guvenlik-egitimiGÜVENLİK EĞİTİMİ farkindalik-egitimiFARKINDALIK EĞİTİMİ siber-guvenlik-raporuSİBER GÜVENLİK RAPORU
BLOG

Kurumsal Veri Sızıntısı ve Engelleme Yöntemleri

Kurumsal Veri Sızıntısı ve Engelleme Yöntemleri

Kurumsal Veri, kurumların ürettiği ve işlediği verilerdir. Bu verilerin bilinçli/kasti ya da bilinçsiz şekilde değişik yöntemlerle kurum dışına çıkarılmasına Veri Sızıntısı denir. NSA sızıntısı, Sony sızıntısı, HSBC sızıntısı, Panama Belgeleri ve Türkiye kimlik bilgileri sızıntısı buna örnek olarak verilebilir.

Kurumsal Veri iki kısıma ayrılır. Yapılandırılmış Veri (Structured Data) ve Yapılandırılmamış Veri (Unstructured Data). Veri tabanlarında ve önceden belirlenmiş türlerdeki tablolarda saklanan verilere yapılandırılmış veri, diğer verilere de yapılandırılmamış veri denmektedir.

Yapılandırılmış Verilere erişim çoğunlukla kurumsal bir arayüz üzerinden yapılır (herhangi bir kurumsal uygulama arayüzünü kullanarak veritabanına kayıt girmek, değiştirmek ve kayıt okumak gibi). Yapılandırılmamış Veriler, Word dökümanı, excel tabloları, text dökümanları, pdf dökümanları ve emailler gibi, kullanıcıların kendilerinin oluşturdukları verilerdir.

Genel kabulün aksine kurumsal verinin çoğunluğu (%70 civarı) yapılandırılmamış veridir ve eksponensiyel olarak artmaktadır. Ve yine genel kabulün aksine bu yapılandırılmamış verilerin çoğunluğu mahrem ve değerli bilgiler içerir. Üst yönetim ve iş birimleri kurumsal uygulamalardan sürekli raporlar çekerler. Bunlar genelde çok kalabalık ve anlaşılması/anlamlandırması zor raporlardır. Bazı kullanıcılar bu raporları anlamlandırmak için Excel tablosuna aktarırlar ve burada gerekli işlemleri yaparak daha anlamlı raporlar üretirler (Pivot tabloları, grafikler v.b.). Ya da bu raporların ekran görüntülerini kendi oluşturdukları rapor dosyalarına (Power Point, Word ya da Pdf) eklerler.

Yapılandırılmamış veri sabit değildir. İşin doğası gereği sürekli hareket halindedir. Mail ile birilerine gönderilir, cloud üzerindeki bir depolama alanına kopyalanır, mobil cihazlar, taşınabilir bellekler ve notebooklar üzerinde şirket dışına çıkarılır. Kurum depolama alanlarında nispeten güvende olan veriler mobil ve cloud ortamında her türlü saldırıya açıktır.

Her kurum mahrem bilgilerinin dışarıya sızmaması için bir dizi önlem alır ve bu önlemlerin kendisini korumaya yeteceğini düşünür. Bu önlemleri alırken bir takım ön varsayımlar belirler. Bu varsayımların en önemlilerinden birisi saldırının dışarıdan geleceği ve bu saldırı başarılı olursa kurumsal verilerinin çalınacağıdır. Bu ihtimali ortadan kaldırmak için ciddi bir güvenlik duvarı yatırımı yapar. Bir diğer varsayım da önemli verilerinin tamamının veri tabanlarında saklandığıdır. Bu ihtimali ortadan kaldırmak için de ciddi önlemler alırlar.

Artık hem IT Yöneticileri hem de üst düzey yöneticiler rahat uyku uyuyabileceklerini düşünürler. Asıl büyük sorun da işte tam bu noktada başlar. Çünkü veri sızıntılarının büyük kısmı içeriden, kötü niyetli yazılımlar ve/veya kötü niyetli/bilinçsiz kullanıcılar tarafından geçekleşmektedir.

Elbette ki güvenlik duvarı ve veri tabanı güvenliği çok önemlidir ve ihmale gelmez ama bunlar yeterli değildir. Bunların yanında başka tedbirler de almak gerekmektedir. Bu tedbirleri birkaç ana başlıkta inceleyebiliriz.

Bunlardan ilki Verilerin Sınıflandırılmasıdır (Data Classification). Tüm veriler aynı gizlilik seviyesinde değildir. Pazarlama materyalleri gibi kimi veriler kurum dışından birileri ile rahatlıkla paylaşılabilir. Kimi veriler sadece kurum çalışanları ile, kimi veriler de sadece belirli grup ya da kişilerle paylaşılmalıdır. Bunu sağlamanın ön koşulu verilerin doğru bir şekilde sınıflandırılmasıdır.

Veriyi iki yöntemle sınıflandırabiliriz. Birincisi, belirli politikalar tanımlanmış bir sistem ile otomatik olarak tüm depolama alanlarını taramak ve bu politikalara uyan dosyaları bulup otomatik olarak sınıflandırmaktır. Bu yöntemin hata toleransı yüksektir ve mutlaka yetkin birilerinin bu sonuçları gözden geçirmesi ve doğruluğunu kontrol etmesi gerekir. İkinci yöntem, veri oluşturulurken veri sahibi tarafından sınıflandırılmasıdır. Bu yöntemin başarı olasılığı daha yüksektir. Eğer bu yönteme zorlayıcı ve önceden belirlenmiş politikalar uygulanırsa bu olasılık daha da yükselecektir.

Bu yöntemin temel problemi kullanıcıların sınıflama yapmaktan vazgeçmeleri ve tüm verileri en düşük ya da en yüksek seviyede sınıflandırmaya başlamalarıdır. Bu problemi ortadan kaldırmak için öncelikle kurumsal farkındalığı artırmak ve veri sınıflandırma yazılımını seçerken, mümkün olan en kullanıcı dostu yazılımı seçmek gerekir.

Diğer bir tedbir DLP (Data Loss / Leak Prevention) sisteminin kurulmasıdır. DLP, özetle kullanımda, hareket halinde ve beklemekte olan veriyi tanımlamak, izlemek ve korumak için konuşlandırılan sistemdir (Wikipedia). DLP’nin düzgün çalışabilmesi için daha önce de söylediğimiz gibi verinin nerede olduğunun tespit edilmesi ve sınıflandırılması gerekmektedir. Daha sonra verinin akışını, ne şekilde kullanıldığını ve bunların genel iş akışımızdaki yerlerini belirlenmesi ve yanlış iş akışlarının düzeltilmesi gerekmektedir. DLP maalesef tek başına sihirli değnek değildir ve veri sızıntısını tek başına engelleyemez. Bunun için yardımcı olabilecek bazı sistemlere ihtiyacı vardır.

Bunu sağlamak için yapılması gereken bir başka iş Yönetişim (Governance) sisteminin kurulmasıdır. Kurumsal veri sürekli oluşturulacak, bu veriye erişilecek ve bu veri kullanıcılar arasında dolacaktır. Bu dolaşım ve erişimi engellemek mümkün değildir. Bu dolaşımın kontrolü ve denetlenmesi gerekmektedir. Buna Veri Erişim Yönetişimi (Data Access Governance, DAG) denmektedir. DAG kısaca aşağıdaki konularda çözüm sunar;

  • Hangi kurumsal kaynakta (File Server, NAS, AD, Exchange, Sharepoint) hangi veriler var?
  • Bu verilere hangi kullanıcının erişme yetkisi var?
  • Kullanıcı bu yetkiyi nereden aldı?
  • Hangi seviyede erişim yetkisi var?
  • Kullanıcı hangi veriye erişti/erişmeye çalıştı ve eriştiğinde ne yaptı/yapamadı?
  • Verinin sahibi kim?
  • Yetkisiz erişimlerin algılanması, engellenmesi ve alarm üretilmesi.
  • Kullanıcıların davranışlarını öğrenme ve bu davranış şekline uymayan hareketleri algılama ve engelleme.

Özetlemek gerekirse, kıymetli olan kurumsal veridir. Bir çok kurumdan veriler sızmaktadır. Maalesef bu sızıntı duyurulmaz ise hiç kimsenin haberi olmamaktadır. Kurumsal veri sürekli hareket halindedir. Bu hareketi engellemek mümkün değildir. Bu verinin nerede olduğunu, hangi seviyede önemli olduğunu ve kimlerin bu veriye eriştiğini bilirsek ve bu verinin kasti ya da bilinçsiz bir şekilde kötü niyetli kişilerin eline geçmesini engelleyebilirsek sorunu çözmüş oluruz.

Osman KELEŞ

Kurumsal Veri Sızıntısı ve Engelleme Yöntemleri
guvenlik-egitimiGÜVENLİK EĞİTİMİ farkindalik-egitimiFARKINDALIK EĞİTİMİ siber-guvenlik-raporuSİBER GÜVENLİK RAPORU