Kurumsal Veri İhlalleri ve Önleme Yöntemleri
Şirketler ve devlet kurumları için en büyük tehditlerin başında veri ihlali geliyor. Veri ihlalleri büyük maddi kayıplara neden olmanın yanı sıra kurumsal imaj açısından da ciddi sorunlar yaratıyor. İş dünyasının kayda değer bölümünün dijital dönüşüme ve onun gereklerine entegre olması ile veri kullanımına dair birçok husus çarpıcı şekilde önem kazandı. İş akışlarında veri ve veriye dayanan çalışma şekillerinin ön plana çıkması sonucunda ise dijital güvenlik sorunları daha kritik hale geldi. Procenne olarak kurumsal verilerin saklanması ve ihlalinin önüne geçilmesi için önemli noktaları derledik.
Veri İhlali Nedir?
Öncelikle veri ihlalinin ne olduğuna değinelim. Veri ihlali, dijital bir ortamda barındırılan verinin illegal yollar ya da çeşitli zafiyetlerden yararlanılarak yetkisiz ya da kötü niyetli kişilerin eline geçmesi anlamına gelmektedir. İhlal edilen ya da sızdırılan bu veriler kurumların stratejik verileri olduğu gibi bireylere ait kimlik ya da finansal veriler de olabilmektedir. Tüm bu verilerin yetkisiz ya da kötü niyetli kişilerin eline geçmesi hem kurumlar hem de bireyler için son derece olumsuz sonuçlar doğurabilmektedir.
Veri İhlali Nasıl Engellenir?
Tüm bu olumsuz sonuçları veya riskleri bertaraf edebilmek, en kötü ihtimalle asgari düzeye indirebilmek mümkün. Söz konusu veri ihlalleri ve sızıntılarının önüne geçmek için temelde atılması gereken bazı adımlar bulunmaktadır. Atılacak adımlar arasında insan faktörünün önemsenmesi, ağ trafiğinin takip edilmesi, yazılımsal ve donanımsal güvenlik önlemlerinin alınması gibi başlıkları saymak mümkün.
İnsan Faktörü Önemsenmeli
Veri ihlali ya da sızıntısını önlemekteki ilk adım, şirket çalışanlarını ve son kullanıcıları bilinçlendirmektir. Burada dijital güvenlik farkındalıklarının artırılmasına yönelik çalışmalar yapılmalıdır. Her kurum özelinde hangi kurumsal veri tehditleri ile karşılaşılabileceğine dair eğitimler düzenlenmeli, olası bir risk karşısında nasıl davranılması gerektiği planlanmalıdır. Bu planlamalar çeşitli senaryolar oluşturularak bir vaka analizi şeklinde yapılabilir. Kurumsal e-postaların yanlışlıkla başka kişi ya da kurumlara gönderilmesi, kurumsal cihazların ya da evrakların kaybedilmesi en sık karşılaşılan insan hatası kaynaklı veri ihlali örneklerindendir. Verilen eğitimler periyodik olarak tekrarlanarak pekiştirilmesi sağlanmalıdır. İnsan faktörüne dair önemli bir nokta da erişimde yetkilerin tanımlanmasıdır. Kurumda çalışan bireylerin işleri ile ilgili yetkileri net olarak tanımlandığında olası yetkisiz erişim ihtimali en aza indirilmiş olur, yetkisiz bir erişim girişimi kolaylıkla tespit edilebilecektir. Procenne olarak insan faktörünün veri ihlallerini önlemede ilk sırada gelmesi gerektiğini belirtmek isteriz. Tüm kurumlar gibi Procenne’de de çalışma arkadaşlarımızın tamamının gerekli dijital güvenlik eğitimlerini almasını ve her bir çalışma arkadaşımızın yetkilerinin net olarak tanımlanmasını sağlamaya özen gösteriyoruz.
Kritik Veriler Tanımlanmalı
Kurumların barındırdıkları verileri sınıflandırması son derece önemli olan bir diğer adımdır. Kurumların barındırdığı verilerin bir kısmı son derece önemli ve gizliliği olan verilerken bir kısmının önem derecesi ve gizlilik sınıfı daha düşük olabilir. Tüm bu sınıflandırmaların yapılması, sonraki adımlarda atılacak adımların belirlenmesi ve gerekli önlemlerin alınması için gereklidir. Örnek vermek gerekirse, şirket içinde kurulan bir sistem ile hangi verilerin hangi sınıfa dahil olacağının belirlenmesi, dolaylı olarak insan faktörü kaynaklı meydana gelecek bir karışıklığında önüne geçmeye yardımcı olacaktır.
Ağ Trafiği Takip Edilmeli
Kurumsal ağların gerçek zamanlı izlenmesi hem mevcut düzenin haritalanması hem de olası zafiyetlerin tespit edilmesi için önemlidir. Unutulmamalıdır ki bir siber saldırı öncesi korsanlar(hacker) ilgili ağları uzun süre keşif takibi yapmaktadırlar. Bu tür durumlarla karşılaşmamak adına kurumsal ağ trafiği gerçek zamanlı olarak kesintisiz takip edilmelidir.
Tehditler Tespit Edilmeli, İzlenmeli ve Çözüm Aranmalı
Bir veri güvenliği tehdidi ile karşılaşıldığında bu tehdit izlenmeli ve analiz edilmelidir. Yapılan analiz sonucu tehdit seviyesi düşük dahi çıksa dikkate alınmalı ve gerekli önlemler/çözümler uygulanmalıdır.
Procenne olarak kurmuş olduğumuz sistem ile çeşitli tespit ve bildirim mekanizmaları oluşturduk. Bu sayede olası riskleri kaçırmamak adına hem sürekli takip ediyor hem de çalışma arkadaşlarımızdan aldığımız bildirimler ile gerekli araştırmaları yaparak tehlikeli sayılabilecek konulara yönelik çalışmalar yaparak hem kurum içi hem de paydaşlarımıza yönelik bilgilendirmeleri yapıyoruz.
Ağ ve Uygulama Güvenliği Alınmalı
Tehditleri en başarılı bertaraf etme yöntemi her zaman en güncel güvenlik önlemleri almaktır. Kurumsal ağlar ve uygulamalar için gerekli tüm güvenlik önlemleri (tespit etme, önleme, tepki gösterme) alınıp uygulanmalı ve sürekli güncellemeler yapılmalıdır. Bu şekilde bir yaklaşım olası bir riskle karşılaşılması halinde hızlıca tepki verme imkânı tanıyacaktır. Geliştirmiş olduğumuz EndCrypt mobil uygulama güvenliği, mobil uygulama geliştiricilerin uygulama geliştirme esnasında veri güvenliğini sağlamak amacıyla kullanılabilecek yazılım geliştirme kitlerine bir örnek olarak verilebilir. Uygulama geliştirme sürecinde EndCrypt’in kullanılması ile olası risklere karşı önlem alınabilir, olası ihlal girişimleri karşısında tespit etme, önleme ve tepki gösterme yetenekleri ile ihlalin önüne geçilmiş olur.
Veri Sızıntısı Engelleme Çözümleri Kullanılmalı
Veri sızıntısı engelleme çözümleri (DLP – Data Loss Prevention) her kurumun veri sızıntılarını önlemek amacıyla kullanması gereken çözümlerdir. Kurumların barındırdığı verilere ve kurumsal tercihler bağlı olarak en uygun çözüm tercih edilmeli ve kullanılmalıdır. Örnek vermek gerekirse, hassas verileri barındıran bir kurum, bu verileri saklamak için çeşitli şifreleme yazılım ve donanımları kullanmalıdır. Üretmekte olduğumuz Türkiye’nin HSM’i ProCrypt ve bulut HSM hizmetimiz, hassas verilerin şifrelenmesi, bu şifrelerin saklanması ve çözülmesi için kullanılan bir donanımsal güvenlik modülüdür. Bu ürünler sayesinde hassas veriler donanımsal olarak şifrelenir ve olası yetkisiz erişim denemelerine karşı korunur. ProCrypt HSM ve bulut HSM sayesinde her ölçekteki kurum ve kuruluş ihtiyacına yönelik doğrudan donanım ya da bulut hizmeti şeklinde HSM’e erişebilir, hassas verilerinin donanımsal olarak güvenliğini sağlayabilir.
Acil Durum Planı Yapılmalı
Günlük hayatın her anında olduğu gibi kurumsal hayatta da acil durum planları olmalıdır. Bu acil durum planlarından bir tanesi de veri güvenliğine yöneliktir. Veri ihlali ya da sızıntısı durumunda yapılacaklara dair oluşturulan bir acil durum planı uygulandığında olası risk karşısında nasıl davranılması, neler yapılması gerektiği tanımlanarak söz konusu riskin bertaraf edilmesi kolaylaşacak ve hızlanacaktır.
