Veri Sızıntılarının Görünmeyen Tarafı: İnsan Faktörü
cumha.com.tr, CUMHA Cumhur Haber Ajansı abonesi olan tarafsız bir haber platformudur. Köşe yazıları bölümünde yayımlanan içerikler, yazarların şahsi görüş ve değerlendirmelerinden oluşur. Platform, her görüşten yazara alan açan çok sesli yayın anlayışıyla farklı fikirlerin özgürce ifade edildiği tarafsız bir yayın zemini sunar.
Siber güvenlikte çoğu zaman en büyük açık yazılım değil, yetki kullanımı ve insan faktörüdür.
*
Veri sızıntıları konuşulduğunda kamuoyunun aklına çoğu zaman film sahnelerini andıran saldırılar geliyor. Siyah ekranlar, karmaşık kodlar ve dışarıdan sisteme giren hackerlar… Fakat gerçek hayatta tablo her zaman böyle değildir.
*
Birçok olayda asıl risk, sistemin dışından değil içinden gelir. Yetkili kullanıcı hesaplarının kötüye kullanılması, zayıf şifreler, yetersiz denetim, gereğinden fazla erişim hakkı ve kontrolsüz sorgulamalar veri güvenliğini ciddi biçimde zayıflatabilir.
*
Kamuoyuna yansıyan bazı olaylarda, yetkili hesapların kullanılması veya bu hesaplar üzerinden otomatik sorgulama yapılması gibi iddialar gündeme gelmiştir. Bu tür durumlar, siber güvenlikte yalnızca dış saldırılara odaklanmanın yeterli olmadığını gösteriyor.
*
Bir kurumun güvenliği sadece güvenlik duvarı, antivirüs veya sunucu korumasıyla sağlanmaz. Kimin hangi veriye, ne zaman, hangi gerekçeyle eriştiği de en az teknik sistemler kadar önemlidir. Hatta birçok kritik kurumda en büyük risk, gereğinden geniş erişim yetkileridir.
*
Örneğin bir personelin görev tanımıyla ilgisi olmayan verilere kolayca erişebilmesi, başlı başına bir güvenlik zafiyetidir. Bu erişimler kayıt altına alınmıyor, düzenli denetlenmiyor ve şüpheli sorgulamalar anlık tespit edilmiyorsa, veri güvenliğinden söz etmek zordur.
*
Burada çözüm yalnızca ceza vermek değildir. Öncelikle sistemsel önlem gerekir. Rol bazlı yetkilendirme, anlık log takibi, olağan dışı sorgulama alarmı, iki aşamalı doğrulama, dönemsel erişim incelemesi ve personel farkındalık eğitimi standart hale gelmelidir.
*
Veri güvenliği bir teknik ekip meselesi olduğu kadar kurumsal kültür meselesidir. Personel, eriştiği her verinin bir vatandaşın mahremiyeti olduğunu bilmeli. Kurumlar da bu mahremiyeti korumak için teknolojik ve idari denetimi birlikte yürütmelidir.
*
Siber güvenlikte en tehlikeli cümlelerden biri şudur: “Bizim sistemimize bir şey olmaz.” Oysa her sistem, insan faktörü kadar güvenlidir. İnsan faktörü ihmal edildiğinde en güçlü teknik altyapı bile zayıf kalabilir.
*
Editör Notu: Bu yazı, teknik konularda kamuoyunun doğru bilgilendirilmesi amacıyla hazırlanmıştır.
