Sirketlerde Eski Çalisan Tehdidi ve Elektronik Ortam Güvenligi
Sirketler bilgi güvenliginin saglanmasi için organizasyonlari içerisinde altyapilarini güçlendiriyor olsalar da, kullanicilarin uygulamalari konusunda kontroller zayif kaliyor.
PricewaterhouseCoopers (PwC) ile CIO ve CSO yayinlari tarafindan gerçeklestirilen arastirmaya göre eski çalisanlar hackerlardan da tehlikeli.
Yeni milenyumda ortaya çikan finansal skandallardan sonra sirket yöneticilerinin hapse girdiklerini görmeye alistik. Fakat su baslik gerçekten sasirtti: BT Yöneticisi, Hack Davasinda Hapis Cezasina Çarptirildi.
Dava, Mark Erfurt adinda bir network uzmani ile ilgili. Bu kisi eski isyeri olan Manufacturing Electronic Sales Corp. (MESC) sirketine ait bilgi-islem sistemine Ocak 2003’te, isine son verildikten sekiz ay sonra, izinsiz olarak girmekle suçlaniyor.
39 yasindaki Erfurt, Symantec’in pcAnywhere adli uzaktan yönetim programini MESC sirketinin networküne girmek için kullandigini kabul etti. Bu sekilde sirket agina sizdiktan sonra bazi verileri sildigini, sirketin baskaninin e-postasini kullandigini ve özel veritabanlarini download ettigini de itiraf etti.
Ayni zamanda yaptigi bu izinsiz erisimin izlerini silmek için yedekleme teyplerini de silmeye çalismis. Bu onun, ayrica delilleri karartmak suçundan yargilanmasina neden oldu.
Simdi Erfurt’a bes ay hapis, arti bes ay ev hapsi ve üç sene sartli tahliye cezalari verilmesi gündemde, ayrica 45,000 dolar tazminat ödemesi gerekiyor. Bu hüküm karsisinda Erfurt rahatlamis olmali çünkü sadece delilleri karartma suçundan bile 20 yil hapis cezasi alabilirdi.
Erfurt bu olay sirasinda ve halen Centaur adli bir sirkette çalisiyor. Bu sirket MESC firmasinin rakibi. Centaur’un CEO’su bu olayin Erfurt’un kisisel girisimi oldugunu ve kurumsal casuslukla bir ilgisinin bulunmadigini vurguladi. Ama çok kolayca bu tür bir olaya dönüsebilirdi.
Genelde olabilecek en kötü sey patronun, bütün sirkete gönderilen bir e-posta mesajinda asagilanmasi olacaktir ama yine de kizgin, belki de kin besleyen, isten atilmis bir çalisana geçici de olsa önemli dosyalara erisim vermek aptalca olur.
Yine de bu önlemler Erfurt’u durduramazdi. Çünkü söyledigine göre MESC sirketinin sifre korumali sistemine “yönetici seviyesinde erisimi” vardi. Bu ayni zamanda baska bir önemli konuyu gündeme getiriyor:
MESC aslinda pcAnywhere programinin güvenlik özelliklerini tam manasiyla kullanmiyordu. Symantec ürün müdürünün dedigine göre pcAnywhere programi belirli bilgisayarlarin aga girmesini engelleyebilecek özelliklere sahip.
MESC geçen 2004 Haziran ayinda faaliyetlerini durdurdu. Erfurt’un saldirisi sirketin ölüm sebebi oldu çünkü bu saldiri sonucunda satis kayitlari, gizli anlasmalar, gizli teknik bilgiler ve yedekleme dosyalari silindi. Ve bunlarin hepsi, sirketin networkünün olmasi gerektigi kadar güvenli olmamasi yüzünden gerçeklesti.
Bu, gerçekten iyi bir ders oldu.
Gelelim 2007 yilindaki duruma;
Uluslararasi denetim, vergi ve danismanlik sirketi PwC, CIO ve CSO yayinlari tarafindan dünya çapinda her yil gerçeklestirilen Bilgi Güvenliginin Küresel Durumu 2007 arastirmasinin sonuçlari yayinlandi. Bu alandaki en kapsamli arastirma olan Bilgi Güvenliginin Küresel Durumu 2007 arastirmasina 119 ülkenin tüm sektörlerinde faaliyet gösteren 7 bin 200 Bilgi Teknolojileri (BT), güvenlik ve üst düzey yöneticisi katildi.
1-Güvenligin can düsmani çalisanlar
Arastirmada öne çikan en önemli sonuç, bilgi güvenliginde yasanan olaylarin çogunlukla sirket çalisanlarindan kaynaklanmasi. Katilimcilarin büyük çogunlugu (yüzde 66), mevcut veya eski çalisanlarini, “hacker”lari bastiracak bir oranla (yüzde 39) saldirilarin kaynagi olarak gösterdiler. Bu oranin 2006 yilinda “hacker”lar için yüzde 53; çalisanlar için yüzde 44 oldugu düsünüldügünde 2007 sonuçlarinda çalisanlarin bilgi güvenligini tehdit etme orani belirgin sekilde artigi görülüyor.
2-Avrupa’da basit korumalar yok
Bu tür saldirilarda asil yöntem olarak e-posta ile kullanicilarin sahip oldugu hesap ve haklarin kullanildigi rapor edilirken sadece kullanicilarin üçte birinin (yüzde 34) rutin olarak insan-odakli bilgi güvenligi koruma önlemleri aldigi vurgulandi.
Arastirmada ortaya çikan bir baska sonuç ise personel geçmisi kontrollerinin yapilmasi (yüzde 33), çalisanlarin internet/bilgi varliklari kullaniminin izlenmesi (yüzde 40) ve kurum içi politika ve prosedürlerle çalisan farkindaligi yaratilmasi (yüzde 37) gibi basit koruma önlemlerinin Avrupa’da nadir olarak kullanildiginin ortaya çikmasi.
3-Güvenlikte ciddi ilerlemeler var
PwC Türkiye Danismanlik Hizmetleri Kidemli Müdürü Anil Erkan, Türkiye’deki sirketlerin durumu ile ilgili su degerlendirmede bulundu:
“Sirketlerde güvenlik altyapisi anlaminda ciddi ilerlemeler kaydedildigini görüyoruz. Bununla birlikte, sirketler kullanici kontrol süreçlerinin ve kurum-içi politikalarin olusturulmasinda ve uygulanmasinda belirli zorluklar yasiyorlar. Ilgili süreç ve kontrollerin uygunlugunun düzenli takip edilmemesi ise kullanici kaynakli bilgi güvenligi oranini ciddi ölçüde artirmaktadir.”
4-Hala kimlik yönetim stratejisi yok
Avrupa verilerine bakildiginda ise, yüzde 64 oraniyla sirketlerin hala kimlik yönetimi stratejisine sahip olmadiklari ortaya çikti.. (küresel yüzde 64; ABD yüzde 61). PwC Türkiye Danismanlik Bölümü Danismani Seda Babür konuyla ilgili olarak, “Kimlik ve erisim yönetimi projeleri kurumlar için giderek daha da gündemde olacaktir. Fakat eskiden oldugu gibi bu projeler teknoloji ve yazilim firmalari kaynakli olmaktan çikip, üst yönetim seviyesinden asagiya dogru uygulatilan risk ve uygunluk kaynakli projeler olacaklardir.” dedi.
5-Bilgi güvenligine harcama yapmiyorlar
Arastirmaya göre, Avrupa’daki katilimcilarin sadece yüzde 30′u bilgi güvenligi politikalarinin tamamen is hedefleri ile ayni çizgide oldugunu rapor ederken daha da azi (yüzde 24) güvenlik harcamalarinin is hedefleri tamamen uyum içerisinde oldugunu belirtiyor.
Katilimcilarin yüzde 64′ü güvenlik harcamalarinin önümüzdeki yil artacagini tahmin ediyor. Katilimcilarin yüzde 31′i bu artisin yüzde 19′u geçecegi tahmininde bulunuyor.
6-Uyum izlemede düsük rakamlar
Arastirma sonuçlari Avrupa’da güvenlik uygulamalarinin dis kaynakli firmalara verilmesinde bir azalma egilimi oldugunu da gösterdi. Dis kaynakli anti-virüs yönetiminde yüzde 37′den yüzde 21′e, dis kaynakli network firewall’da ise yüzde 36′dan yüzde 23′e bir düsüs gözlendi.
Kullanicilarin güvenlik politikalarina uyumlulugunu, arastirmaya katilan kuruluslarin sadece yüzde 30′u denetlemekte veya izlerken bu sonuç, ABD’de yüzde 45, dünyanin diger bölgelerindeki ülkelerde ise yüzde 37 düzeyinde.
7-Tedarikçilere güven azaldi
Arastirma, üçüncü sahislarla olan veri ve erisim güvenligin arttirilmasi üzerine devam eden kurumsal bir mücadele oldugunu da gösterdi. Katilimcilarin yüzde 68′i is ortaklarinin ve tedarikçilerinin bilgi güvenligi önlemlerinden (küresel yüzde 70; ABD yüzde 72) ve yüzde 52’si dis kaynak kullanimli tedarikçi güvenliginden (küresel yüzde 54; ABD yüzde 53) emin degil. Avrupali katilimcilarin ortak/tedarikçi bilgi güvenliginden emin olanlarinin sayisi da 2006′da yüzde 27′den 2007′de yüzde 15′e düstü.
Arastirma’nin Avrupa’daki sirketlere iliskin sonuçlari bilgi güvenliginin sirketlerin gündeminde önemli bir yer edindigini gösteriyor. Arastirma sonuçlarina göre, 2006 yilinda Avrupa’daki organizasyonlarin yüzde 49′unda CSO (Güvenlik Yöneticisi) veya CISO (Bilgi Güvenligi Yöneticisi) bulunurken bu oran 2007 yilinda yüzde 69′a yükseldi.
8-Katilimcilarin yüzde 46’si sifreliyor
Katilimcilarin sadece üçte biri kullanici verisi (yüzde 32), verinin depolandigi yer ya da yetki envanterini (yüzde 28) dogru sekilde tutmaktadir seklinde görüs belirtirken buna benzer olarak, sadece beste biri (küresel yüzde 24; ABD yüzde 29) müsteri bilgisini kullanarak üçüncü sahislarin envanterini tutmaktadir görüsünü savundu.
Ayrica, katilimcilarin yarisindan azi (küresel yüzde 46; ABD yüzde 42) veritabani ya da dizüstü bilgisayarlarda bulunan veriyi sifreledigini ifade etti.
Kaynak;iha, turk.internet.com
