featured

Veri Sızıntıları Hükümetlerin En Büyük Kâbusu

Paylaş

Bu Yazıyı Paylaş

veya linki kopyala

Kısa müddet evvel genç bir havacının kapalı evrakları internete sızdırdığının ortaya çıkmasının akabinde, ABD hükümeti bir defa daha, hem içeriden hem de dışarıdan, makûs niyetli bireylerin ülke sırlarını paylaşmaya niyetli olduğu gerçeğiyle yüzleşti. Yalnızca bu bile güvenlik önderlerinin uykularını kaçırmaya yetti. Buna bir de düşük düzeyde saldırganlık içermesine karşın, tıpkı derecede yıkıcı bir tehdit olan bilgi sızıntıları eklendiğinde ortaya tam manasıyla bir kabus senaryosu çıkıyor. Burada bahsi geçen tehdit; iç işçi tarafından kazara, istemeden yapılan sızıntılar. Bu sızdırıcıların gerçekte berbat bir niyeti yok. Yalnızca işlerini yapıp hayatlarını yaşarlarken, erişmemeleri gereken bilgilere erişiyor ve/veya paylaşıyor, dikkatsizce ve özensizce departmanlarını ve ABD çıkarlarını riske atıyorlar. 

Veeam Kurumsal Stratejilerden Sorumlu Lider Yardımcısı Dave Russell ve Veeam Eser Stratejilerinden Sorumlu Kıdemli Yönetici Rick Vanover konuyla ilgili şunları aktarıyor:

İnsan kusuru, kamu ve özel daldaki bilgi ihlallerinin açık orta en büyük nedenlerinden biri. O denli ki, Dünya Ekonomik Forumu’nun 2022 Küresel Riskler Raporu, siber güvenlik tehditlerinin %95’inin bir çeşit insan yanılgısından kaynaklandığını ortaya koyuyor. 2022 Bilgi İhlali Araştırmaları Raporu (DBIR) ise ihlallerin %82’sinin insan yanılgılarından kaynaklandığını ortaya çıkarıyor.

Dolayısıyla, kazara gerçekleşen data sızıntıları yıllardır hükümetlerin baş belası olmaya devam ediyor. Dünya genelinde, bir İngiliz memurun El-Kaide belgelerini trende bırakması, Avustralya hükümet belgelerinin satılan dolaplarda bulunması ve İngiltere hükümetinin terörle gayret araçlarının kazara Trello’da sızdırılması üzere hadiseler yaşandı. ABD’de ise 2015 yılında 191 milyon seçmenin ferdî bilgileri internette yayınlanmış ve ABD askerleri nükleer sırları kazara bir çalışma uygulamasına sızdırmıştı.

Aslında bu sorunun ortadan kalmayacağını, hatta daha da berbata gidebileceğini söyleyebiliriz. Data taşınabilirliği katlanarak artıyor ve bu durum hükümetlere dataları farklı lokasyonlarda barındırma ve hibrit çalışma ortamlarında çok departmanlı erişime müsaade verme üzere avantajlar sunuyor. Online çalışma arttıkça, kurumların çalışanlarının teknoloji uygulamaları üzerindeki kontrol seviyesi azalıyor. Buluttaki daha fazla data, bilgisayar korsanlarının özensiz data kullanımından yararlanmaları için daha fazla portal yaratıyor. Bu eğilimler, çalışanın siber hijyen yahut OPSEC (operasyon güvenliği) konusundaki bilgi eksikliğiyle birleştiğinde, kamu bilgi kaynakları bir bilgisayar korsanının iştahını kabartan kolay bir gaye haline geliyor.

İlginizi Çekebilir;  Dragon Age Günü Yepyeni Bir Fragmanla Kutlandı!

Peki, kamu ve özel bölüm, bilgilerin sızıntı yapabilecek noktalardan geçirilmemesi noktasında çalışanlarına nasıl yardımcı olabilir?

İlk olarak, kuruluşlar bulut ve konteyner ortamlarındaki bilgilerinin güvenliğini sağlayabilirler. Kuruluşlar buluta yatırım yaptıkça, birçoğu tesislerinde bekledikleri titiz standartları karşılayan ağ ve güvenlik çerçeveleri oluşturmakta başarısız oluyor. Kuruluşlar uygulamadan evvel bulut güvenlik modelleri oluşturmazlarsa, geri dönüp uygun denetimleri yapmak için ekseriyetle çok geç olur ve bu kuruluşların IP’sini riske atar. Bu, makus niyetli bir aktörün ağ içinde yaşamasına müsaade vermek üzere bir şeydir. 

Ayrıca, kuruluşlar kimin hangi datalara erişebileceğine ait siyasetlerini iyileştirebilirler. Bilginin kritik pahası göz önünde bulundurulduğunda, bilhassa de bu bilgi zımnî bilgi kategorisindeyse, kuruluşların “en az ayrıcalık” prensibine dayalı sıfır itimat güvenlik modelleri ve rol tabanlı erişim denetimi (RBAC) prosedürleri oluşturması gerekir.

Sıfır itimat güvenlik modelleri, kullanıcıları aradıkları bilgilere erişmek için kendilerine güvenilebileceğini etkin olarak göstermeye zorlar. Bu da bilinen kullanıcıları parolalar, oturum açma bilgileri yahut biyometrik bilgiler temelinde tanımlayabilen araçların kullanılması manasına gelir. En az ayrıcalık unsuru, kullanıcıların sırf kullanmaya yetkili oldukları araçlara, teknolojilere ve evraklara erişmelerine müsaade vererek açıyı daraltır. Kuruluşlar, çalışanların rolleri değiştiğinde ise bu erişim ayrıcalıklarını değiştirebilir.

Son olarak, kuruluşlar kasıtsız bilgi sızıntıları konusunu, işçinin “dijital hijyen” uygulamasını düzgünleştirmek için bir tetikleyici olarak ele almalıdır. Bu, siber güvenlik uygulamaları ve uygun data sürece gereksinimi hakkında sistemli eğitim cinslerini içerir. Kuruluşlar güvenlik uzmanlarıyla dolu olmadığından, çalışanlarına güvenlikle ilgili temel bilgileri vermeleri ve bir sızıntıyla karşılaştıklarında yapılması gereken uygun aksiyonların neler olduğunu aktarmaları gerekir. Ayrıyeten siber güvenlik eğitim programlarının aktifliğini tekrar tekrar test etmeleri de değerlidir. Birçok kuruluş yılda bir ya da iki defa güvenlik farkındalığı eğitimleri düzenliyor, lakin bu kâfi değil. “İnsan güvenlik duvarı” eğitimi daima olmalı ve çalışanlara tehditler ortaya çıktıkça güncellemeler ve yeni talimatlar sunulmalıdır.

İlginizi Çekebilir;  IFS Cloud, Son Sürümünde IFS.ai ile Otomasyon ve Optimizasyon Alanlarında Yapay Zeka Yeteneklerini Güçlendiriyor

Bu birebir vakitte değerli dijital varlıkların belirlenmesini de içerir. Bir kuruluş için hangi varlıkların kritik kıymete sahip olduğu ve bunların nasıl tesirli bir halde korunacağı konusunda bilgi sahibi olmak, başarılı bir siber güvenlik müdahale planı oluşturmak için hayati kıymet taşır. 

Diğer en yeterli uygulamaları ise şöyle sıralayabiliriz:

  • Çok faktörlü kimlik doğrulama (MFA) kullanın. Ek hesap güvenliği sağlamak için MFA’yı yapılandırın 
  • Güçlü bir parola siyaseti ve hesap kilitleme siyaseti kullanın 
  • Kullanılmayan aygıtları, uygulamaları, işten ayrılan çalışanları ve gerekli olmayan programları ve yardımcı programları kaldırın 
  • İhtiyaç duyulmadığında internet erişimini, temas noktalarını ve öteki kontakları kapatın
  • Yama idaresi: Kullanımdaki tüm yazılım, donanım ve aygıt yazılımlarının aktüel yazılım düzeylerini çalıştırdığından emin olun

Hükümetler ve özel kuruluşlar taarruz altında. Düzmece aktörler her geçen yıl daha yaratıcı ve daha bilgili hale geliyor, bu da hayati ehemmiyet taşıyan varlıkların yanlış ellere geçmesini önlemek için kurumları daha fazlasını yapmaya zorluyor. Müdafaa taktikleri düşmanca tehditlere odaklanmalı, fakat düşmanca olmayan tehditleri de kapsamalıdır, zira kasıtsız bilgi paylaşımları da kuruluşları büyük risklerle karşı karşıya getirebilir. 

Veeam Yazılım Hakkında

Veeam®, kuruluşlara hibrit bulutları için data güvenliği, bilgi kurtarma ve data özgürlüğü yoluyla esneklik sağlar. Veeam Bilgi Platformu; Bulut, Sanal, Fizikî, SaaS ve Kubernetes ortamları için tek bir tahlil sunarak işletmelerin uygulamalarının ve bilgilerinin korunduğundan ve işlerini devam ettirebilmeleri için her vakit kullanılabilir olduğundan emin olmalarını sağlar. Merkezi Columbus, Ohio’da bulunan ve 30’dan fazla ülkede ofisleri bulunan Veeam, Fortune 500’ün %82’si ve Küresel 2.000’in %72’si dahil olmak üzere dünya çapında 450.000’den fazla müşteriyi koruyor. Veeam’in global ekosisteminde 35.000’den fazla teknoloji iş ortağı, satıcı, hizmet sağlayıcı ve Global iş ortağı bulunur. Daha fazla bilgi edinmek için veeam.com adresini ziyaret edin yahut Veeam’i LinkedIn @veeam-software ve Twitter @veeam üzerinden takip edin.

İlginizi Çekebilir;  Kaspersky, Konteyner Ortamları için Özel Güvenlik Çözümü Sunuyor

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

0
mutlu
Mutlu
0
_zg_n
Üzgün
0
sinirli
Sinirli
0
_a_rm_
Şaşırmış
0
vir_sl_
Virüslü
Veri Sızıntıları Hükümetlerin En Büyük Kâbusu

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Giriş Yap

Bubirhaber ayrıcalıklarından yararlanmak için hemen giriş yapın veya hesap oluşturun, üstelik tamamen ücretsiz!