İçeriden gelen siber tehditlere dikkat: Çalışan kaynaklı makus niyetli aksiyonlar Türkiye’deki şirketlerin %29’unu etkiliyor

İnsan faktörünün sebep olduğu siber olaylar ekseriyetle çalışanların yaptığı yanılgılara dayanıyor. Bu bahiste değerli bir detay olan personelin olası kasıtlı berbat niyetli davranışları göz gerisi ediliyor. Kaspersky’nin yaptığı en son araştırmaya göre, son iki yılda Türkiye’deki kurumların %73’ünün farklı hallerde siber olaylarla karşılaştığını ve bunların %29’unun çalışanların kasıtlı davranışlarından kaynaklandığını ortaya koyuyor.

Kurum içinde gerçekleşen tehditlerin kasıtsız ve kasıtlı olmak üzere iki ana çeşidi kaynağı bulunuyor. Kasıtsız veya kazara meydana gelen tehditler, kimlik avı ve diğer toplumsal mühendislik formüllerine kanmak veyahut hassas ve gizli bilgileri yanlış şahsa göndermek üzere çalışan yanlışları olarak gözleniyor.

Buna karşılık kasıtlı tehditler, işverenlerinin sistemlerine kasıtlı olarak giren berbat niyetli bireyler tarafından içerden gerçekleştiriliyor. Bu çoklukla hassas verilerin satışından maddi kar elde etmek veya şirketten intikam almak için yapılıyor. Berbat niyetli içeridekiler bir kurumun tertipli iş operasyonlarını aksatmayı veya durdurmayı, BT zayıflıklarını ortaya çıkarmayı ve gizli bilgileri elde etmeyi amaçlıyor.

Kurum içindeki berbat niyetli şahıslar ise tüm çalışanlar ortasında siber olaylara neden olabilecek en tehlikeli kümeler olarak tanımlanıyor. Bu şahısların hareketlerinden kaynaklanan tehditler aşağıdaki faktörler nedeniyle daha da karmaşık hale geliyor:

• Kullandığı bilgi güvenliği araçlarının detayları da dahil olmak üzere bir kuruluşun altyapısı ve süreçleri hakkında özel bilgiye sahipler.
• Şirket ağının içindedirler ve kimlik avı, güvenlik duvarı taarruzları üzere yollarla dışarıdan şirkete nüfuz etmeleri gerekmez.
• Kurum içinde meslektaşları ve arkadaşları vardır. Bu nedenle toplumsal mühendislik tekniklerini kullanmaları çok daha kolaydır.
• Kuruma ziyan vermek ismine yüksek motivasyona sahiptir.

İç tehditler ve işletmelerin savunma stratejileri

Çalışanların işverene karşı makus niyetli hareketlerde bulunmasının ana nedenlerinden biri finansal çıkar elde etmek. Çoklukla bu, hassas bilgileri üçüncü bir tarafa satmak amacıyla çalmak manasına geliyor. Rakipler veyahut hatta siber kusurluların işletmelere saldırmak için bilgi satın aldığı karanlık ağda bunları açık artırmaya koyabiliyor.

Çalışanlar işten çıkarıldığında da intikam emeliyle makus niyetli davranışlar sergilenebiliyor. Bunu da öbür çalışanlarla olan irtibatları aracılığıyla çarçabuk gerçekleştirilebiliyor. Lakin yaşanacak en makûs senaryo, kurumun kurumsal sistemlere erişim yetkisini kaldırmamış olması nedeniyle eski çalışanın hala iş hesabına uzaktan giriş yapabilmesi durumunda gerçekleşiyor.

Çalışanlar, işlerinden şad olmadıklarında veyahut kendilerine bekledikleri adil artırımı veyahut hak ettikleri terfiyi vermeyen bir işverenden öç almak için de kasıtlı ve ziyan verici berbat niyetli davranışlar ortaya koyabiliyor.

Bir öbür farklı makûs niyetli hareket çeşidi, içerden bir veyahut daha fazla kişinin, tertibin güvenliğini veya istikrarını tehlikeye atmak gayesiyle harici bir aktörle şuurlu olarak iş birliği yapması durumunda ortaya çıkıyor. Bu hadiseler sıklıkla, özellikle siber kusurluların, farklı tıpta taarruzlar gerçekleştirmek üzere bir veya daha fazla içeriden kişiyi kandırma veya işe alma yoluyla muahedesini temel alıyor. Saldırganlar, rakip firmalar veya öbür ilgili taraflar üzere üçüncü tarafların, örgütün hassas, bâtın veyahut kritik bilgilerini elde etmek, manipüle etmek veya sızdırmak için içeriden çalışanla gizlice işbirliği yaptığı durumlar da kelam konusu olabiliyor. Bu çeşit hareketler, çoklukla tertibin itibarına, finansal durumuna veya operasyonel etkinliğine kıymetli ziyanlar vererek, uzun vadeli olumsuz sonuçlara yol açabiliyor.

Kaspersky Bilgi Güvenliği Başkanı Alexey Vovk, şunları söylüyor: “Kötü niyetli aktörler, büyük işletmelerde ya da küçük işletmelerde her yerde bulunabilir. Bunu asla bilemezsiniz. İşte bu yüzden işletmeler, tehditlere karşı müdafaa sağlamak için yeni, güçlü ve şeffaf bir BT güvenlik sistemini oluşturmalı; etkili güvenlik analizleri, akıllı güvenlik protokolleri ve hem BT çalışanı hem de BT olmayan personel için eğitim programlarını birleştirmelidir. Bunlara ek olarak, tertibin altyapısını koruyacak yapıtların ve analizlerin uygulanması hayati değer taşır. Örneğin Kaspersky Endpoint Detection and Response Optimum, gelişmiş anomali kontrolü içerir. Bu da şirket içindeki çalışan bir içeriden ya da tertip dışındaki bir saldırgan tarafından gerçekleştirilen kuşkulu ve potansiyel olarak tehlikeli faaliyetleri tespit etmeye ve önlemeye yardımcı olur.”

Kaspersky, kurum içinden gelen tehditlerle uğraş etmeniz için şunları öneriyor:

• Çalışanlar ortasında farkındalığı artırmak ve kasıtlı bilgi güvenliği siyaseti ihlallerini önlemek için siber güvenlik eğitimleri uygulayın. Çalışanların bilgi güvenliği farkındalığını artırmak için onları inançlı internet davranışlarını öğreten Kaspersky Automated Security Awareness Platform eğitim programı bu iş için idealdir.
• BT güvenlik uzmanları için uygun eğitim programlarına yatırım yapın. Kaspersky Cybersecurity for IT Online eğitimi, BT yöneticileri için BT güvenliğiyle ilgili kolay ancak etkili en uygun uygulamaların ve kolay olay müdahale senaryolarının oluşturulmasına yardımcı olur. Kaspersky Expert Training, bilgi güvenliği kümenizi tehdit yönetimi ve tehditleri azaltma konusunda en son bilgi ve hünerlerle donatır.
• Kaspersky Endpoint Security for Business Advanced, Kaspersky Total Security for Business ve Kaspersky Endpoint Detection and Response Optimum tarafından sunulan gelişmiş anomali kontrolü özelliği, çalışanlar tarafından veyahut bir saldırganın sistemin kontrolünü ele geçirmesi durumunda potansiyel olarak tehlike ortaya koyan faaliyetlerin önlenmesine yardımcı olur.

• Kişisel aygıtların ve üçüncü parti uygulama ve hizmetlerin kullanımını kontrol edin ve sınırlayın. Kaspersky Endpoint Security for Business ve Kaspersky Endpoint Security Cloud, istenmeyen uygulamaların, web sitelerinin ve etraf ünitelerinin kullanımını sınırlayan uygulama, web ve aygıt kontrolleri sunarak, çalışanların bilgi aktarmak için şirket tarafından onaylanmayan aygıtları, uygulamaları veyahut hizmetleri kullandığı durumlarda bile bulaşma risklerini değerli ölçüde azaltır.
• Yönetici haklarının yalnızca iş için gerekli olan seçeneklerle sonlandırılmasına müsaade veren eserler kullanın. Kaspersky Endpoint Security for Business, Kaspersky Security Center yönetim konsolu öğelerine rol tabanlı erişim sunar. Böylece tüm yöneticilerin güvenlik işlevleri üzerinde tam kontrole ihtiyacı olmaz.
• Kaspersky Security for Internet Gateway, ağ içindeki uç noktalarda cinsine, platformun müdafaa durumuna ve kullanıcı davranışına bakılmaksızın istenmeyen veri iletimini önlemek için içerik filtreleme özelliğine sahiptir.