, şirket bilgisayarları üzerinden yollanan kişisel e-postaları, kişisel Yahoo hesabı dışında izleyebilmeyi düşünüyorsa, çalışanlara bunu söyleyin. Eğer çalışan kendi Internet bankacılığı hesabına bakarken şirket klavyede basılan tuşları izlemeyi tasarlıyorsa, bunu onlara söyleyin. Eğer çalışanlar iş saatinde kişisel hiçbir şey yapmamalıysa, bunu dile getirin.
“Çalışanların beklentilerinizi siz oluşturmak zorundasınız.” diye ekleyen Rasch şöyle konuştu: “İnsanlar hiçbir mahremiyet beklentilerinin olmadığını söylerler ama bunun varlığını umarak hareket ederler… Sorunlardan biri, insanların mahremiyet beklentilerinin sadece yazılı şirket politikasına değil aynı zamanda bu politikanın nasıl uygulandığına bağlı olması. Eğer asla uygulanmayan ya da gelişigüzel uygulanan bir kullanım politikanız varsa o zaman insanlar içlerinde mahremiyet beklentisi geliştirirler. Sonra da siz onları izlediğinizde şaşırırlar ve altüst olurlar.”