Insider tehlikesi: Siber uzayın modern ajanları

Insider tehlikesi, kurumlarda çalışmakta olan, eski çalışanlar ya da sıkı ilişkileri olan kişilerin, kurum içindeki hassas bilgileri dışarı sızdırma tehlikesidir. Insider ise bu işi yapan kişiye denilmektedir. Bir nevi “köstebek” olarak tanımlanabilecek bu kişiler bilgi sistemlerindeki verileri ele geçirebilir, bunu başkalarına satabilir, satmakla tehdit edebilir (şantaj) ya da tüm sistemi tamamen çalışamaz hale getirmek için sabote edebilir.

Günümüzde en büyük insider tehdidini genellikle kurum çalışanları oluşturmaktadır. Çalışanlar, sisteme doğrudan ve yasal erişim iznine sahip olduklarından, herhangi bir şüpheli davranış içinde bulunmadıkları sürece tespit edilmesi de oldukça güçtür. Kendilerine, iş amaçlı kullanım için verilen akıllı telefon, bilgisayar, yazılımlar, veritabanları, belgeler vb. birçok dijital veriyi ele geçirip dışarı sızdırmak için olağan davranışlarda bulunmaktadırlar. Bu kişilerin tespit edilebilmesi için özel yazılımların kullanılması gerektiği gibi konuda tecrübeli yöneticilerin bulunması da büyük bir önem teşkil etmektedir.

Çalışanların olağan erişimleri sayesinde, güvenlik tedbirlerinin aşılması da kimi zaman oldukça kolay olabilmektedir. Gerek fiziksel olarak gerekse de siber uzay üzerinden erişilebilecek hassas verilerin dışarı sızdırılmasını önlemek içinse ek koruyucu güvenlik önlemlerinin alınması gerekmektedir. Bu kapsamda, kompartımantasyon ilkesinin doğru bir şekilde tesis edilmesi, bu ilkenin tüm kurum içinde yatay ve dikey uygulanması, tehlikeyi minimuma indirme konusunda yardımcı olmaktadır.

Insider, çalışmakta olduğu kuruma ait bilgileri kendi çıkarları için elde edebileceği gibi, kendisini angaje etmiş bir başka kurum ya da örgüt ve hatta ülke için de elde edebilir. Bu gibi durumlarda genellikle profesyonel olarak kendisini tabiri caizse kullanmakta olan daha büyük bir yapı bulunmaktadır ve bu yapının kim ya da kimlerden oluştuğunu tespit etmek de yine oldukça zor olabilmektedir.

Bu konuyla ilgili olarak istatistiksel rakamlar da oldukça çarpıcı. Accenture tarafından yapılan araştırmaya göre kurumların sistemlerine yönelik saldırıların yüzde 67’si kurum içinden gerçekleşiyor. Dışarıdan gerçekleştirilen saldırılar ise sadece yüzde 33’lük bir orana sahip.

Ponemon Institute tarafından yapılan araştırma raporu ise firma raporlarına göre çalışanların yüzde 62’si, bilmesi gerekenden daha fazla veriye ulaşma imkanına sahip. Ponemon tarafından sunulan rapora göre ayrıca; kurumların insider tespit edebilmek için en az bir ay kadar zamana ihtiyaç duyduğu görülüyor.

SANS Institute tarafından yayınlanan rapora göreyse kurumların yüzde 31.9’u halen dahi insider tehlikelerini nasıl tespit edeceğini, bu tehlikeleri nasıl önleyebileceğini bilmiyor. Yine SANS tarafından yayınlanan rapora göre teşhis ve tetkik yeteneğine sahip kurumların, tehlikelerin ancak yüzde 9 kadarını fark edebildiğini belirtiyor.

Konuyla ilgili bir diğer önemli araştırma da Gartner tarafından yapılmış. Gartner’ın raporuna göreyse insider faaliyetlerinin yüzde 62’si ek gelir elde etmek için gerçekleştirilmiş. Faaliyetlerin yüzde 29’u, ilerleyen dönemlerde diğer insider’lara kapı açmak için, geri kalan yüzde 9 ise tamamen sabotaj amaçlı gerçekleştirilmiş.

Görüldüğü üzere, kurumların hassas bilgileri sadece iyi bir siber güvenlik faaliyetiyle değil, aynı zamanda kompartımantasyon ilkesi, bilmesi gereken prensibi, gözlem ve en önemlisi eğitim ile paralel bir şekilde sağlanabilmektedir.