Güvenlik Politikaları ve Veri Sızıntısı: Şirketlerin Önlem Stratejileri

İnternetle iç içe geçen dünyamızda, sürekli farklı farklı kavramlar da hayatımıza giriyor. Veri sızıntısı da bu kavramlardan biri. Bu tehdidin önüne geçebilmek için alınan dijital imza gibi bir dizi önlem olsa da tehdidi tanımak ve doğru önlemleri almak oldukça önemli.

Veri Sızıntısı Nedir?

Hassas verilerin üçüncü bir kişi tarafından yetkisiz bir şekilde ifşa edilmesi veri sızıntısı olarak tanımlanır. Veri güvenliğinin zayıf olması ve temizleme işlemi, sistemlerin eski olması ve çalışanlarının bu konuda eğitim konusunda zayıf taraflarının olması veri sızıntısına neden olan faktörler olarak sıralanabilir. Sonucunda da kimlik hırsızlığı, veri ihlalleri veya fidye yazılımı kurulumu gibi sonuçlar doğurabilir. Korsanlar çaba göstermeksizin hassas verilere erişim elde edebilirler.

Veri Sızıntısı vs. Veri İhlali

Bu iki kavram birbirinin yerine kullanılıyor olsa da esasen farklı veri ifşası türleridir.

Veri ihlali; saldırının başarılı olması durumunda hassas verilere erişilmesi ve güvenliğin ihlal edildiği durumlarda ortaya çıkar.

Veri sızıntısı ise; gelecekte elde edilebilecek veri ihlallerinin daha hızlı gerçekleşmesini sağlamak amacıyla kullanılabilecek hassas verilerin ortaya çıkması durumuna verilen addır. Veri sızıntısının sonucu olarak veri ihlalleri ortaya çıkar.

Esasen her ikisi de kritik sonuçlar doğurmanın yanında mali açıdan zarar da verebilir. Ama aralarındaki en temel farklardan biri verilerde herhangi bir sızıntı yaşanması durumu veri ihlaline kıyasla daha fazla ihmal barındırır. Bu bilgi sızıntısı durumu genellikle herhangi bir kasıt içermese de insan hatası nedeniyle ortaya çıkar. Dolayısıyla insan hatası kuruluşlar ve işletmeler için önemli bir risktir. Dolayısıyla bilgi sızıntısı da en az veri ihlali kadar zarar verici olabilir ve içerden gelen tehditlerin bir sonucudur.

Suçlular amaçlarına ulaşmak için ya da bir diğer deyişle ciddi bir veri ihlali başlatabilmek için sadece bir veri sızıntısına ihtiyaç duyarlar. Ciddi sonuçlar doğurabildiğinden sızıntıların neden kaynaklandığını anlamak ve bunun önüne nasıl geçilebileceğini öğrenmek önemlidir.

Veri Sızıntılarına Ne Sebep Olur?

Sızıntılar genellikle bir siber saldırı yoluyla olmaz, esas sebep dahili bir sorun yaşanmasıdır. Siber suçlular henüz fark etmeden bu sızıntıları fark etmek ve önüne geçebilmek mümkün. Bu sızıntıların en yaygın nedenleri aşağıda sıralandığı gibidir:

• Kötü Altyapı: Yanlış yapılandırma veya altyapıya yama uygulanmaması, istemeden de olsa verilerde bir sızıntıya neden olabilir. Yanlış ayarlar, izinler ya da eski bir sürüm kullanmak görünürde herhangi bir sorun teşkil etmeyecekmiş gibi dursa da sızıntılara yol açabilir. Bu nedenle kuruluşlar ve işletmelerin alt yapılarının sağlıklı olduğundan emin olmalılar.
• Sosyal Mühendislik Dolandırıcılıkları: Her ne kadar veri ihlalleri genellikle bir siber saldırı sonucunda ortaya çıksa da siber suçlular veri sızıntısı oluşturmak amacıyla genellikle buna benzer yöntemler kullanırlar. Mesela kimlik avı e-postaları ile kullanıcının oturum açma bilgileri elde edilebilir ve bu da beraberinde çok daha ciddi veri ihlallerini getirir.
• Kötü Şifre Politikaları: Hatırlaması kolay olsun diye kullanıcılar genellikle birden fazla hesap ya da web sitesi için tek bir şifre kullanırlar. Dolayısıyla yapılabilecek bir kimlik bilgisi doldurma saldırısı dahi birkaç hesabın ortaya çıkmasıyla sonuçlanabilir. Unutulmaması için hesap şifrelerinin not edilmesi gibi basit bir hareket dahi veri sızıntısına neden olabilir.
• Kayıp Cihazlar: Çalışanın kuruluşun hassas bilgilerine sahip bir cihazı kaybetmesi ciddi sızıntılara sebep olabilir.
• Yazılım Güvenlik Açıkları: Suçlular eski yazılımları veya sıfırıncı gün açıklarından yararlanarak ciddi güvenlik tehditleri oluşturabilirler.
• Eski Veriler: İşletmelerin büyümesi ve dolayısıyla çalışanların artması ve değişmesi durumunda şirketler verileri kaybedebilir. Sistemlerin güncellenmesi ya da altyapının değiştirilmesiyle bu eski veriler açığa çıkabilir.

Siber Suçlular Veri Sızıntılarında Ne Arar?

Siber suçluların aradığı başlıca şey kişisel bilgilerdir. ABD HIPAA standartlarına göre ise bir diğer ortak hedef bireysel sağlık bilgileridir.

1. Müşteri Bilgileri

Veriler şirketten şirkete farklılık gösterse de bazı ortak faktörlerden bahsetmek mümkün:

• Kimlik bilgileri: İsim, adres, numara, e-posta adresi, kullanıcı bilgileri.
• Etkinlik bilgileri: Sipariş ve ödeme bilgileri, kullanım detayları, gezinme alışkanlıkları.
• Kredi kartı bilgileri: Kart numarası, CVV kodu, son kullanma tarihi, fatura posta kodu.

Şirketlere özgü bilgiler ise mali bilgiler, hastaneler ve sigortacıların tıbbi kayıtları, devlet kurumları için hassas belgeler ve formlar olarak sayılabilir.

2. Şirket Bilgisi

Müşteri bilgilerine ek olarak kurumsal bilgilerin de sızdırılma ihtimali vardır:

• Dahili iletişim: Not, e-posta, şirket operasyon detaylarına dair belgeler.
• Metrikler: Performans istatistikleri, tahminler ve şirket verileri.
• Strateji: Mesaj ayrıntıları, yol haritaları, rolodex’ler ve kritik bilgiler.

Bu bilgilerin açığa çıkması durumunda şirket projeleri engellenebilir, rakiplere işe dair fikir verebilir. Verilere dair ilgi, şirketin büyüklüğüyle doğru orantılıdır.

3. Ticari Bilgiler

Veri sızıntısı için en tehlikeli şey ticari bilgilerin ele geçirilmesidir. Çünkü işletmeye ve rekabet detaylarına dair kritik bilgiler içerirler. Bu bilgilerin ele geçirilmesiyle ürünün değeri düştüğü gibi yılların araştırmaları boşa gidebilir.

• Planlar, formüller, tasarımlar: Mevcut ve gelecek ürünler, hizmetlere dair detaylar.
• Kod ve yazılım: İşletmenin satmak için ya da şirket içi kullanım için tasarladığı tescilli teknoloji.
• Ticari yöntemler: Pazar stratejileri ve temaslar.

4. Analizler

Analizler, büyük veri kümelerine dayanır ve dolayısıyla birden çok bilgi kaynağını içerir. İşletmeler için çok önemli bilgilerdir fakat düzgün korunmadığı takdirde bir saldırı vektörü yaratabilir.

• Psikografik veriler: Tercihler, kişisel özellikler, demografi, mesajlaşma.
• Davranışsal veriler: Kullanıcın web site kullanımına dair ayrıntılı bilgiler.
• Modellenmiş veriler: Toplanan bilgilerden yola çıkarak tahmin edilen özellikler.

Veri Sızıntıları Nasıl Olur?

Veri sızıntısının nasıl olduğunu anlamak için üç temel soru sorulmalıdır: Bilgi nasıl üretilir, nasıl manipüle edilir ve nasıl kullanılır?

Bilgi güvenliği söz konusu olduğunda esnek bir süreç düzenlemek zordur. Süreç hataları, siber güvenliğin yeterli olmaması, operasyonel boşluklar veri sızıntılarına yol açan boşluklar yaratır. Dijital veriler eşit oranda yarar ve risk sağlar. Dijital veriler düşük maliyetlerle bozulma olmaksızın yeniden üretilebilir. Dolayısıyla hassas veriler yedeklenmiş olur. Fakat buradaki ikilem ne kadar çok veri kopyası varsa o kadar çok kazara da olsa ifşa olma olasılığı vardır.

Risk Altındaki Veri Türleri

Elbette ki hiçbir kuruluş herhangi bir veri sızıntısı yaşanmasını istemez. Ama bazı veriler diğerlerine kıyasla daha hassastır. Örneğin bir kuruluşa dair ürün tablosunun ifşa edilmesi çok ciddi sorunlar yaratmazken kullanıcıların kimlik belgeleri ve sosyal güvenlik numaralarının ifşa edilmesi bir felaketle sonuçlanabilir.

Bu sızıntıdan sonra ifşa edilebilecek veri türleri ticari sırlar ve fikri mülkiyet, özel tescilli kaynak kodu, satıcı fiyatlandırması, mevcut ürün, envanter durumu, tescilli araştırmalar, hassas müşteri verileri ve çalışan veriler olarak sıralanabilir.

Veri Sızıntıları Nasıl Önlenir?

 Veri sızıntıları genellikle teknik ve insan hatalarının da dahil olduğu operasyonel sorunlardan dolayı ortaya çıkar. Veri sızıntısını önlemek için esas olan çok katmanlı bir siber güvenlik yaklaşımı izlemek ve veri gizliliğine saygı duymaktır. Sağlam bir savunma sistemi sağlayarak bu sızıntıları önlemek mümkündür. Bunun için birkaç taktiğe ihtiyaç duyabilirsiniz:

• Güvenliği değerlendirin ve denetleyin: Kuruluşlar, özellikle yasal uyumluluk için verilerin korunması adına gerekli önlemleri aldıklarını teyit etmelidir. İşletmeler herhangi bir zayıf nokta bulduklarında bu eksiklik düzeltilmelidir.
• Veri erişimini kısıtlayın: Çalışanlar, sadece ihtiyaç duydukları kadar veriye ulaşmalıdırlar. Bu nedenle veri erişimi kısıtlanmalıdır.
• Veri depolamayı değerlendirin ve güncelleyin: Toplanan verilerin nasıl saklandığı ve düzenlendiği sıklıkla izlenmelidir. Eskimiş verilerin depolanması güvenlik açısından tehdit oluşturur.
• Eski verileri silin: Sızıntıların önüne geçmek için en temel adımlardan biri verileri düzenli olarak temizlemektir. Eski verileri silmek sızıntıları önlemek için yararlı olabilir.
• Çalışanları siber güvenlik farkındalığı konusunda eğitin: Düzenli eğitim, veri ihlallerinin önüne geçmek için adeta bir savunma hattı oluşturur. Bu nedenle çalışanlarınızı siber güvenlik farkındalığı konusunda eğitmelisiniz.
• Asla güvenme, her zaman doğrula: Hassas verilere yetkisiz erişimin önüne geçmek için sıfır güven yaklaşımı etkili bir yol olacaktır.
• Çok faktörlü kimlik doğrulama kullanın: Güçlü parola politikasına ek olarak çok faktörlü kimlik doğrulama kullanarak parola sızıntısı yaşansa dahi veri ihlali için yeterli olmasının önüne geçer.
• Üçüncü taraf riskini izleyin: Tedarik zincir saldırıları büyük ölçekli sızıntıya neden olabileceğinden takibi önemlidir. Mutlaka izlenmesi gereklidir.
• Düzgün bir şekilde yerleşik olmayan çalışanlar: İşten ayrılan çalışanın erişimi tamamen kaldırılmalıdır.