Nisan 2025’te, Fas Ulusal Sosyal Güvenlik Kurumu (CNSS) büyük çaplı bir veri ihlaliyle sarsıldı. “Jabaroot” takma adını kullanan bir hacker, yaklaşık 2 milyon çalışana ve 500 bin şirkete ait kişisel ve finansal bilgileri içeren 53 binden fazla dosyayı sızdırdı. Olay yalnızca teknik bir açık ya da yetersiz güvenlik önlemlerinden ibaret değil; kurumların içeriden gelen tehditlere ve üçüncü taraf yazılımlara karşı ne denli savunmasız olduğunu çarpıcı biçimde ortaya koydu.
Saldırgan, bu eyleminin siyasi gerekçeler taşıdığını, Fas’ın Cezayir basın ajansına yönelik siber saldırısına misilleme olduğunu iddia etti. Ancak bu gerekçenin ötesinde, yaşananlar günümüz dijital altyapılarının en zayıf halkasını açık ediyor: güvenilir görünen erişim noktaları ve denetimsiz iş ortaklıkları.
İçerideki Tehdidin Sessiz Gücü
Siber güvenlik çoğu zaman dış tehditlere odaklanır: fidye yazılımlar, DDoS saldırıları, oltalama kampanyaları… Ancak asıl tehlike, çoğu zaman sistemlerin içine çoktan girmiş olanlardan gelir. İç tehditler; mevcut ya da eski çalışanlar, taşeronlar ya da sistemlere erişimi olan iş ortakları tarafından gerçekleştirilir. Kimi zaman bu tehditler kasıtlı değil; bir e-postanın yanlış kişiye gönderilmesi, güncel olmayan yazılımların kullanılması ya da bir phishing bağlantısına tıklanması bile büyük bir veri sızıntısına yol açabilir.
Uluslararası Suistimal İnceleme Uzmanları Derneği’ne (ACFE) göre, dünya genelindeki kurumlar iç tehditler ve dolandırıcılıklar nedeniyle yıllık gelirlerinin yaklaşık yüzde 5’ini kaybediyor. Bu kayıplar çoğunlukla şu üç kategoriye ayrılıyor:
• Varlık Suistimali: Kaynakların kişisel çıkarlar için kullanılması veya çalınması.
• Yolsuzluk: Rüşvet, çıkar çatışmaları, yasa dışı ödemeler.
• Finansal Tablo Sahteciliği: Nadir görülen ancak büyük kayıplara yol açan, mali verilerin kasıtlı şekilde çarpıtılması.
Üçüncü Taraflar: Görünmeyen Açık Kapılar
Modern kurumlar, sayısız harici yazılım ve hizmet sağlayıcısına bağımlı hale geldi. Bulut platformları, bordro yazılımları, uzaktan çalışma araçları… Her bir entegrasyon, aynı zamanda potansiyel bir güvenlik açığı anlamına geliyor. Bu sistemler düzgün izlenmediğinde ya da gerekli erişim kontrolleri sağlanmadığında, bir saldırgan bu zayıf noktalardan kuruma kolayca sızabilir.
CNSS olayında da benzer bir durum söz konusu olabilir. Saldırının üçüncü taraf bir yazılım üzerinden gerçekleştirilmiş olması ihtimali, dijital tedarik zincirlerinin ne kadar kırılgan olabileceğini gösteriyor.
Yeni Nesil Savunma: Davranışsal Güvenlik Yaklaşımı
Bu tür tehditleri önlemek için klasik güvenlik çözümleri artık yeterli değil. Geleneksel duvarların ötesinde, kullanıcı davranışlarını anlamaya ve olağandışı hareketleri erken aşamada tespit etmeye odaklanan sistemlere ihtiyaç var.
Zecurion gibi yeni nesil veri kaybı önleme (DLP) platformları, bu yaklaşımı benimseyen çözümler arasında öne çıkıyor. Bu tür platformlar yalnızca verinin nereye gittiğini izlemekle kalmıyor; aynı zamanda kimin, ne zaman, hangi davranış kalıplarıyla hareket ettiğini analiz ederek potansiyel riskleri önceden tespit ediyor.
Zecurion’un sunduğu öne çıkan özelliklerden bazıları:
• Kullanıcı Davranış Analitiği (UBA): Normal kullanıcı davranışlarını tanımlayıp sapmaları anında işaretliyor.
• Yetkisiz Yazılım Tespiti (Shadow IT): Onaylanmamış uygulamaların kullanımını engelliyor.
• Ekran Görüntüsü Algılama: Hassas bilgilerin ekran görüntüsü yoluyla sızdırılmasını milisaniyeler içinde engelliyor.
• Otomatik Soruşturma Akışı: Şüpheli olaylara dair otomatik, detaylı raporlar üreterek güvenlik ekiplerinin müdahalesini hızlandırıyor.
Teknoloji Yetmez: İnsan ve Politika Katmanı Şart
Elbette hiçbir yazılım, zayıf iç denetimleri telafi edemez. Çoğu iç tehdit vakasında çalışanların riskli davranışlarına dair uyarı işaretleri önceden görülmüştür: ani ruh hali değişiklikleri, iş saatleri dışında sistem erişimi, olağandışı veri hareketleri… Ancak bu belirtiler genellikle göz ardı edilir.
Etkili bir iç tehdit savunma stratejisinin şunları içermesi gerekiyor:
• Sürekli Risk Değerlendirmesi: Erişim yetkileri ve kullanıcı profilleri düzenli olarak gözden geçirilmeli.
• Davranış Odaklı İzleme: Yalnızca veriye değil, o veriye kimin ne amaçla eriştiğine odaklanmalı.
• Hazır Müdahale Planları: Olası bir olay durumunda hızlı ve koordine bir yanıt için senaryolar önceden planlanmalı.
Araştırmalar, bu tür kontrolleri uygulayan kurumların hem daha az zarara uğradığını hem de tehditlere çok daha hızlı yanıt verdiğini ortaya koyuyor.
Sonuç: Dijital Güvenliğin Yeni Gerçekliği
CNSS veri ihlali, yalnızca Fas için değil, tüm kamu kurumları ve özel sektör için kritik bir ders niteliğinde. İçeriden gelen tehditler ve üçüncü taraf riskleri artık ikincil değil—birincil öncelikler arasında yer almalı.
Geleneksel siber güvenlik yaklaşımlarının ötesine geçip davranışsal analiz, gerçek zamanlı izleme ve kapsamlı iç denetim politikalarıyla desteklenen yeni nesil çözümler benimsenmeli. Dijitalleşmenin sağladığı esneklik, ancak bu düzeyde bir korumayla sürdürülebilir hale gelir.
Kısacası, siber güvenlik artık dışarıdan gelen saldırıları engellemekten ibaret değil; içeride neler olduğunu anlamak ve kontrol etmek meselesidir.
