Kısa zaman evvel genç bir havacının saklı dokümanları internete sızdırdığının ortaya çıkmasının ardından, Amerika Birleşik Devletleri hükümeti bir kere daha, hem içeriden hem de dışarıdan, makûs maksatlı şahısların ülke gizemlerini paylaşmaya maksatlı olduğu aslıyla yüzleşti. Yalnızca bu dahi güvenlik liderlerinin uykularını kaçırmaya yetti. Buna bir de düşük seviyede saldırganlık kapsamasına karşın, aynı derecede devirici bir tehdit olan bilgi sızıntıları ilave edildiğinde ortaya bütün anlamıyla bir kabus senaryosu çıkıyor. Burada bahsi geçen tehdit; iç personel tarafından kazara, istemeden yapılan sızıntılar. Bu sızdırıcıların reelde makûs bir hedefi yok. Yalnızca işlerini yapıp yaşamlarını yaşarlarken, ulaşmamaları gereken bilgilere ulaşıyor ve/veya paylaşıyor, kayıtsızca ve itinasızca departmanlarını ve Amerika Birleşik Devletleri çıkarlarını tehlikeye atıyorlar. 

Veeam Müessesesel Taktiklerden Mesul Başkan Yardımcısı Dave Russell ve Veeam Ürün Taktiklerinden Mesul Kıdemli Direktör Rick Vanover mevzuyla alakalı şunları aktarıyor:

İnsan yanılgısı, kamu ve özel sektördeki bilgi ihlallerinin sarih ara en büyük sebeplerinden biri. Öyle ki, Dünya Ekonomik Forumu ’nun 2022 Küresel Tehlikeler Raporu, siber güvenlik tehditlerinin %95 ’inin bir cins insan kusurundan kaynaklandığını ortaya koyuyor. 2022 Bilgi İhlali Araştırmaları Raporu DBIR ise ihlallerin %82 ’sinin insan kusurlarından kaynaklandığını ortaya çıkarıyor.

Dolayısıyla, kazara asıllaşan bilgi sızıntıları senelerdir hükümetlerin baş belası olmaya devam ediyor. Dünya genelinde, bir İngiliz memurun El-Kaide dosyalarını trende vazgeçmesi, Avustralya hükümet dosyalarının satılan dolaplarda bulunması ve İngiltere hükümetinin terörle gayret taşıtlarının yanlışlıkla Trello ’da sızdırılması gibi hadiseler yaşandı. Amerika Birleşik Devletleri ’de ise 2015 senesinde 191 milyon seçmenin şahsi bilgileri internette yayınlanmış ve Amerika Birleşik Devletleri askerleri nükleer gizemleri yanlışlıkla bir çalışma uygulamasına sızdırmıştı.

Gerçeğinde bu sualin ortadan kalmayacağını, hatta daha da makûsa gidebileceğini söyleyebiliriz. Bilgi taşınabilirliği dayanarak çoğalıyor ve bu vaziyet hükümetlere bilgileri farklı lokasyonlarda barındırma ve hibrit çalışma civarlarında çok departmanlı ulaşıma izin verme gibi avantajlar sunuyor. Online çalışma çoğaldıkça, müesseselerin çalışanlarının teknoloji uygulamaları üzerindeki teftiş seviyeyi eksiliyor. Buluttaki daha fazla bilgi, bilgisayar korsanlarının itinasız bilgi kullanımından faydalanmaları için daha fazla portal yaratıyor. Bu meyiller, personelin siber hijyen veya OPSEC işlem güvenliği mevzusundaki bilgi yetersizliğiyle birleştiğinde, kamu bilgi kaynakları bir bilgisayar korsanının iştahını kabartan kolay bir hedef haline geliyor.

Peki, kamu ve özel sektör, bilgilerin sızıntı yapabilecek noktalardan geçirilmemesi noktasında çalışanlarına nasıl takviyeci olabilir?

İlk olarak, kuruluşlar bulut ve konteyner etraflarındaki bilgilerinin güvenliğini sağlayabilirler. Kuruluşlar buluta yatırım yaptıkça, bir hayliyi kuruluşlarında bekledikleri titiz standartları karşılayan ağ ve güvenlik çerçeveleri oluşturmakta galibiyetsiz oluyor. Kuruluşlar uygulamadan evvel bulut güvenlik modelleri oluşturmazlarsa, geri dönüp uygun hakimiyetleri yapmak için genellikle çok geç olur ve bu kuruluşların IP ’sini tehlikeye atar. Bu, makûs maksatlı bir oyuncunun ağ içinde yaşamasına izin vermek gibi bir şeydir. 

Ayrıca, kuruluşlar kimin hangi bilgilere ulaşabileceğine ait siyasetlerini iyileştirebilirler. Bilginin kritik kıymeti göz önünde bulundurulduğunda, özellikle de bu bilgi saklı bilgi kategorisindeyse, kuruluşların “en az istisna” prensibine dayalı sıfır güven güvenlik modelleri ve rol tabanlı ulaşım hakimiyeti RBAC prosedürleri oluşturması gerekir.

Sıfır güven güvenlik modelleri, kullanıcıları aradıkları bilgilere ulaşmak için kendilerine güvenilebileceğini faal olarak göstermeye güçler. Bu da öğrenilen kullanıcıları şifreler, seans açma bilgileri veya biyometrik bilgiler temelinde belirleyebilen vasıtaların kullanılması anlamına kazanç. En az istisna prensibi, kullanıcıların sadece kullanmaya yetkili oldukları taşıtlara, teknolojilere ve evraklara ulaşmalarına izin vererek açıyı daraltır. Kuruluşlar, çalışanların rolleri değiştiğinde ise bu ulaşım imtiyazlarını değiştirebilir.

Son olarak, kuruluşlar maksatsız bilgi sızıntıları mevzusunu, personelin “dijital hijyen” uygulamasını iyileştirmek için bir tetikleyici olarak ele almalıdır. Bu, siber güvenlik uygulamaları ve uygun bilgi harekâta gereksinimi hakkında kumpaslı eğitim turlarını kapsar. Kuruluşlar güvenlik uzmanlarıyla dolu olmadığından, çalışanlarına güvenlikle alakalı temel bilgileri vermeleri ve bir sızıntıyla karşılaştıklarında yapılması gereken uygun eylemlerin neler olduğunu aktarmaları gerekir. Ayrıca siber güvenlik eğitim programlarının aktifliğini tekerrür tekerrür test etmeleri de ehemmiyetlidir. Bir Hayli kuruluş senede bir ya da iki kere güvenlik farkındalığı eğitimleri tertip ediyor, ancak bu yeterli değil. “İnsan güvenlik duvarı” eğitimi devamlı olmalı ve çalışanlara tehditler ortaya çıktıkça aktüellemeler ve yeni direktifler sunulmalıdır.

Bu aynı zamanda ehemmiyetli dijital varlıkların tanımlanmasını da içerir. Bir kuruluş için hangi varlıkların kritik ehemmiyete sahip olduğu ve bunların nasıl tesirli bir biçimde korunacağı mevzusunda bilgi sahibi olmak, galibiyetli bir siber güvenlik müdahale tasarıyı oluşturmak için hayati ehemmiyet taşır. 

Değişik en iyi uygulamaları ise şöyle sıralayabiliriz:

Çok etkenli kimlik doğrulama MFA kullanın. Ek hesap güvenliği sağlamak için MFA ’yı yapılandırın  Güçlü bir şifre siyaseti ve hesap kilitleme siyaseti kullanın  Kullanılmayan aygıtları, uygulamaları, işten dağılan çalışanları ve lüzumlu olmayan programları ve takviyeci programları kaldırın  Lüzum dinlenmediğinde internet ulaşımını, irtibat noktalarını ve değişik irtibatları kapatın Yama yönetimi: Kullanımdaki tüm yazılım, ekipman ve makine yazılımlarının aktüel yazılım seviyelerini çalıştırdığından emin olun

Hükümetler ve özel kuruluşlar hamle altında. Sahte oyuncular her geçen sene daha yaratıcı ve daha akıllı hale geliyor, bu da hayati ehemmiyet taşıyan varlıkların yanlış ellere geçmesini önlemek için müesseseleri daha aşırısını yapmaya zorluyor. Koruma stratejileri düşmanca tehditlere odaklanmalı, ancak düşmanca olmayan tehditleri de içermelidir, zira maksatsız bilgi paylaşımları da kuruluşları büyük tehlikelerle karşı karşıya getirebilir. 

Kaynak: BYZHA Beyaz Haber Ajansı