Devlet Kurumlarında İç Tehdit Riski
cumha.com.tr, CUMHA Cumhur Haber Ajansı abonesi olan tarafsız bir haber platformudur. Köşe yazıları bölümünde yayımlanan içerikler, yazarların şahsi görüş ve değerlendirmelerinden oluşur. Platform, her görüşten yazara alan açan çok sesli yayın anlayışıyla farklı fikirlerin özgürce ifade edildiği tarafsız bir yayın zemini sunar.
Kamu verilerinin korunmasında dış saldırılar kadar iç erişimlerin denetlenmesi de kritik öneme sahiptir.
Kamu kurumlarında veri güvenliği konuşulurken çoğu zaman dış saldırılara odaklanıyoruz. Hackerlar, zararlı yazılımlar, sunucu açıkları ve fidye yazılımları gündeme geliyor. Ancak kamu verilerinin korunmasında en az bunlar kadar önemli bir başka konu daha var: iç tehdit riski.
İç tehdit, yalnızca kötü niyetli personel anlamına gelmez. Bazen dikkatsizlik, bazen yetki fazlalığı, bazen denetimsizlik, bazen de kurum içi güvenlik kültürünün zayıf olması bu riski doğurur.
Bir kamu görevlisinin görev alanı dışında veri sorgulayabilmesi, bir teknisyenin veya yetkili personelin hassas bilgilere kolayca erişebilmesi ciddi bir güvenlik sorunudur. Bu tür olaylar, kurumlarda erişim yetkilerinin daha sıkı denetlenmesi gerektiğini gösterir.
Devlet kurumlarında veri erişimi “güven esasına” bırakılmamalı, denetlenebilir kurallara bağlanmalıdır. Her sorgunun kim tarafından, hangi saatte, hangi gerekçeyle yapıldığı kayıt altına alınmalı ve olağan dışı hareketler otomatik olarak tespit edilmelidir.
Bankacılık sistemlerinde ve askerî yapılarda uygulanan sıkı güvenlik disiplininden alınacak dersler vardır. Kritik veriye erişim sınırlı, gerekçeli, kayıtlı ve denetlenebilir olmalıdır. “Yetkisi var” demek tek başına yeterli değildir; “bu veriye erişmesi gerekiyor mu?” sorusu da sorulmalıdır.
Kamu kurumlarında veri güvenliği yalnızca bilgi işlem birimlerinin sorumluluğuna bırakılamaz. Bu konu üst yönetim, hukuk birimleri, insan kaynakları ve denetim mekanizmalarıyla birlikte ele alınmalıdır.
Ayrıca personel eğitimi de ihmal edilmemelidir. Bir kamu çalışanı, eriştiği verinin sıradan bir kayıt olmadığını; bir vatandaşın özel hayatı, mal varlığı, sağlık bilgisi veya kimlik bilgisi olabileceğini bilmelidir.
Veri güvenliği, vatandaş ile devlet arasındaki güven ilişkisinin temelidir. Bu güveni korumanın yolu da yalnızca dışarıdan gelen saldırıları engellemek değil, içerideki erişimleri de disiplin altına almaktır.
Editör Notu: Bu yazı, teknik konularda kamuoyunun doğru bilgilendirilmesi amacıyla hazırlanmıştır.
