Bilgi ve know-how (işlenmiş bilgi) çoğu organizasyonun en değerli şeyidir. Calder ve Watkins (2012) bilgi ve fikirsel sermayenin bir ticarethanenin fiziksel assetlerinden daha değerli olduğunu vurgulamaktadır.[1]

Toplu bir şekilde fikirsel sermayeye atıfta bulunan Wilding (2006) organizasyonların refahı için hayati önemi olan IP’nin korunmasına çoğunlukla önem verilmediğini vurgular[2]. Bu görüş, bilgi sistemlerini koruduğuna inanan çoğu organizasyonun aslında korunmadığı korkunç gerçeğini bildiren Calder ve Watkins (2012) tarafından da desteklenmektedir.

Bilgi güvenliği sadece katmanlar yaklaşımıyla, istismarın tüm boyutları ile değerlendirilerek elde edilebilir. Saldırganların en yaygın metodu ise sosyal mühendisliktir.

Sosyal Mühendislik; kişilerin psikolojik yaklaşımlarla şüphe uyandırmadan veya inanç tesis ederek kasıtlı bir biçimde bilgi alma taktiklerini ifade eder. Korkularımızı, insanlara inancımızı ve yadım etme niyetimizi suiistimal ederek bizleri aldatıp bilgi temin etmeye yönelik girişimlerle Organizasyonun güvenlik sistemlerinin içindeki en zayıf halka olan insan unsurunu kullanma üzerine kurgulanır. Şu şekillerde hayata geçer:

• Telefon soruşturmaları.
• Kendini IT yardım masası gibi tanıtarak kişilere yapmacık telefonlar açma.
• Ticari SHOW ve Konferans yaklaşımları sergilemek.
• Sosyal Network siteleri veya CHAT ortamlarındaki yaklaşımları sergilemek.
• E-mail yaklaşımları.
• Yapmacık iş tekliflerinde bulunma.
• Kişisel ilişkiler kurma.
• Kendini yetkili olarak tanıtma

Sosyal Mühendislik, şirketin en zayıf halkası insana yönelik en kuvvetli saldırı metodudur. Kriminal Hacker’lar bunu bilir. PROOFPOINT’un 2016 İnsan Faktörü Raporu [3] ‘na göre 2015’te sosyal mühendislik 1 numaralı saldırı metodu olmuştur.

Başarılı sosyal mühendislik metotları genelde phishing ve malware kullanırlar. Fakat aldatıcı bilgi saldırganları bunun üzerinde daha fazla araç ve yaklaşımlar kullanırlar.

Bu sebeple CSO’lar (Chief Security Officer) internette ve günlük yaşamda kullanılan en etkin 6 sosyal mühendislik alanında çalışma yapar, her birinin anlayışını göz önünde bulundurarak üstesinden gelirler. Sosyal sabotajcıları belirleme, karşı koyma ve uzak tutmak için teknoloji, metot ve kurallar geliştirirler.

En Efektif sosyal mühendislik teknikleri şu şekilde sıralanabilir:

• Makroları Aktifleştirme
• Seksüel İstismar
• Gelişmiş Sempati Yaratma
• Düzmece İşe Alım
• Eski Stajyerler
• Sosyal Mühendislik Teknikleri (Chat Gruplarında)

Yabancı hükümet kurumlarının espiyonaj faaliyetleri ile kendi şirketlerine dünya piyasalarında ekonomik avantajlar sağlama girişimleri hayal bile edilemez orandadır. Medyada çokça değinilen; şirketlerin Telefon ve bilgisayarlarına müdahale etme hikayelerinin yanısıra, şirket kurarak hedef şirkete yakınlaşma, ortak girişim sağlama ve hatta hedef şirkete mal/hizmet sağlama gibi çok daha çeşitli bilgiye ulaşma yöntemi vardır.

Hükümetler seviyesindeki espiyonajlar geleneksel saldırganlıklarla sınırlı değildir. Endüstriyel espiyonaj konusunda çoğu ABD ve Avrupa şirketlerinin veya ABD ile Asya Şirketlerinin davalık oldukları çok şikâyet/suçlama bulunmaktadır. Ülkelerin İstihbarat Servisleri görünüşte müttefik gibi davranıp siber alanda birbirlerine savaş açarak, ekonomik ve Endüstriyel gizleri çalarak kendilerine ekonomik avantaj sağlamaya çalışırlar. Tarih bize süper güçlerin gelişip battığını gösterir. Bunda bilgi ve know-how’ın global ekonomik hakimiyet sağlamak üzere belirleyici rolü vardır.

Daha da ötesinde, bilgisayarlar ve bağıntılı aparatlarla, çalışan veya eski çalışanlar ticari gizlerle yürüyüp giderler. Hatta neyin çalınabileceği konusunda da limit yoktur. 20 yıl önce güvenliği geçip kapıdan çıkarken evrak kutuları ile çıkarılabilecek şeyler şimdi flash drive’lara sığmakta ve hatta kişisel cloud hesaplara desktop Workstation ’lardan upload edilebilmektedir.

Ekonomik casusluğun büyük bir bölümü aşağıdaki kategorilere ayrılır:

• Çalışanlar müteşebbislerinden bilgi çalarlar.
• Şirketler rakiplerinden bilgi çalarlar.
• Yabancı hükümetler şirketlerden bilgi çalarlar.

On yıl önce ONCIX[4], yıllık raporunda aşağıdaki bulguları yayınlamıştır:

• En büyük tehdit ve kayıplar: imalat süreçleri, Bilgi iletişimi ve teknolojisi, Nadir bulunan doğal kaynaklar, havacılık, temiz enerji projeleri ve eczacılıkla ilgilidir.
• Ticari bilgi sahiplikleri üzerindeki riskler İnternet ve bilgi sitemleri ile birlikte artmaktadır.
• Patentli bilgi güvenliğine yönelik en büyük tehlike tesiste sözleşmeli çalışanlar ve ortak girişim üyeleri bakımından iç saldırgan bakış açısıyla oluşmaktadır.
• Patent alınmış bilginin etkin korunması çoğu şirket tarafından yürütülememektedir.
• Patentlendirilmiş bilginin değerini ölçme mekanizma ve süreçleri çoğu şirkette yoktur.

Yukarıda belirtilen bu olgular günümüze kadar etkin korumaya kavuşamamış ve teknolojik gelişmeler dengeyi hep saldırganların lehine çevirmiştir. Hatta daha da ötesinde:

• Siber dünya faillere ve hatta iç saldırganlara kendilerini gizleme güvenliğini sağlamıştır.
• Ev ve iş hayatları arasındaki ayrıma çok az dikkat çeken çalışanlar istedikleri her tür bilgiye her yerden ve her zaman serbest ulaşımı sağlar olmuşlardır.

Rekabetçi İstihbaratla casusluğun karıştırılması kolaydır. Casusluk kanunda zayıf bir şekilde tanımlanmaktadır. Büyük şirketlerin çoğunda Rekabetçi İstihbarat Departmanları bulunur.

Nasheri (2005)[5] ye göre rekabetçi istihbarat; piyasayı geniş bir bakış açısıyla görür ve belli şirketlerin kendilerini nasıl konumlandırdıkları üzerine odaklaşır. İşe alım, stratejik ve taktiksel gözlem, hedef şirket personelinin ürün örnekleme ve profilleme teknikleri üzerine dayanır. Hatta rekabetçilerin kuvvet ve zayıflıklarını inceler.

Yine de, rekabetçi bilginin kanuni ve etik bir biçimde toplanması ile ticari bilginin gizlice elde edilmesi arasında çoğunlukla ince bir çizgi mevcuttur.

Kişisel verilerin çalınmasına odaklı Organize Suç Çeteleri kişisel verilere önemli risk oluştururlar. Kişisel verinin hedef alınmasına dair 2012 TRUSTWAVE Global Güvenlik Raporu[6] şu sonuçlara dikkat çekmektedir:

• En çok hedef olanlar Gıda ve İçecek Sektörleridir.
• Siber suç saldırılarının çoğu %89 ile kişisel verilere yöneliktir. Saldırıların yüksek başarı oranı vardır.
• Zayıf password ’ler hep problem olmuştur. En çok kullanılan password‘ler «PASSWORD1» dür.
• Kötü niyetli eklentisi bulunan maillerin alınma zamanı 0800-0900 EST (1300-1400 GMT) dir.
• İncelenen şirketlerin %16’sı saldırıları kendileri tespit ederler. Diğer %84’ü dışarıdan bilgilendirilir: Kural Koyucular, Polis veya Kamu. Kötü niyetli bir yazılım tespit edilmeden önce mağdurun ortamında ortalama 173,5 gün kalır.

Sıklıkla kullanılan ifadelerle, bilgiyi açığa çıkaracak dört yol söylenmektedir:

• Dışarıdakiler.
• Kötü Niyetli İçeridekiler.
• Sehven ifşa eden içeridekiler.
• Dışarıdakilerle iş birliği içindeki içeridekiler.

Aslında bu güzel ayrıştırım saldırgan çeşitlemesini haddinden fazla basitleştirmektedir. Beyaz-yaka bilgi hırsızlığı, ekonomik casusluk ile kanuni istihbaratlar arasındaki çizgiler net değildir. İstihbarat toplama ile ilgili olarak Hasheri (2005) istihbarat toplayanların rekabetçiler, satıcılar, müfettiş veya tahkikatçılar, business istihbarat danışmanları, basın, işçi arabulucuları ve hükümet servislerinin olabileceğini belirtir.

Bu bağlamda bilginin saldırganları şu şekilde adlandırılabilir:

• Çalışanlar
• Eski Çalışanlar
• Rakipler
• İş Ortakları (Joint Ventures)
• Yabancı Hükümetler
• Bilgi Brokırları
• Gazeteciler
• Aktivistler
• Extremistler
• Organize suç çeteleri

Görüldüğü gibi, bilgi güvenliği sadece IT (Bilgi Teknolojileri) olarak ele alınabilecek bir konu değildir. Buradaki savunma mekanizmalarının CSO’lar (Chief Security Officer) tarafından geliştirilmesi gerekir. Ülkemizde Kurumsal (Corporate) Savunmada Güvenlik Müdürlerine C-Suite yapısı içerisinde yer verilmemektedir. Ancak, şirket değerlerinin, bilgisinin korunabilmesi için bu elzemdir. Değerlerin ve bilginin kaybında insan unsuru IT ye nazaran daha fazla ön plana çıkmaktadır.

2005 yılında ABD Senatosu önünde verdiği ifadede hacker Kevin Mitnick ifadesinde şu hususlara yer vermiştir: “Ben nadiren teknik saldırı düzenlerim. Bilgisayar güvenliğinde insan unsuru sürekli gözden kaçırılır ve daha kolay kandırılabilirdir. Şirketler firewall lara, şifrelemelere ve bağlantı cihazlarına milyonlarca dolar yatırırlar ve bu para uçar gider çünkü; bu tedbirlerden hiçbiri en zayıf halkayı işaret etmez.” (Wilding, 2006)

Tüm şekillerdeki bilginin risklerini etkin bir şekilde yönetmek üzere ISO 27001 Bilgi Sistemleri Güvenliğinin oluşturulması ve kurallarının aşağıdakilere değinebilmek üzere kapsam bakımından yeterince geniş olması gereklidir:

• Bilgi Sistemleri Güvenliği (Bilgi Güvenliği Yönetim Sistemi – ISMS).
• Telekomünikasyon Güvenliği.
• Teknik İzleme Karşı Tedbirleri.
• Farkındalık Programları.
• Personel Güvenliği (Özgeçmiş Tarama, Gizlilik Ant., Tahkikatlar, sosyal mühendislik vs.).
• İş Seyahatinde Bilgi Güvenliği.
• Kağıt Belgelerdeki bilginin korunması.
• Operasyonel Güvenlik (OpSec).
• İş Ortakları ile Bilgi Paylaşımı.
• Olay Müdahale ve Tahkikatlar.

Sorumlu bir uzman bireye sahip olmaktan ziyade, çapraz iş komitesi faaliyeti gibi «bilgi assetlerini koruma programı» yöneterek elde edilecek birleşik bilgi güvenliği yaklaşımı sergilemek gerektirir. 1 Bireyin Sorumluluğu değildir!

Güvenlik, tüm iş kollarını içeren topyekün bir faaliyet olarak ele alınmalıdır. Bu durum ve gelişen teknolojinin yarattığı risk bu savunma stratejisini yeni ortaya çıkarmamıştır. Güvenliğin topyekün yürütülmesi yüzyıllardır dile getirilen bir olgudur. Güvenlikçilerin bilgilerinin pekiştirilmesinden belki daha da önemlisi, çalışanların farkındalık eğitimlerinin arttırılmasıdır. Bir iş arkadaşınızla akşam yemeğinde şirket bilgileri paylaşırken yan masadan sizi kimlerin dinleyip kayda aldığını bilemezsiniz!

En önemli savunma farkındalık eğitimleri ile destekli güvenlik programları oluşturulmasıdır.

———————————

[1] Calder, Alan and Watkins, Steve (2012), IT Governance, An International Guide to Data Security and ISO27001/ISO27002, Kogan Page, London, UK

[2] Wilding, Ed (2006), Information Risk and Security, Gower, Aldershot, UK

[3] https://www.proofpoint.com/sites/default/files/human-factor-report-2016.pdf

[4] ONCIX :Office of the National Counterintelligence Executive (ABD)

[5] Nasheri, Hedieh (2005), Economic Espionage and Industrial Spying, Cambridge University Press, Cambridge, UK

[6] https://www.trustwave.com/Resources/Library/Documents/2012-Trustwave-Global-Security-Report/