İnsan faktörünün sebep olduğu siber olaylar genellikle çalışanların yaptığı hatalara dayanıyor. Bu konuda önemli bir detay olan personelin olası kasıtlı kötü niyetli davranışları göz ardı ediliyor. Kaspersky’nin yaptığı en son araştırmaya göre, son iki yılda Türkiye’deki kurumların yüzde 73’ünün farklı şekillerde siber olaylarla karşılaştığını ve bunların yüzde 9’unun çalışanların kasıtlı davranışlarından kaynaklandığını ortaya koyuyor.
Kurum içinde gerçekleşen tehditlerin kasıtsız ve kasıtlı olmak üzere iki ana türü kaynağı bulunuyor. Kasıtsız veya kazara meydana gelen tehditler, kimlik avı ve diğer sosyal mühendislik yöntemlerine kanmak veya hassas ve gizli bilgileri yanlış kişiye göndermek gibi çalışan hataları olarak gözleniyor.
Buna karşılık kasıtlı tehditler, işverenlerinin sistemlerine kasıtlı olarak giren kötü niyetli kişiler tarafından içerden gerçekleştiriliyor. Bu genellikle hassas verilerin satışından maddi kazanç elde etmek veya şirketten intikam almak için yapılıyor. Kötü niyetli içeridekiler bir kurumun düzenli iş operasyonlarını aksatmayı veya durdurmayı, BT zayıflıklarını ortaya çıkarmayı ve gizli bilgileri elde etmeyi amaçlıyor.
Kurum içindeki kötü niyetli kişiler ise tüm çalışanlar arasında siber olaylara neden olabilecek en tehlikeli gruplar olarak tanımlanıyor. Bu kişilerin eylemlerinden kaynaklanan tehditler aşağıdaki faktörler nedeniyle daha da karmaşık hale geliyor:
- Kullandığı bilgi güvenliği araçlarının detayları da dahil olmak üzere bir kuruluşun altyapısı ve süreçleri hakkında özel bilgiye sahipler.
- Şirket ağının içindedirler ve kimlik avı, güvenlik duvarı saldırıları gibi yollarla dışarıdan şirkete nüfuz etmeleri gerekmez.
- Kurum içinde meslektaşları ve arkadaşları vardır. Bu nedenle sosyal mühendislik tekniklerini kullanmaları çok daha kolaydır.
- Kuruma zarar vermek adına yüksek motivasyona sahiptir.
İç tehditler ve işletmelerin savunma stratejileri
Çalışanların işverene karşı kötü niyetli eylemlerde bulunmasının ana nedenlerinden biri finansal kazanç elde etmek. Genellikle bu, hassas bilgileri üçüncü bir tarafa satmak amacıyla çalmak anlamına geliyor. Rakipler veya hatta siber suçluların işletmelere saldırmak için veri satın aldığı karanlık ağda bunları açık artırmaya koyabiliyor.
Çalışanlar işten çıkarıldığında da intikam amacıyla kötü niyetli davranışlar sergilenebiliyor. Bunu da diğer çalışanlarla olan bağlantıları aracılığıyla kolaylıkla gerçekleştirilebiliyor. Ancak yaşanacak en kötü senaryo, kurumun kurumsal sistemlere erişim yetkisini kaldırmamış olması nedeniyle eski çalışanın hala iş hesabına uzaktan giriş yapabilmesi durumunda gerçekleşiyor.
Çalışanlar, işlerinden memnun olmadıklarında veya kendilerine bekledikleri adil zammı veya hak ettikleri terfiyi vermeyen bir işverenden öç almak için de kasıtlı ve zarar verici kötü niyetli davranışlar ortaya koyabiliyor.
Bir diğer farklı kötü niyetli eylem türü, içerden bir veya daha fazla kişinin, organizasyonun güvenliğini veya istikrarını tehlikeye atmak amacıyla harici bir aktörle bilinçli olarak iş birliği yapması durumunda ortaya çıkıyor. Bu vakalar sıklıkla, özellikle siber suçluların, farklı türde saldırılar gerçekleştirmek üzere bir veya daha fazla içeriden kişiyi kandırma veya işe alma yoluyla anlaşmasını temel alıyor. Saldırganlar, rakip firmalar veya diğer ilgili taraflar gibi üçüncü tarafların, örgütün hassas, gizli veya kritik verilerini elde etmek, manipüle etmek veya sızdırmak için içeriden personelle gizlice işbirliği yaptığı durumlar da söz konusu olabiliyor. Bu tür eylemler, genellikle organizasyonun itibarına, finansal durumuna veya operasyonel etkinliğine ciddi zararlar vererek, uzun vadeli olumsuz sonuçlara yol açabiliyor.
Kaspersky Bilgi Güvenliği Başkanı Alexey Vovk, şunları söylüyor:
“Kötü niyetli aktörler, büyük işletmelerde ya da küçük işletmelerde her yerde bulunabilir. Bunu asla bilemezsiniz. İşte bu yüzden işletmeler, tehditlere karşı koruma sağlamak için güncel, dayanıklı ve şeffaf bir BT güvenlik sistemini oluşturmalı; etkili güvenlik çözümleri, akıllı güvenlik protokolleri ve hem BT personeli hem de BT olmayan personel için eğitim programlarını birleştirmelidir. Bunlara ek olarak, organizasyonun altyapısını koruyacak ürünlerin ve çözümlerin uygulanması hayati önem taşır. Örneğin Kaspersky Endpoint Detection and Response Optimum, gelişmiş anomali kontrolü içerir. Bu da şirket içindeki çalışan bir içeriden ya da organizasyon dışındaki bir saldırgan tarafından gerçekleştirilen şüpheli ve potansiyel olarak tehlikeli faaliyetleri tespit etmeye ve önlemeye yardımcı olur.”