Bilgi, günümüzdeki tüm kurumlar için en önemli rekabet silahı ama korunmasındaki zaaf da, yine en önemli riski yaratır.
O zaman güvenliği sağlamak lazım derseniz, sadece dışarıdan gelecek tehlikeler değil,içeriye de bakmanız gerekir. Güvenlik uzmanlarına baktığınızda size önce içeriyi kontrol altına almanızı öneriyorlar. Bir kuruma bilerek veya yanlışlıkla zarar veren kullanıcıların eylemleri, bugün IT güvenlik ekiplerinin karşı karşıya olduğu, en karmaşık ve yönetimi zor sorunların başında gelir.
Hassas bilgiye erişim sağlama ve içerden bir eylemin, bir ihlâle neden olacağı riski arasındaki doğru dengeyi tanımlamak ve korumak, kurumsal ihtiyaçların, risk alma ölçeğinin ve güvenlik teknolojisi ile desteklenen sağlam süreç uygulamalarının çok dikkatli bir değerlendirmesini gerektirir. Önce iç tehditleri bir analiz edelim;
İç tehditlerin Riski Ne Kadar Büyüktür?
İç tehditler, hâlâ bilgi güvenliği politikasının en tartışmalı ve yönetimi zor alanlarından biri olmaya devam etmektedir.
Sorunun bir kısmı, bir kurumdaki hiçbir yöneticinin, çalışanlarının bir ihlâle yol açabileceğine ya da açmak isteyeceklerine inanmak istememesidir. “Biz çalışanlarımıza güveniyoruz,” iç saldırılara ilişkin tartışmalara verilen en sık – ve en doğal – tepkidir. Sorunu örtbas etmek, güvenlik araçları satıcıları ve genel olarak medyadan gelen iç saldırıları rapor etmek ve bunlarla ilgilenmek yerine en sık kullanılan aşırı duygusal yaklaşımdır.
O hâlde, içeridekilerden gelebilecek olan risk tam olarak ne kadar büyüktür?
Cevap; iç saldırı olarak neyi tanımladığımıza ve ihlâllerde içeridekilerin oynadığı role bağlı olarak değişir.
2010 Verizon Risk Ekibi Veri İhlâli Soruşturma Raporu, incelenen ihlâllerin hemen hemen yarısının (%48) içeridekilerden kaynaklandığını bildirmektedir. Ayrıca, ilgi çekici bir başka husus da, iç ihlâl rakamlarında geçen yıldan bu yana olan bariz artıştır (+ %26).
O hâlde, bir iç saldırı salgını ile karşı karşıya mıyız?
Belki – ama, veri ihlâllerinde içeridekilerin rolünü anlamamız geliştikçe, kurumlara yönelik saldırıların karmaşıklığını ve serbest bilgi akışı ile iyi güvenlik arasında denge sağlamadaki zorluğu anlamamızın da geliştiğini söylemek de doğrudur.
İç saldırıları Anlayabilmek
Temelde, sadece iki tür iç saldırı vardır: kötü niyetli olan ve kötü niyetli olmayan.
Bu apaçık ortada olsa da, kötü niyetli olmayan ihlâllerin daha sıklıkla görülebildiği ve görüldüğü unutulmamalıdır. Kötü niyetli olan ve olmayan iç ihlâller ile ilgili istatistikler, bu ikisi arasında, kötü niyetli olmayan ihlâllerin aslında çok daha yaygın olduğunu göstermiştir.
Kötü niyetli olanların neredeyse üç katı kadar ihlâl, yanlışlıkla olan bir iç faaliyetten kaynaklanmaktadır. Bu, gerçekte, o kadar da şaşırtıcı değildir. Kötü niyetli olmayan ihlâller, genellikle, normal bilgi kullanımı ve özellikle e-posta, dizüstü bilgisayarların ya da depolama araçlarının kaybı ve kurum içinde yetkili olmayan kişilerin eline geçmesi gibi yollarla gerçekleşir.
Kullanıcılar, giderek artan büyük miktarlarda bilgiyi dizüstü bilgisayarlar ve akıllı cep telefonları gibi mobil araçlarda ve flash sürücüler gibi taşınabilir araçlarda taşıdıkları sürece, yanlışlıkla olan ihlâl riski artmaya devam edecektir. İstatistikler, işletme veya kurumların her yıl çok sayıda dizüstü bilgisayar kaybettiğini ve kayıpların %60’ında aracın sahibi tarafından sadece yanlış yere konduğunu göstermektedir. Ponemon Enstitüsü tarafından yapılan bir çalışmada, örnek olarak 300 civarı şirkette, yalnızca bir yılda 86.000 kadar dizüstü bilgisayarın kaybedildiği bulunmuştur.
Kötü niyetli olmayan iç ihlâller giderek büyüyen bir endişe konusuyken, çoğu güvenlik kuruluşları öncelikle kötü niyetli olan içeridekilerin eylemlerinin önlenmesine odaklanmıştır. Kötü niyetli olan içeriden biri uzun bir süre zarar verebilir ve çoğunlukla verecektir ve dış ihlâllere katkıda bulunan önemli bir faktör de olabilir.
CERT’in (Bilgisayar Acil Müdahale Ekibi) “İç Tehditleri Önleme ve Tespit Etme Kılavuzu”nda, yazarlar dört çeşit kötü niyetli iç saldırı belirlemektedirler;
- BT kaynaklarını sabote etmeye yönelik saldırılar (çoğunlukla intikam amaçlı)
- Malî çıkar amaçlı bilgi hırsızlığı (ya da modifikasyonu) saldırıları
- İş avantajı amaçlı bilgi hırsızlığı (ya da değiştirmesi) saldırıları
- Yetkisiz erişimle ilintili olan ama mutlaka kişisel çıkar için olmayan muhtelif saldırılar
Yarın bu tehlikeleri biraz daha detaylı inceleyeceğiz; Bu bölümü burayı tıklayarak okuyabilirsiniz.
Kaynak : 