Veri Sızıntısı Olaylarında İnsan Hatasının Rolü

Veri İhlallerinde İnsan Faktörlerinin Açığa Çıkarılması

Veri sızıntısı, hassas veya sınıflandırılmış bilgilerin bir kuruluşun belirlenmiş ağ veya güvenlik çevresi sınırının dışında ifşa edilmesini tanımlamak için kullanılan bir terimdir. Veri ihlalleri, güvenlik önlemlerinin eksikliği veya güncel olmayan sistemler gibi çeşitli nedenlerle meydana gelebilir. Ancak, veri sızıntısının en önemli ve potansiyel olarak yıkıcı nedeni İnsan Hatasıdır.

Bir araştırmaya göre insan unsuru veri ihlallerinin %52'sinin temel nedenidir. Bu makalede, veri sızıntısı olaylarında insan hatasının rolünü ve rolünü anlamanın gelecekte bu tür olayları önlemede ne kadar öğretici ve paha biçilmez olduğunu yorumlayacağız. İnsan hatası türlerini inceleyerek, bunları ortadan kaldırmak için bazı olası azaltma yaklaşımlarına bakacağız.

Veri Sızıntısı Olayları

Facebook-Cambridge Analytica Veri Sızıntısı

2018'de 87 milyona kadar Facebook kullanıcısının verileri, siyasi profilleme için Cambridge Analytica (iflas etmiş bir siyasi danışmanlık firması) ile uygunsuz bir şekilde paylaşıldı. Bu veri sızıntısı, düzenleyici otoriteler tarafından soruşturmalara, kamuoyunun öfkesine ve Facebook'un prestijine ağır bir zarara yol açtı.

Nedenleri:  Facebook'un izin verici veri gizliliği politikaları, üçüncü taraf uygulama geliştiricilerinin yetersiz denetimi ve veri koruma düzenlemelerine uyulmaması nedeniyle gerçekleşti.

Öğrendiklerimiz:  Facebook kullanıcı onay mekanizmalarını ve sıkı veri gizliliği düzenlemelerini geliştirdi ve veri paylaşım faaliyetlerinde daha fazla şeffaflık uyguladı.

Ulusal Güvenlik Ajansı'nda Veri Sızıntısı

12 Mayıs 2013'te eski NSA çalışanı Edward Snowden, gazetecilere gizli belgeleri sızdırarak NSA ve uluslararası ortaklarının gözetleme programlarını ifşa etti. Bu, tarihin en önemli (NSA) sızıntısı oldu. Sızıntı, dünya çapındaki kitlesel gözetleme faaliyetlerinden milyonlarca bireyin verilerini ifşa etti.

Nedenleri:  Veriler insan hatası nedeniyle sızdırıldı, yani Edward Snowden'ın bilgileri sızdırması.

Öğrenilenler: Olaydan sonra NSA, etkili bir emir komuta zinciri ve hesap verebilirlikle sıkı veri güvenliği önlemleri uyguladı.

Panama Belgeleri Sızdırıldı

Bu veri sızıntısı olayı 2016'da gerçekleşti. Mossack Fonseca'dan (Panamalı bir hukuk firması) yaklaşık 11,5 milyon belge sızdırıldı ve dünya çapındaki önemli kişilerin ve kuruluşların finansal işlemleri ifşa edildi. Belgeler, vergi kaçırma, kara para aklama ve diğer suçlar için kullanılan offshore fonları ve paravan şirketleri ortaya çıkardı.

Nedenler:  Bu veri sızıntısına, gevşek iç kontroller ve yetersiz veri güvenliği önlemleri neden oldu.

Öğrenilecekler:  Hassas bilgilerin şifrelenmesi, sıkı veri yönetiminin önemi ve yetkisiz ifşaları önlemek için düzenli güvenlik kontrolleri gibi birçok öğrenilecek şey var.

NASA Dizüstü Bilgisayar hırsızlığı

Veri sızıntısında insan hatasının bir başka örneği, 2011 yılında 10.000'den fazla NASA çalışanının kişisel bilgilerini içeren şifrelenmemiş bir dizüstü bilgisayarın bir NASA çalışanının arabasından çalınmasıyla yaşandı. İçinde Sosyal Güvenlik numaraları ve Uluslararası Uzay İstasyonu için komuta ve kontrol kodları da dahil olmak üzere PII (kişisel olarak tanımlanabilir bilgiler) vardı.

Neden:  Dizüstü bilgisayarlar ve mobil cihazlarda saklanan verilerin güvenliği de dahil olmak üzere, çalışanların orta düzeyde veri güvenliği önlemlerinin alınması nedeniyle meydana geldi.

Öğrenilenler:  NASA daha sonra olayı araştırdı ve cihazlarda saklanan gizli bilgiler için şifreleme önlemleri de dahil olmak üzere cihazları uygun şekilde şifreleyerek çalışan veri güvenliğini iyileştirdi.

Siber Güvenlikte İnsan Hatası Türleri

IBM Threat Intelligence anketine göre,  insan hatası siber saldırıların %95'ine katkıda bulunuyor. Siber güvenlikteki insan hatası türlerini öğrenmek, varoluş belirtilerini arayarak bunlardan kaçınmaya yardımcı olabilir. Siber güvenlikte insan hatalarına yol açan birkaç faktör vardır; bunlar şunlardır:

Şifre Endişeleri

Parola, kişisel verilere erişim sağladığı için ifşa edilmesi son derece gizli ve hassas olan önemli bir kimlik bilgisidir. Siber güvenlikteki en önemli insan hatalarından biri zayıf parolalar kullanmak ve parolaları ilişkisiz kişilerle paylaşmak ve yeniden kullanmaktır.

İnternet kullanıcılarının %30'unun  zayıf bir parola nedeniyle veri ihlali yaşaması ve  Amerikalıların %13'ünün her hesap için aynı parolayı kullanması nedeniyle, kuruluşların çalışanlar arasında sıkı kimlik bilgileri politikaları ve teknik farkındalık olması gerekir. Bu, parola endişelerinden kaynaklanan insan hatalarının olasılığını en aza indirecektir.

Verilerin Uygunsuz Kullanımı

Veriler doğru şekilde yönetilmediğinde, veri sızıntısı riski artar. Yanlış, yinelenen ve güncel olmayan veriler yanlış bilgilendirilmiş kararlara yol açabilir, böylece yanlış seçimler yapılabilir ve insan hatalarına yer açılabilir.

Örneğin, yanlış alıcıya yanlış alıcı verisi sağlanması nedeniyle yanlışlıkla e-posta göndermek, büyük veri sızıntılarına yol açabilir. Bu nedenle, uygunsuz veri kullanımı veri sızıntısına neden olabilir. Kuruluşlar, sorunsuz ve güvenli işlemler için etkili bir veri yönetim sistemine sahip olmalıdır.

Yazılım Endişeleri

Yazılım endişeleri, güncel olmayan yazılım tüketimi ve çalışanlar ve personel tarafından yetkisiz yazılım kullanımı nedeniyle ortaya çıkabilir. Eski yazılımların ihlal edilme olasılığı daha yüksektir ve sonunda veri sızıntısına yol açar.

Yazılım açıkları, uygunsuz yapılandırma ve çalışanların yazılım uygulamalarını kullanma konusunda uzmanlık eksikliği, veri sızıntısına yol açabilen birkaç insan hatasıdır.

Kimlik Avı ve Siber Saldırı

Kimlik avı, bir e-posta veya web sitesinde aldatıcı talepler yoluyla gizli verileri elde etme tekniğidir. Bu veriler, itibarlı bir kişi olarak dayatılan bir kimlik avcısı tarafından edinilen oturum açma bilgileri veya (PII) olabilir.

Siber saldırı, saldırganların bir organizasyonda hatalar veya sistem açıkları bulup bunları tamamen istismar etmesiyle gerçekleşir. Bu açıklar veya hatalar, farkındalık eksikliği, ihmalkarlık ve stres, aşırı çalışma veya sağduyu eksikliği nedeniyle hızlı hatalar gibi içeriden gelen tehditler nedeniyle ortaya çıkar.

Düzenlenmemiş Veri Erişimi

Çalışanların bir kuruluşun verilerine düzensiz veya yetkisiz erişimi kötüye kullanıma ve veri değişikliklerine yol açabilir. Kuruluşlar yalnızca gerekli ve atanmış sistemlere ve çalışanlara veri veya sistem erişimi sağlamalıdır. Bu, daha iyi veri yönetimi ve koordinasyonuyla sonuçlanacaktır.

Bunlara rağmen, izinsiz bağlantılara tıklamak, wifi ağlarını paylaşmak, şirket sistemlerini kilitlememek vb. gibi başka insan hataları da bulunmaktadır.

İnsan hatası, riskten arındırılması en zor güvenlik yönlerinden biridir. Ancak, uygun hafifletici önlemler ve en son teknolojiyle kuruluşlar siber güvenlikteki çoğu insan hatasını tespit edebilir, önleyebilir ve ortadan kaldırabilir.

Siber Güvenlikte İnsan Hatasının Azaltılması

Siber güvenlikte insan hatasını azaltmak, insan davranışının, bilginin ve teknolojinin tüm yönlerini ele alan birden fazla katmanı içerir. Siber güvenlikte insan hatalarını azaltmaya yardımcı olabilecek bazı yollar şunlardır:

Eğitim ve Farkındalık

Çalışanları siber güvenlik önlemleri konusunda eğitmek,   potansiyel sorunları tanımalarına ve önlemelerine yardımcı olabilir. Örneğin, çalışanları şüpheli e-postaları tanımlama ve bildirme konusunda eğiten haftalık bir kimlik avı simülasyonu egzersizi, kimlik avı saldırılarından uzak durmalarını sağlayarak dijital güvenlikleri üzerinde bir kontrol duygusu sağlayabilir.

Kullanıcı Erişim Kontrolü

Erişim haklarını iş görevlerine göre sınırlamak, veri sızıntısı veya yetkisiz çalışma olasılığını azaltabilir. Örneğin, çalışanların işleriyle alakası olmayan hassas verilere erişebildiğini varsayalım. Bu durumda, bu bilgileri istemeden kötüye kullanabilir veya sızdırabilirler ve bu da kuruluş için ciddi yasal ve itibar sonuçlarına yol açabilir. Çalışanların yalnızca iş gereksinimlerine uygun sistemlere ve verilere erişmesine izin vermek, bu tür olayların riskini önemli ölçüde azaltabilir.

Güçlü Kimlik Doğrulama

Çok faktörlü kimlik doğrulama (MFA) kullanımı   , parolaların ötesinde ekstra bir güvenlik katmanı ekler. MFA, kullanıcıların parola ve telefon numarası gibi birden fazla kimlik doğrulama biçimi sağlamasını gerektirir ve bu da parola tehlikeye atılsa bile saldırganların yetkisiz erişim elde etmesini zorlaştırır.

Olay Müdahale Planı

Net bir yanıt planı, kuruluşun insan hatası olaylarını meydana geldiklerinde yönetmesini sağlar. Bu, olayları ve kazaları bildirmek, temel nedenleri araştırmak ve tekrarlanmayı önlemek için düzeltici önlemler uygulamak için net prosedürler içerir. İşletmeler ayrıca siber güvenliğe öncelik veren bir güvenlik kültürü oluşturarak tüm seviyelerde risk yönetimini teşvik edebilir.

Otomasyon ve Düzenli Güncellemeler

Güvenlik açıklarını izleyen ve tanımlayan otomatik araçlar, güvenlik olaylarını derhal tanımaya ve bunlara yanıt vermeye yardımcı olabilir. Güncel yazılım, işletim sistemleri ve güvenlik araçları bulundurmak, saldırganların kötü amaçlı yazılım kullanmasını önlemeye yardımcı olabilir ve bu da veri ihlalleri ve sızıntıları olasılığını azaltır.

Bu unsurları kapsamlı bir şekilde ele alarak kuruluşlar, siber güvenlikte insan hatalarının etkisini önemli ölçüde azaltabilir ve genel güvenlik yapılarını iyileştirebilir.

İnsan Hatası ve Veri Sızıntısının Geleceği

Siber Güvenlikte Ortaya Çıkan Trendler

• Kuantum bilişiminin yükselişi:  Kuantum bilişim, siber tehditleri tespit etmek ve büyük ölçekli, güvenli veri işlemlerini etkin bir şekilde yönetmek için daha karmaşık algoritmalar geliştirebilir. Ancak, mevcut siber güvenlik protokolleri için bir tehdit oluşturabilir. RSA ve ECC gibi geleneksel şifreleme yöntemlerini hızla kırma yeteneği, birçok güvenlik sistemini saldırılara karşı savunmasız bırakabilir .

• Kimlik avı saldırılarının evrimi:  Yakında, teknolojiyle birlikte daha karmaşık hale gelen sosyal mühendislik ve kimlik avı saldırıları görmeye devam edeceğiz. Kimlik avı yapanlar, daha insan benzeri içerikler oluşturmak için yapay zekayı kullanacak ve böylece saldırıyı daha karmaşık ve daha az şüpheli hale getirecek.

• Siber güvenlik sigortasının hızlı büyümesi:  2024'te siber güvenlik sigortası, kuruluşların güvenlik altyapılarına yardımcı olarak siber saldırı olasılığını azalttığı için muazzam bir popülerlik kazandı. Bir siber güvenlik sigortası poliçesi, kuruluşların bir siber saldırı veya veri ihlali sırasında ortaya çıkabilecek onarım süreçleri ve müşteri iadeleriyle ilişkili tüm maliyetler dahil olmak üzere finansal kayıpları karşılamasına yardımcı olabilir.

Olası Tehditler ve Fırsatlar:

Tehditler

1. Fidye Yazılımı:  2023'te MGM Resorts International ve Caesars Entertainment  önemli fidye yazılımı saldırılarına maruz kaldı. Fidye yazılımı saldırıları kurbanlara milyarlarca dolara mal oluyor ve yapay zekâ ve blok zinciri teknolojisi gibi araçlarla katlanarak artabiliyor. Saldırganlara fidye vermemek büyük veri sızıntılarına yol açabilir. Farkındalık eksikliği ve ihmalkarlık, şirketlerin hatalara ve sistem açıklarına yol açarak fidye yazılımı saldırıları tehdidini artırıyor.

2. Güvenlik sistemlerindeki karmaşıklıkların artışı:  Güvenlik sistemleri teknolojik gelişmelerle daha karmaşık hale geldikçe, kullanıcıların anlaması ve yönetmesi daha da karmaşık hale gelir. Bu zorluk, çalışanların karmaşık güvenlik prosedürlerine uymaya çalışmasıyla insan hatasını artırabilir ve kazara veri sızıntısına neden olabilir.

3. Bulut Güvenliği tehditleri:  Daha fazla veri ve uygulama buluta taşındıkça, ihlal riski artar. Yanlış yapılandırılmış bulut hizmetleri kolayca istismar edilebilir ve bu da veri hırsızlığına veya sızıntısına yol açabilir. Siber güvenlikteki gelişmelerle birlikte, IoT  (Nesnelerin İnterneti)  ve kötü amaçlı yazılım saldırılarının tehditleri artmaktadır.

Veri sızıntısı olaylarında insan hatasının rolüne ilişkin tahminler

Veri sızıntısında insan hatasına yol açacak birkaç öngörülen faktör olacaktır. Bunlar aşağıdaki gibidir:

• Yetersiz Eğitim

• Sistemlerin karmaşıklığının artması

• Siber Güvenlik konusunda profesyonellerin uzmanlık eksikliği

• Veri yönetimi için üçüncü taraf tedarikçilere güvenmek

Teknoloji ilerledikçe makineler daha karmaşık hale gelir ve bu da insan hatası olasılığını artırır. Kuruluşların veri hacmindeki kademeli artışla birlikte veri sızıntısı fırsatları da artacaktır. Ancak, McAfee DLP, Forcepoint DLP ve Symantec DLP gibi DLP (Veri Kaybı Önleme) araçlarıyla veri sızıntısını önlemeye yönelik etkili önlemler mevcut olacaktır.

Sonuç olarak, siber güvenlikte her insan hatasını ortadan kaldırmak imkansızdır, çünkü sürekli büyüme hataları kaçınılmaz hale getirir. Ancak, insan hataları uygun güvenlik önlemleri ve veri sızıntısı sonrası çözümlerle azaltılabilir ve düzenlenebilir. Proaktif ve fütüristik bir zihniyeti benimseyerek ve teknolojik çözümlere yatırım yaparak, hassas verileri korumak için sağlam teknolojinin insan dikkatiyle birlikte çalıştığı bir ortam için çabalıyoruz.

Siber güvenlik için daha iyi bir gelecek öngördüğümüz, veri sızıntısı olaylarının riskini azaltabileceğimiz ve daha güvenli bir dijital ekosistem inşa edebileceğimiz bir dönemin eşiğindeyiz.