Kurumsal İç Tehdit Yönetimi ve UEBA Teknolojileri Rehberi
Siber güvenlik dünyasında şirketler genellikle kapılarını dışarıdan gelen hırsızlara karşı çok güçlü kilitlerle korur. Ancak en büyük tehlike bazen evin anahtarına zaten sahip olan kişilerden, yani içerideki çalışanlardan gelebilir. İç tehdit adı verilen bu kavram; şirket içinde yetkisi olan kişilerin bu haklarını bilerek ya da tamamen hata yaparak yanlış kullanmasıdır. Bu durum şirketlerin çok özel bilgilerinin çalınmasına veya sistemlerin bozulmasına yol açabilir.
Nesil Teknoloji olarak bizler, Türkiye genelinde fabrikalar ve kamu kurumları için üst düzey dijital koruma sistemleri geliştiriyoruz. TSE A Sınıfı sızma testi yetkimizle yaptığımız çalışmalarda fark ettik ki sistemin içindeki kullanıcıların hareketleri güvenliğin en hassas noktasıdır. Bu rehberde, bir yetişkinin bile konuya yabancı olsa da çok kolay anlayabileceği bir dille iç tehditleri nasıl kontrol altına aldığımızı ve akıllı sistemlerin bu işteki büyük rolünü anlatacağız.
İç tehdit yönetimi sadece bilgisayarları izlemek değil aynı zamanda insan hareketlerini doğru yorumlamaktır. Akıllı yazılımlar sayesinde normal olmayan her hareket anında fark edilerek büyük maddi ve manevi zararların önüne geçilebilir.
1. İç Tehdit Oluşturan Kişiler ve Nedenleri
İç tehdit dediğimizde aklımıza sadece kötü niyetli bir hırsız gelmemelidir. Bu tehlikelerin içinde çok farklı insan davranışları bulunur. İlk olarak, gerçekten şirkete zarar vermek isteyen ve art niyetli olan kişileri sayabiliriz. Bu kişiler genellikle daha fazla para kazanmak veya şirkete duydukları öfke nedeniyle gizli bilgileri çalmaya çalışırlar. İkinci grup ise tamamen dikkatsizlik yüzünden hata yapan çalışanlardır. Mesela çok basit bir şifre kullanan veya şüpheli bir e-postayı açan bir çalışan, istemeden de olsa şirketin kapılarını dışarıdaki saldırganlara açmış olur. Nesil Teknoloji uzmanları olarak bizler bu risklerin her birini tek tek inceliyor ve ona göre koruma kalkanları oluşturuyoruz.
Bir diğer önemli grup ise dışarıdaki siber saldırganların şifresini ele geçirdiği masum çalışanlardır. Bu durumda kullanıcı aslında kötü bir şey yapmamıştır; ancak saldırgan onun hesabını çaldığı için içeride o kişiymiş gibi dolaşmaktadır. Ayrıca şirketle beraber çalışan dış iş ortakları da bu risk kapsamındadır. Bir fabrikaya tamir için gelen bir kişinin bilgisayarındaki bir virüs, tüm fabrikanın sistemine bulaşabilir. Bu yüzden kimin hangi klasöre bakabileceğini belirleyen listelerin her zaman güncel olması gerekir. İşten ayrılan birinin hesabının açık unutulması, açık kalmış bir pencereden farksızdır.
İnsanların davranışlarını önceden sezmek teknik verileri okumaktan daha kıymetlidir. Bir çalışanın normalde hiç yapmadığı hâlde gece geç saatlerde sisteme girmesi veya kendi işiyle hiç ilgisi olmayan gizli belgelere bakmaya çalışması büyük bir tehlike işaretidir. Nesil Teknoloji olarak bizler bu tür şüpheli hareketleri teknik takip sistemleriyle birleştirerek bir güvenlik kalkanı örüyoruz. Özellikle üretim tesislerinde çalışan kişilerin sistem kullanım alışkanlıkları tüm tesisin güvenliğini belirleyen en temel unsurdur. Her sızıntı mutlaka bir iz bırakır ve biz bu izleri çok erkenden bulup engellemek için çalışıyoruz.
Gerçek Hayattan Örnekler ve Veri Hırsızlıkları
Dünyaca ünlü teknoloji devlerinde yaşanan olaylar gösteriyor ki dışarıdan destek veren bir çalışanın rüşvet karşılığında binlerce kişinin verisini sızdırması mümkündür. Bu tür olaylar, şirketin dış kapısındaki kilitlerin ne kadar güçlü olduğundan bağımsız olarak yetkili birinin sistemi içeriden nasıl delebileceğini kanıtlamaktadır. Bu yüzden sadece ana girişi değil, içerideki her bir odanın kapısını da doğru şekilde korumak ve kimin hangi odada olduğunu her an bilmek gerekir. İşe alımlarda yapılan titiz incelemeler ve sürekli devam eden denetimler bu tür felaketleri önlemek için en etkili araçlarımızdır.
2. Akıllı Davranış Analizi Teknolojilerinin Derinliği
Eski tip güvenlik yazılımları sadece önceden öğretilmiş kurallara göre çalışırdı. Yani sisteme “bu kapıyı sadece şu anahtara sahip olanlar açabilir” denilirdi. Ancak günümüzde bu yöntem yeterli kalmıyor. İşte burada UEBA adı verilen Kullanıcı ve Varlık Davranış Analitiği sistemleri devreye giriyor. Bu sistemler yapay zekâ kullanarak her çalışanın günlük iş alışkanlıklarını zamanla öğrenir. Mesela bir çalışan her sabah dokuzda gelip sadece kendi dosyalarını okuyorsa bu onun normal hâlidir. Eğer bir gün aniden gece yarısı sisteme girip binlerce müşteri verisini kopyalamaya kalkarsa, sistem bu hareketin normal olmadığını anında anlar ve alarm verir.
Bu sistemlerin arkasında aslında çok karmaşık matematiksel hesaplamalar yapılır. Bu hesaplar sayesinde her çalışanın yaptığı her harekete bir risk puanı verilir. Eğer bu puan tehlikeli bir seviyeye çıkarsa güvenlik merkezine hemen haber iletilir. Bu sistemi hiç uyumayan çok akıllı bir nöbetçi gibi hayal edebilirsiniz. Bu nöbetçi sadece kimlik kartına bakmakla kalmaz; aynı zamanda kişinin tavırlarını ve hareketlerini de çok dikkatli izler. Nesil Teknoloji olarak bizler izolasyon ağaçları gibi çok ileri düzey yöntemler kullanarak gerçek tehlikeyi boş alarmlardan ayırıyoruz. Bu sayede güvenlik görevlileri lüzumsuz uyarılarla vakit kaybetmek yerine gerçek risklere odaklanabiliyor.
| Özellik | Eski Tip Güvenlik Yazılımları | Modern Akıllı Davranış Analizi |
|---|---|---|
| Nasıl Çalışır | Sadece yazılı kurallara ve yasaklara bakar | Yapay zekâ ile öğrenerek kararlar verir |
| Hangi Veriye Bakar | Sadece giriş çıkış saatleri ve basit loglar | Kullanıcının yaptığı her türlü aktivite |
| Hata Payı | Çok fazla gereksiz uyarı verir | Daha isabetli ve doğru tespitler yapar |
| Tespit Gücü | Sadece bilinen eski saldırıları yakalar | Yeni çıkan ve gizli kalmış riskleri görür |
Kendi kendine öğrenebilen bu akıllı sistemler, zaman içindeki her türlü değişikliği de takip eder. Mesela bir çalışanın önce çok gizli bir klasörü açması, ardından bu dosyaları şifreleyerek gizlemesi ve sonrasında yabancı bir adrese göndermeye çalışması bir saldırı zinciri olarak işaretlenir. Biz Nesil Teknoloji uzmanları olarak bu tür sistemleri sadece bilgisayarlara kurmakla kalmıyor; aynı zamanda fabrikalardaki makineleri yöneten ana sistemlere de bağlıyoruz. Böylece hem ofis masalarında hem de fabrika üretim alanlarında tam bir koruma sağlamış oluyoruz.
3. Büyük Fabrikalarda İç Tehdit Tehlikesi
Fabrikalar, enerji santralleri ve büyük üretim tesisleri normal ofislerden çok daha farklı bir şekilde çalışır. Bu tesislerde bilgisayarlar doğrudan makineleri yönetir ve genellikle bu sistemler yapılırken siber güvenlik öncelikli tutulmamıştır. Bir fabrikada çalışan yetkili bir kişinin yapacağı çok basit bir yanlış ayar, tüm fabrikanın durmasına veya çok pahalı makinelerin parçalanmasına neden olabilir. Bu sistemlerin kendi aralarında konuştuğu diller, yani protokoller genellikle şifre içermez. Bu da içerideki bir kişinin makinelerin beyni olan cihazlara çok kolayca yanlış ve tehlikeli emirler gönderebileceği anlamına gelir.
Örneğin fabrikalardaki makinelerin birbiriyle konuştuğu Modbus adı verilen bir dil vardır. Bu dil cihazların birbirini anlamasını sağlar; ancak içinde bir şifre koruması yoktur. İçerideki kötü niyetli bir kişi hangi makinenin nerede olduğunu bulursa bir sensörden gelen su seviyesi bilgisini değiştirebilir veya bir motorun dönüş hızını tehlikeli bir noktaya çıkarabilir. Bu durumun yaratacağı fiziksel patlama veya yangın riskini düşünmek bile çok korkutucudur. Nesil Teknoloji olarak bizler TSE A Sınıfı yetkimizle yaptığımız denetimlerde bu fabrika ağlarını normal internet ağından tamamen ayrı tutuyoruz. Ayrıca bu ağlardaki her bir veri parçasını büyüteçle inceler gibi takip ediyoruz.
Büyük tesislerdeki en büyük zorluk bazen otuz kırk yıllık makinelerin hâlâ çalışıyor olmasıdır. Bu eski cihazlar modern güvenlik yazılımlarını desteklemez. Bu durumda biz makinelerin arasına girmeden dışarıdan izleme yapan ve geçen her veriyi kopyalayıp analiz eden özel sistemler kuruyoruz. Bir çalışanın normalde hiç basmadığı bir düğmeye basması veya alışılmışın dışında komutlar yollaması sistem tarafından hemen fark edilir. Siber güvenlik uzmanları olarak fabrikalarda iç tehdidin sadece bilgi kaybı değil doğrudan bir can ve mal güvenliği meselesi olduğunu her fırsatta hatırlatıyoruz. Güvenli üretim yapmak bir ülkenin geleceği için en temel şarttır.
4. Kanuni Standartlar ve KVKK Kuralları
Çok iyi bir güvenlik sistemi sadece yazılım alarak kurulmaz; aynı zamanda kuralların ve yasaların doğru uygulanmasıyla inşa edilir. Uluslararası kabul görmüş standartlar, her şirketin mutlaka bir iç tehdit planı olmasını ve tüm müdürlerin birlikte çalışmasını söyler. Bu noktada kritik sistemlere giren yöneticilerin her bir adımının kayıt altına alınması hayati önem taşır. Kimin ne zaman hangi dosyayı açtığı veya hangi ayarı bozduğu her zaman takip edilebilir olmalıdır. Bu takip sayesinde bir problem çıktığında hatanın kimden veya hangi cihazdan kaynaklandığı sadece saniyeler içinde tespit edilebilir.
Türkiye’deki KVKK yani Kişisel Verilerin Korunması Kanunu, bu izleme işlemleri için çok net sınırlar çizer. Bir şirketin çalışanlarını denetlerken onların özel hayatına ve mahremiyetine de saygı göstermesi şarttır. Bizler verdiğimiz danışmanlık hizmetlerinde bu ince dengenin nasıl kurulacağını detaylıca öğretiyoruz. Çalışanların özel mesajlarına dokunmadan sadece iş güvenliği ve şirket bilgilerini koruma odaklı bir takip yapmak hem kanunen hem de ahlaken en doğru yoldur. Çalışanların bu konuda önceden dürüstçe bilgilendirilmesi ve takibin sadece işi korumak için yapılması şirketi her türlü kanuni riskten korur.
Uluslararası kurallar ayrıca bir işten ayrılan personelin tüm yetkilerinin aynı saniyede kapatılmasını emreder. Bir kişinin iş sözleşmesi bittiği an bilgisayarlara giriş hakkı da hemen kesilmelidir. Geçmişte yaşanan pek çok kötü olayda işten çıkarılan birinin açık kalan hesabı üzerinden şirketteki binlerce dosyayı sildiğini ve büyük zararlar verdiğini gördük. Nesil Teknoloji olarak hazırladığımız planlarda bu yetki kapatma işlemlerinin otomatik olarak yapılmasını sağlıyoruz. Bu sayede bir insanın unutması veya hata yapmasına yer bırakmadan güvenlik zincirini tamamlamış oluyoruz.
Güvenlik Araçları ve Uzman Yaklaşımların Kıyaslanması
İçerideki tehlikeleri bulmak ve durdurmak için kullandığımız araçlar, güvenlik ekiplerinin adeta gözü ve kulağı gibidir. Bu araçların doğru seçilmesi ve tesisinize göre ayarlanması savunma gücünüzü belirleyen en önemli faktördür:
| Kullanılan Araç Türü | Öne Çıkan Çözümler | Neden Bu Aracı Kullanıyoruz? |
|---|---|---|
| Tarama Sistemleri | Nmap ve Benzeri Yazılımlar | Şirket içindeki sahipsiz ve yetkisiz kapıları bulmak için |
| Test Sistemleri | Metasploit ve Simülasyonlar | Sistemin gücünü gerçek bir saldırı varmış gibi denemek için |
| Merkezi Takip | Splunk ve Sentinel | Tüm kayıtları bir merkezde toplayıp akıllıca yorumlamak için |
| Veri Kilitleme | DLP Çözümleri | Gizli şirket bilgilerinin izinsiz dışarı çıkmasını engellemek için |
Siber güvenlikte tam başarıya ulaşmak için sürekli bir dikkat ve gelişim yolculuğu gereklidir. Nesil Teknoloji olarak devlet kurumlarından devasa fabrikalara kadar her yerin risklerini o yere özel olarak analiz ediyoruz. TSE A Sınıfı sızma testi belgemizle yaptığımız denetimlerde sadece bilgisayar ekranlarına değil aynı zamanda şirketin iş yapış şekline de bakıyoruz. Amacımız her zaman tehlikeden bir adım önde olmak ve riskler daha oluşmadan onları yok etmektir. Şirketinizi ve tesisinizi gelecekteki her türlü dijital tehlikeye karşı korumak için bizimle istediğiniz zaman iletişime geçebilirsiniz.
Sık Sorulan Sorular
Sıradan bir antivirüs programı iç tehditleri neden yakalayamaz?
Çünkü sıradan programlar sadece virüsleri tanır. İç tehditlerde ise kişi zaten şirketin kendi çalışanı olduğu için program onun hareketlerini bir saldırı olarak görmez. Bu yüzden hareketlerin arkasındaki gerçek niyeti anlayan çok daha akıllı sistemlere ihtiyaç vardır.
Şirkette çalışanları izlemek kanunen yasak mıdır?
Hayır, yasak değildir. Eğer çalışanlar bu konuda önceden bilgilendirilmişse ve izleme sadece iş güvenliğini sağlamak için yapılıyorsa bu tamamen kanunidir. Önemli olan bu işin dürüstçe ve sadece işi korumak amacıyla yapılmasıdır.
İç tehditleri durdurmak için ilk olarak ne yapmalıyız?
İlk adım her zaman kimin hangi dosyaya bakabileceğini net bir şekilde kısıtlamaktır. Bir çalışana sadece işini yapması için gereken en az yetkiyi verirseniz, tehlikeyi daha baştan büyük oranda azaltmış olursunuz. Ardından bu yetkilerin nasıl kullanıldığını izleyen sistemler kurulmalıdır.
