Devlet Kurumlarında Veri Sızıntılarının Perde Arkası Ortaya Çıktı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Veri Sızıntılarının Asıl Sebebi Teknoloji Değilmiş

Hükümet yetkilileri, onca siber güvenlik yasasına rağmen veri sızıntılarının devam ettiğini ve sorunun pahalı yazılımlarda değil, bozuk işleyiş ve umursamazlık kültüründe yattığını itiraf etti.

Ofis ortamında çalışan insanların bulanık bir görüntüsü, ön planda kilit ve zincir simgeleri

Ne Oldu

Her gün yeni bir siber saldırı haberi duyuyoruz. Milyonlarca dolarlık güvenlik yazılımları, aşılmaz denen duvarlar, en son teknoloji ürünü sistemler... Ama birileri hep bir yolunu bulup içeri sızıyor. Peki nasıl? Devletin en tepesindeki yetkililer, son zamanlarda yaşanan sızıntıları masaya yatırmış ve oldukça can sıkıcı bir sonuca varmışlar. Sorun, sandığımız gibi hackerların inanılmaz dehası ya da kullandığımız programların yetersizliği değilmiş. Sorun çok daha basit, çok daha insani ve belki de bu yüzden çözmesi çok daha zor: gündelik işleyişteki aksaklıklar ve genel bir umursamazlık hali.

Düşünün, eyaletler bir sürü para döküp siber güvenliklerini artırmak için yasalar çıkarıyor. Herkesin uyması gereken kurallar koyuluyor. Ama yapılan bir analiz gösteriyor ki, bu yasalar kağıt üzerinde kalmış. Kurumlar, en temel güvenlik adımlarını bile atmaktan aciz. Yetkililer diyor ki, "Elimizde olan bitene dair net bir görüşümüz bile yok." Yani, devasa bir binanın her yerine kamera takıp sonra da monitörleri izleyecek birini koymamak gibi bir durum bu. Kameralar orada ama kimse bakmıyor. İşte bu yüzden sızıntılar durmuyor, duracak gibi de görünmüyor.

Olayın özeti şu: Siber güvenlik, sadece teknoloji satın alıp kurmaktan ibaret bir şey değil. Eğer o teknolojiyi kullanacak insanlar eğitilmezse, eğer kurumun iş yapış biçiminde güvenlik bir öncelik değilse, dünyanın en iyi kilidini de taksanız kapıyı açık unutmaktan bir farkı kalmıyor. Ve devlet kurumları, anlaşılan, kapıyı sürekli açık unutuyor.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ele Geçirilen Veriler

Bu tür genel bir sorundan bahsettiğimizde, tek bir sızıntıda "şu kadar milyon kişinin şu bilgileri çalındı" demek zor. Çünkü bu, tek bir olay değil, bir olaylar zincirinin analizi. Ama devlet kurumlarının elinde ne tür veriler olduğunu düşünürsek, tablonun ne kadar korkutucu olduğunu anlayabiliriz. Bu sızıntılarda giden veriler, genellikle hepimizin devlete vermek zorunda olduğu en mahrem bilgiler.

Neler mi var bu listenin içinde? Sosyal güvenlik numaralarımız, doğum tarihlerimiz, ev adreslerimiz, vergi kayıtlarımız, belki de sağlık bilgilerimiz... Kısacası, bir dolandırıcının sizin adınıza kredi çekmesi, şirket kurması ya da kimliğinizi tamamen çalması için ihtiyaç duyacağı her şey. Bu, sadece bir e-posta adresinin veya parolanın çalınmasından çok daha fazlası. Bu, dijital kimliğinizin anahtarlarının başkalarının eline geçmesi demek. Bu veriler bir kez sızdırıldığında, onları geri almanın, internetin karanlık köşelerinden silmenin bir yolu yok. Yıllar sonra bile karşınıza bir sorun olarak çıkabilir.

Saldırı Nasıl Gerçekleşti

İşte meselenin en can alıcı noktası burası. Saldırılar, genellikle karmaşık, filmlerdeki gibi hacker operasyonlarıyla gerçekleşmiyor. Tam tersine, son derece basit ve önlenebilir hatalar yüzünden oluyor. Yetkililerin analizi, iki ana başlık üzerinde duruyor: İş Akışları (Processes) ve Kültür (Culture).

İş akışlarından kastettikleri ne? Mesela, bir kurum yeni bir sunucu alıyor, kuruyor ama sonra o sunucuyu düzenli olarak güncellemesi gerektiğini unutuyor. Zamanla o sunucunun yazılımında güvenlik açıkları ortaya çıkıyor ve hackerlar bunu bir davetiye gibi görüp içeri dalıyor. Ya da bir çalışan işten ayrıldığında, onun sisteme erişim yetkilerini hemen iptal etmek gibi basit bir adımı atlamaları... O eski çalışan, kötü niyetli olmasa bile, onun hala aktif olan hesabı bir saldırgan tarafından ele geçirilip kullanılabilir. Raporda bahsedilen "görünürlük eksikliği" tam da bu demek. Kurum, kendi ağına hangi cihazların bağlı olduğundan, hangi yazılımların çalıştığından tam olarak haberdar değil. Kendi evinizin içinde tanımadığınız birinin yaşadığından habersiz olmak gibi.

Gelelim kültür meselesine. Bu, belki de en zoru. Kültür, bir kurumdaki insanların genel tavrıdır. Eğer çalışanlar siber güvenliği angarya olarak görüyorsa, "aman bir şey olmaz" diyerek şüpheli e-postalardaki linklere tıklıyorsa, her yerde aynı basit şifreyi kullanıyorsa, en iyi güvenlik sistemleri bile çaresiz kalır. Güvenlik, herkesin sorumluluğu olması gerekirken, sadece "IT departmanının işi" olarak görülüyor. Bir toplantıdan önce güvenlik kontrol listesini aceleyle, okumadan imzalayıp geçmek... İşte bu, sızıntılara davetiye çıkaran o kötü kültürün ta kendisi. İnsanlar, yaptıkları işin güvenlik boyutunu düşünmüyor, çünkü kurum onlara bu düşünce yapısını aşılamamış.

Yani saldırı, bir kapıyı tekmeyle kırmak yerine, anahtarı paspasın altında bırakılmış bir kapıyı sakince açıp içeri girmek gibi gerçekleşiyor. Ve ne yazık ki, paspasın altı anahtar dolu.

Etkilenenler Kim

Cevap basit ve net: Sensin, benim, hepimiziz. Verileri devlet kurumlarında bulunan her bir vatandaş. Bu kurumlar bizim vergilerimizle ayakta duruyor ve en kişisel bilgilerimizi onlara emanet ediyoruz. Karşılığında da bu bilgileri korumalarını bekliyoruz. Ama bu analiz gösteriyor ki, bu emanete yeterince iyi bakılmıyor.

Etkilenmek demek, sadece bir gün banka hesabınızın boşaltılması demek değil. Adınıza sahte kimlikler çıkarılabilir, adınıza borçlar yapılabilir. Devletten almanız gereken bir yardım, bir başkası tarafından alınabilir. Hatta daha da kötüsü, bu bilgiler terör örgütlerinin veya yabancı istihbarat servislerinin eline geçerek ulusal güvenlik tehditleri bile oluşturabilir. Yani mesele, bireysel mağduriyetlerin çok ötesine geçebiliyor. Güvenmemiz gereken kurumların bu kadar temel konularda sınıfta kalması, toplum olarak hepimizi etkileyen bir güven krizine yol açıyor.

Ne Yapabilirsin

Böyle bir durumda insan kendini çaresiz hissediyor, biliyorum. Sonuçta devletin koruyamadığı veriyi sen tek başına nasıl koruyacaksın? Ama yine de tamamen savunmasız değilsin. İşte klişe "güçlü şifre kullan" tavsiyelerinin ötesinde, bu özel duruma yönelik yapabileceğin birkaç şey:

  • Paranoyak Olmakta Sakınca Yok: Devlet kurumlarından geldiği iddia edilen e-postalara, SMS'lere veya telefon aramalarına iki kat şüpheyle yaklaş. "Vergi borcunuzu ödemek için tıklayın" ya da "Sosyal güvenlik bilgilerinizi güncellemeniz gerekiyor" gibi mesajlar gelirse, sakın linke tıklama. Bunun yerine, tarayıcını kendin aç, ilgili kurumun resmi web sitesinin adresini ellerinle yaz ve hesabına oradan giriş yap. Unutma, dolandırıcılar en çok bu sızıntıları kullanarak oltalarını atar. Sızan veriler, onların dolandırıcılık hikayelerini çok daha inandırıcı kılar.
  • Kredi Takibi Ciddi Bir İştir: Ücretsiz kredi takip servislerini kullanmayı veya bankanın bu tür hizmetleri sunup sunmadığını öğrenmeyi düşün. Eğer birisi senin adına kredi kartı başvurusu yaparsa veya kredi çekmeye çalışırsa, bu servisler sana anında bir uyarı gönderir. Bu, hasarı en başından tespit edip büyümesini engellemek için en etkili yollardan biridir. Bu artık bir lüks değil, bir zorunluluk.
  • Bilgi Kirliliğini Kabul Et: Şunu kabullenmek zorundayız: En özel bilgilerimizin bir kısmı muhtemelen çoktan internetin karanlık dehlizlerinde dolaşıyor. Bu yüzden, "bilgilerim güvende" varsayımıyla hareket etmeyi bırak. Bunun yerine, "bilgilerim çalınmış olabilir, o halde ne yapmalıyım?" diye düşün. Bu zihniyet değişikliği, seni dolandırıcılık girişimlerine karşı çok daha uyanık hale getirecektir.
  • Hesapları Ayır: Özellikle finansal işlemlerin için kullandığın e-posta adresi ile sosyal medya veya önemsiz üyelikler için kullandığın e-posta adresini ayır. Eğer bir yerden sızıntı olursa, en azından en kritik hesapların (banka, e-devlet vb.) güvende kalır. Bu, yangının bir odadan diğerine sıçramasını önleyen bir güvenlik duvarı gibidir.

Şirket Ne Diyor

Bu haberin kaynağı bir şirket değil, bizzat devlet yetkililerinin kendisi. Ve söyledikleri, alışıldık "güvenliğiniz bizim için en büyük önceliktir" zırvalarından çok farklı. Açıkça bir özeleştiri yapıyorlar. Bir eyalet yetkilisi, "Yasalara rağmen, siber hijyen konusunda hala temel sorunlar yaşıyoruz ve olayları tam olarak göremiyoruz," diyor. Bu, bir nevi "Evet, kurallar koyduk ama kimsenin uyup uymadığını denetleyemiyoruz ve bir sorun olduğunda bile tam olarak ne olduğunu anlamamız zaman alıyor" itirafı.

Bu açıklamalar, bir yandan dürüst ve takdir edilesi. Sorunu kabul etmek, çözüme giden ilk adımdır. Ama diğer yandan da bir vatandaş olarak duymak istediğiniz şeyler değil. Güvenliğinizden sorumlu olanların, durumu kontrol altında tutamadıklarını söylemeleri endişe yaratıyor. En azından sorunun farkındalar ve artık teknolojiden daha çok insan ve süreçlere odaklanmaları gerektiğini biliyorlar. Umarız bu farkındalık, somut adımlara dönüşür. Çünkü bir sonraki sızıntıda yine aynı şeyleri konuşuyor olmak, kimsenin istemeyeceği bir durum.

Kaynak

https://www.darkreading.com/cyberattacks-data-breaches/processes-and-culture-top-reasons-behind-data-breaches

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Microsoft Fidye Yazılımlarının Noterini Çökertti Sonraki Yazı → Veri Sızıntılarında Yapay Zeka Kuralları Baştan Yazıyor

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.