Veri ihlali geçici bir saldırıdan çok daha fazlası olabilme ve hayatınızın akışını değiştirebilme potansiyeline sahiptir. İşletmeler, hükümetler ve bireyler, olası bir saldırıda hassas bilgilerin ifşa edilmesinden kaynaklanan büyük sorunlarla karşı karşıya gelebilirler. Böyle bir durumun yaşanmaması için atabileceğiniz birçok adım vardır. En basit örneklerden biri olarak kuruluşunuzda hassas veriler içeren tüm cihazları şifrelerini güçlendirebilir, ek güvenlik önlemleri alarak güvenliği en üst düzeye çıkartabilirsiniz. Ek olarak dijital imza sistemleri edinebilir, kişisel bilgilerin sert prosedürlerle korunmasına destek olabilirsiniz.
Veri İhlali Nedir?
Veri ihlali, özel, hassas veya korunan bilgilerin yetkisiz bir kişinin kullanımına sunulmasıdır. Bir veri ihlalinde dosyalar yetkisiz olarak okunur, kopyalanır veya paylaşılır. Küçük işletmeler, büyük şirketler ve hatta hükümetler de dâhil olmak üzere herkes veri ihlali riski altında olabilir. Daha da önemlisi kişiler eğer korunmazlarsa başkalarını da tehlikeye atabilir. Veri ihlalleri tipik olarak teknoloji ve kullanıcı eylemleri sonucu olarak ortaya çıkar. Bilgisayarlarımız ve mobil cihazlarımız daha fazla bağlantı kabiliyeti kazandıkça verilerin tehlike altında olması için daha fazla fırsat ortaya çıkmakta ve teknoloji olumsuz olarak gelişmektedir.
Veri İhlalinin Nedenleri
Bir veri ihlaline dışarıdan bir bilgisayar korsanının neden olduğu varsayılır ancak bu her zaman doğru değildir. Bazen bireylerin basit bir gözetim hatası veya bir şirketin altyapısındaki kusurlardan da veri ihlali ortaya çıkabilir. 2019 Verizon Veri İhlali Soruşturmaları Raporu, suçluların kullandığı dokuz modeli tanımlamıştır. Aşağıda sıralanan dokuz model ihlallerin yüzde 88’ini oluşturmaktadır.
1. Verilere erişim izni olanların görevini kötüye kullanması:
Şirket çalışanları ulaştıkları verilerin değerini bilir ve verileri çalmak isteyebilirler. Elde ettikleri verileri ya satarlar ya da yeni bir şirket kurmak için kullanırlar.
2. Fiziksel hırsızlık ve kayıp:
Otel lobisinde kalan bir dizüstü bilgisayar, korunan verileri ihlal etmek için kullanılabilir. Bununla birlikte, ihlaller kâğıt belgeleri de içerebilir. Fiziksel varlıkların kaybı kasıtlı ya da tesadüfi olabilir.
3. Hizmet reddi:
Bu saldırılar ağları ve sistemleri hedef alır. Hizmet reddi saldırıları genellikle hizmeti bozmak için büyük kuruluşları hedef alır.
4. Suç Yazılımları:
Suç yazılımları zararlı yazılım türlerini ve sosyal mühendislik saldırılarını içerir. Suç yazılımları fidye yazılımlarını, SQL enjeksiyonlarını, kimlik avı girişimlerini içerebilir. şunları kullanabilir:
5. Web uygulaması saldırıları:
Bir web uygulamasına kaydolduğunuzda kişisel bilgilerinizi paylaşırsınız. Saldırganlar adınız, adresiniz gibi çeşitli verileri çalar ve bunları başka yerlerde kullanır.
6. Ödeme kart ve banka kartı hırsızları:
Suçlular, kişisel ve finansal bilgileri çalmak için kredi kartı okuyucusuna bir sıyırıcı yerleştirebilir.
7. Siber casusluk:
Siber casusluk kötü amaçlı bir e-posta olarak karşımıza çıkabilir. Amaç, bir sistemi delmek ve zaman içinde bilgi çalmaktır.
8. Pos saldırıları:
Pos saldırıları satış noktası terminallerini ve denetleyicilerini hedefler. Genellikle restoranlara ve küçük işletmelere gerçekleştirilen saldırılardır.
9. Çeşitli hatalar:
İstenmeyen güvenlik kazaları ihlallere yol açabilir. Bu hatalar hassas veriler içeren herhangi bir şeyin yanlışlıkla serbest bırakılmasını veya kaybolmasını içerir.
Veri İhlallerinin Şirketinize Zararları
Veri ihlali çoğu zaman şifreleri değiştirerek düzeltilemez. Bir veri ihlali itibarınız, geliriniz ve hayatınızın diğer yönleri için uzun süreli sonuçları doğurabilir.
İşletmeler için veri ihlali; bir şirketin markası ve alt çizgisi için yıkıcı etkilere neden olabilir. Örneğin Equifax, Target ve Yahoo gibi şirketler geçmişte bu durumdan etkilenmiştir. İhlalin bir sonucu olarak bugün birçok kişi bu kuruluşları gerçek ticari faaliyetlerinden ziyade veri ihlali olaylarıyla ilişkilendirmektedir.
Devlet kurumları için veri ihlali; verilerin ele geçirilmesi, devlet kurumları için son derece hassas bilgileri yabancı taraflara ifşa edebilir. Askeri operasyonlar, siyasi anlaşmalar ve temel ulusal altyapıya ilişkin ayrıntılar bir hükümet ve vatandaşları için büyük bir tehdit oluşturabilir.
Bireyler için veri ihlali: kimlik hırsızlığı, veri ihlali mağdurları için büyük bir tehdittir. Veri sızıntıları, sosyal güvenlik numaralarından bankacılık bilgilerine kadar her şeyi ortaya çıkarabilir. Bir suçlu bu ayrıntılara sahip olduğunda sizin adınızı kullanarak her türlü suça ve sahtekârlığa karışabilir. Kimliğinizin çalınması kredi notunuzu mahvedebilir ve yasal sorunlarla uğraşmanıza sebep olabilir.
Bugüne Kadar Yaşanmış En Büyük İhlaller
1. LinkedIn | 117 milyon
2012 yılında gerçekleşen ihlalde 117 milyon LinkedIn kullanıcısının e-posta adresi ve şifresi ele geçirildi. Şifrelerin şifrelenmiş olması sonucu değiştirmedi. Birçok kullanıcının verileri dağıtıldı.
2. eBay | 145 milyon
2014 yılının başlarında, siber suçlular popüler çevrimiçi açık arttırma sitesinin ağına girip 145 milyon kullanıcının şifresini, e-posta adresini, doğum tarihini ve fiziksel adresini ele geçirdi. Bunun sonucunda birçok kullanıcının bilgileri başkalarına sızdırıldı.
3. MySpace | 360 milyon
2016 yılında siber suçlular Facebook’tan önce gelen sosyal ağ sitesi olan MySpace‘ten, 360 milyon kullanıcının verilerini çaldı.
4. Yahoo | 500 milyon
Dot-com patlamasının yaşandığı yıllarda Yahoo web üzerinde en çok ziyaret edilen sitelerden biriydi. Yahoo’nun büyük popüleritesi çeşitli korsanların dikkatini çekti. Saldırıda siber suçlular 500 milyon kadar Yahoo kullanıcısının kişisel bilgilerini ele geçirdi.
Veri İhlali ile Karşı Karşıya Kaldıysanız Ne Yapmalısınız?
Bir veri ihlalinden etkilendiyseniz ilk olarak ne tür verilerin çalındığını öğrenin. ABD şirketlerinin, bilgilerinin ihlal edilmesi durumunda müşterilerini bilgilendirmesi gerekmektedir. Bu tür bir bildirim alırsanız hangi hesapların güvenliğinin ihlal edilmiş olabileceğini belirlemeye çalışın ve şirketin sunduğu yardımı kabul etmeyi düşünün.
Ardından bağlı olduğunuz finans kurumunuzla iletişime geçin. İster kredi kartınızı veren kuruluş ister bankanız olsun, hesap numaralarınızı değiştirme, hileli ödemelere itiraz etme veya iptal etme ve dolandırıcılık uyarıları oluşturma gibi adımları izleyin.
Tüm hesap şifrelerinizi değiştirin ve güçlendirin. Özellikle farklı hesaplarınız için aynı parolaları kullanıyorsanız ihlal edilmemiş hesaplar bile daha sonra tehlikeye girebilir. Parola yöneticisi kullanmak güçlü parolalar oluşturmanıza, onları güvende tutmanıza ve gerektiğinde bunlara erişmenize izin verebilir.
Ayrıca herhangi birinin sizin adınıza yeni hesap açmasını engellemek için kredi dosyalarınızı dondurmayı da düşünün. Unutmayın, daha sonra yeni hesaplar açmanız gerekirse dondurmayı kaldırmanız gerekecek.
Kişisel Verilerinizi Korumak için Neler Yapabilirsiniz?
Veri ihlali koruması BT personeli ve BT ekiplerinden fazlasını kapsamalıdır. Verilerin giderek öneminin arttığı bir dünyada herkes kişisel verilerinin korunması için bilgi sahibi olmalıdır. Veri saldırılarını önlemeye yarayan güvenlik sistemleri yalnızca sistemin en zayıf halkası kadar güçlüdür. Sistemler ile etkileşime giren kişiler için potansiyel bir güvenlik açığı olabilir. Olası ihlalleri önlemek için herkesin uygulayabileceği birkaç güvenlik önlemi:
- Uygulamalarınızı ve yazılımlarınızı her zaman güncel tutun.
- Hassas veriler için yüksek dereceli şifrelendirme yapın.
- Kullandığınız yazılım artık üretici tarafından desteklenmiyorsa cihazınızı yükseltin.
- İşyerinizdeki tüm cihazların iş sınıfı bir VPN hizmeti ve anti-virüs koruması kullanmasını ve güvenlik ilkelerinin uygulanmasını zorunlu kılın.
- Çok faktörlü kimlik doğrulamayı kullanın iş yeriniz için de zorunlu kılın.
- Çalışanlarınızı en iyi güvenlik uygulamaları ve sosyal olarak tasarlanmış saldırılardan kaçınmanın yolları konusunda eğitin.
Kazım Emre Akarsu, 2012 yılından beri Bilgisayar Mühendisi olarak çalışmaktadır. 2017 yılında Mesnet Bilişim Teknolojileri şirketini kurmuş ve Mespact Dijital İmza Uygulaması’nı geliştirmiştir.