İçinde bulunduğumuz bilgi çağı, kritik kurum ve organizasyonlar için her zamankinden daha fazla bilgi paylaşımı ve aktarımı zorunluluğunu getirmiştir. Bu paylaşılan bilginin dijital ortamda saklanması, doğru zamanda doğru hedefe hızlı bir şekilde iletilmesi, bilgi akışını hiç olmadığı kadar karmaşıklaştırmıştır [ 1 ]. Gerek bilginin kurum içinde paylaşımı ve aktarımı, gerekse kurum dışına çıkması, bilgi güvenliği bakımından ayrı bir hassasiyet arz etmeye başlamış ve kurumları yeni tedbirler almaya zorlamıştır. Bilginin bu kurum içi ve kurum dışı hareketinde bilinçli olarak ya da bilinçsizce yanlış hedefe ulaşması, dışarı sızdırılması veya kaybolması veri kaçağı (data loss) olarak adlandırılır. Veri kaçağının önlenmesi için alınan bir dizi tedbire de Veri Kaçağını Önleme (Data Loss Prevention - DLP) adı verilmiştir [ 2 ].

VERİ KAÇAĞINI ÖNLEME VE KURUMLAR İÇİN ÖNEMİ

1.1    VERİ KAÇAĞI

Yukarıda da belirtildiği gibi Veri Kaçağı, paylaşılan verinin veya bilginin yanlış hedefe gönderilmesi veya sızdırılması manalarına gelmektedir. Konunun daha iyi anlaşılabilmesi için öncelikle veri tiplerinden bahsedilmelidir. Genel olarak paylaşılacak ya da aktarılacak veri üç sınıfta toplanır: Saklanan veri (Data at Rest), hareket halinde olan veri (Data in Motion) ve kullanılan veri (Data in Use) [ 3 ]. Bu üç farklı sınıf veri için de veri kaçağı olabilmekte ve her durum için o duruma özgü tedbirlerin alınması gerekmektedir.

Kurum ağı üzerinde dolaşan, bilgisayarın hafızasında geçici olarak tutulan ve okumak ya da güncellemek için kullanılan verinin haricindeki veriler ve depolama aygıtlarında barındırılan veriye saklanan veri (Data at Rest) denilmektedir. Çok nadir değişen ya da hiç değişmeyen arşiv dosyaları ile referans dosyaları bu veri grubuna girer. Sabit sürücülerde tutulan dosyalar, harici depolama aygıtlarında bulunan veri ve sunucularda depolanan dosyalar da saklanan veriye örnek verilebilir. Saklanan verinin herkesin erişimine açık olmaması ya da yetkiye göre kısıtlı erişim yetkilendirmesi veri kaçağının önlenmesinde temel noktalar olarak görülür [ 3 ]. Hareket halinde olan veri ise birçok kanal aracılığıyla ağ trafiğinde akan veriyi ifade eder. Bu veri, gönderilen e-postalar, anlık mesajlar ve her türlü web trafiğinde akan veriyi kapsar (Şekil 29). Kullanımda olan veri ise, son kullanıcının doğrudan etkileşimde bulunduğu veridir. USB portundan akan veri, ekran görüntüsü, kopyalanmış dosyaların aktarımı bu gruba girer. Genel olarak, veri kaçağını engelleme bu üç durum için de ayrı ayrı özelleşmiş tedbirlerin alınması ve bilgi paylaşımı yönetiminin başarılı bir şekilde yürütülmesine dayanır.

Yukarıda bahsedilen üç veri tipi ve her birinin üzerinden gerçekleştirilebilecek veri kaçakları şu şekilde detaylandırılabilir:

1.1.1    KURUMLARDA VERİ TÜRLERİ VE KAÇAKLARI

1.1.1.1    SAKLANAN VERİ

Saklanan veri için genel tehditler;  veri hırsızlığı, verinin uygunsuz depolanması, içsel tehditler ve zayıf noktaların sömürülmesi olarak sayılabilir [ 4 ]. Veri hırsızlığına maruz kalabilecek cihazlar:  Masaüstü ve dizüstü bilgisayarlar, veri çalışma istasyonları, sunucular, taşınabilir bellekler, CD’ler, DVD’ler, cep bilgisayarları vb olarak sıralanabilir. Verinin uygunsuz depolanması hususunda ise en tehlikeli durum kiralanmış cihazların içinde kalan verinin çekilmesi olayıdır [ 4 ]. Silinmiş depolama aygıtlarında eski veri geri döndürülebilir ve tekrar yapılandırılabilir. Bu durum veri kaçağı için beklenilen bir olaydır. İçsel tehditler olayı ise kullanıcı hesaplarının yanlış kullanılması ya da yanlış yetkilendirme yapılması, dosya izinlerinin zayıf ve uygunsuz verilmesi, yönetici yetkilerinin kötüye kullanılması ve güvensiz medya üzerinde gizlilik dereceli veriyi tutma olarak tanımlanabilir. Bu riskler, yöneticinin normal görevini yapmasını engellemeden, gizlilik derecesi olan dosyaların şifrelenmesi ile azaltılabilir. Örneğin yöneticinin, klasörleri ve izinleri yönetmesine izin verirken, şifrelenmiş dosyaları çözmelerine veya şifrelenmemiş hallerini görmelerine izin verilmemelidir [ 4 ].

1.1.1.2    HAREKET HALİNDE OLAN VERİ

İlk akla gelen tanımı ağ üzerinde akan veri olan bu tür verilerde, en büyük tehlikelerden birini kurum dışına iletilen e-postalar teşkil eder. Kurum ya da organizasyona ait bilgilerin, dâhili bilgisayarlardan gönderilen e-posta vasıtasıyla dışarı sızdırılması kritik verilerin korunması bakımından büyük tehdit oluşturmaktadır. Bu amaca hizmet eden e-postalar, veri kaçağı amacına göre üç farklı şekilde sınıflandırılabilir. Kasıtlı veri kaçağı, kasıtsız veri kaçağı ve kötü niyetle yapılan veri kaçağı [ 5 ]. Kasıtsız veri kaçağı, gizli bir bilginin e-postaya yanlışlıkla eklenmesi ya da gizli bilginin yanlış kişiye gönderilmesi durumudur. Bu postayı gönderen kişi kötü niyetli olmadığı bilinmektedir ve biraz dikkatli davranırsa bu kaçağın önüne geçilebileceği bir gerçektir. Fakat buna rağmen kasıtsız yapılan veri kaçağı en tehlikeli kaçak türlerinden biridir [ 5 ]. Tam yetkilendirilmiş ve bütün verilere erişim hakkı olan bir yönetici, kasıtsız olarak gizli bir bilgiyi rahatlıkla dış dünyaya gönderebilir. Bu durum bazen e-posta gönderilecekler listesini yanlış oluşturmakla ya da erişim hakkı olan gizli belgeyi yanlışlıkla e-postaya eklemek suretiyle yaşanabilir. Kasıtlı kaçakçılık ise, e-posta gönderen kişinin, kurumun gizlilik ilkelerini bilmesine rağmen gizli dosyayı, ya dosyanın ismini değiştirerek ya da dosyayı sıkıştırarak farklı formata sokup göndermeye çalışmasıdır. Buradaki amaç gizli bilgiyi yetkilendirilmemiş kimselere göndermek değildir. Bu nedenle ilk etapta kötü niyetli olarak değerlendirilemeyecek bir davranıştır. Ne var ki gönderilen posta yetkilendirilmiş kişlere bile gitse, gizli bilginin kurum ya da organizasyondan dışarı çıkması her zaman veri kaçağı manasına gelebilir. Çünkü dışarıya çıkan gizli verinin kontrolü artık kurumun ya da organizasyonun elinde değildir. Kötü niyetle yapılan kaçakçılık ise, gizli veriyi kurum ya da organizasyon dışına, yetkisi olmayan kişilere gönderme olayıdır. Bunun için ekran görüntüsü alma, gizli veriyi parçalara bölüp gönderme, gizli veride karakter kodlaması gerçekleştirip gönderme gibi yöntemler sıkça uygulanan yöntemlerdir. Bu veri kaçağı kurum menfaatlerine aykırı olarak kasıtlı olarak planlanmış veri hırsızlığıdır.

Yukarıda sayılan üç çeşit kaçakçılık yöntemi çok keskin çizgilerle ayrılmayıp, yoğun olarak uygulandıkları türe göre sınıflandırılmaya gidilmiştir. E-posta gönderiminde ve diğer kaçakçılık türlerinde uygulanan yöntem Şekil 1’da açıkça göstermektedir.

1.1.1.3    KULLANILAN VERİ

Veri kaçağı konusunda ilk akla gelen veri türü genellikle hareket halinde olan ya da ağ trafiğinde akan veridir. Bunun sebebi organizasyonların genellikle ağ üzerinden gelen tehditlerle karşılaşmaları ve kendilerini bu tehditlere karşı korumaya çalışmalarıdır. Ağ trafiğini filtreleme, bütün ağ trafiğini izleme veya sunucularla dış dünya arasına güvenlik duvarı koyma veri kaçağını engellemek için alınan tedbirlerdir. Bu tedbirlere rağmen, açıktır ki hareket halinde olan veri kaçağının engellenmesi tümüyle kapsayıcı bir çözüm olmamaktadır [ 3 ]. Ağ trafiği üzerine alınan tedbirler, kullanıcıların gizli bilgiyi USB sürücüleri gibi taşınabilir depolama aygıtlarına kopyalamalarını engelleyemez veya gizli bilginin CD’ye yazılmasına engel olamaz. Bu durum organizasyonları, verinin ağ üzerinden çalınmasına engel olmanın yanında, veri içeriğinin korunmasına itmiştir. Başka bir deyişle, depolanan ya da ağ trafiğinde hareket eden veriyle beraber, son kullanıcı makinelerindeki kullanım halinde olan veri de veri kaçağı tehdidiyle karşı karşıyadır ve veri kaçağın önlenmesi adına alınan tedbirler bu durumu da kapsamalıdır.

1.1.2    KURUMLARIN DLP ÇÖZÜMLERİNE YÖNELME NEDENLERİ

E-posta ve Web bilgisayar dünyasındaki suçlular için en değerli manevra alanlarıdır. Siber saldırganlar her geçen gün yeni yöntemlerle, organizasyonların ağ trafiklerini deşifre etmeye çalışmakta ve gizlilik derecesi haiz bilgilerini elde etmeye çalışmaktadırlar. Çoğu zaman siber suçlular tarafından ağ ve e-posta trafiğinin ele geçirilmesi günlerce hatta haftalarca anlaşılamamaktadır [ 6 ]. Öte yandan, kurum kullanıcılarının her gün onlarca e-posta göndermesi, e-posta aracılığıyla bilgi paylaşımında bulunması gün geçtikçe yaygınlaşmakta ve hatta kaçınılmaz hale gelmektedir. Bu yoğun e-posta trafiğinin yanında FTP sistemlerini kullanan, USB sürücüleri içinde organizasyona ait bilgi taşıyan, evde e-posta kutularına bakan kullanıcılarının da gerçekleştirdiği bilgi trafiği de düşünülürse yönetilmesi ve kontrol edilmesi gereken bilginin ne kadar büyük olduğu anlaşılacaktır [ 7 ]. Bu büyük bilgi veya veri içinde, organizasyona ait önemli bilgiler, toplantı notları, gizli dosyalar vb bulunmaktadır. Bu bilgilerin hareketi sırasında herhangi bir veri takibi, şifreleme ya da veri gözetimi olmazsa, organizasyon dışına olası tehlikeli bilgi kaçağının gerçekleşmesi ihtimali artmaktadır.

Kurumlarda veri kaçağının oluşması farklı şekillerde sonuçlanabilir. Örneğin bir yöneticinin gizli bilgi içeren konuşma notlarını e-posta yoluyla yanlış kişiye ya da kullanıcıya göndermesi iki farklı şekilde sonuçlanabilir: Ya kullanıcının e-postanın yanlışlıkla geldiğini anlayıp silmesiyle ya da gizli bilgiyi kötü niyetle kullanmak üzere tutmasıyla. Gelen gizli bilginin kötü niyetle kullanılmasına örnek olarak Şubat 2008’de Hannafor Brothers süpermarketler zincirinin başına gelen olay örnek gösterilebilir. Şirket yaklaşık dört milyon kredi kartı numarasını ve ilişkili borç listesini kaybettikten sonra 4,1 milyon dolar zarara uğramıştır [ 7 ]. Bu, verinin şirket dışına çıkmasının ne denli tehlikeli bir durum olduğunu ortaya koymaktadır.

Kurumların büyük bir kısmı, aslında olası tehlikelere karşı önlem almaya çalışmaktadır. Neredeyse tamamında anti-virüs kullanımı, pek çoğunda ise anti-spam özelliği vardır. Ne var ki, bu önlemler en düşük seviyede alınması gereken önlemlerdir ve organizasyonların çok azı daha detaylı ve kapsayıcı yeni önlemler almaya yönelmektedirler. Aslında yukarıdaki bilgiden şu açıkça anlaşılabilir: Kurumların neredeyse tamamı giden ve gelen e-postaların izlenmesi gerektiğinin farkındadır ama veri kaçağının daha farklı şekillerde olabileceğini düşünememektedirler. Bunun sebebi belki de kurumların karşı karşıya oldukları ciddi tehdidin farkında olmamaları ya da sektörde ciddi problemlerle sonuçlanan veri kaçağı örneklerini bilmemelerinden kaynaklanmaktadır. Örneğin:

• Çalışanlar sık sık gizli bilgi içeren veriyi e-posta yoluyla kasıtlı olmadan göndermektedirler. Verinin bu hareketinde şifrelenmiş olması gerektiğini düşünmemekte veya bilmemektedirler.

• Gönderilen bir gizli veri, ilk göndericisin haberi olmadan, iletilerek dış dünyada çok hızlı bir şekilde yayılabilir.

• E-posta ile gönderilen veri, bazen yanlış kişilere gönderilebilir. Bu tehlikeli bir veri kaçağına sebebiyet verebilir.

• Çalışanlar, gizli veri içeren e-postaları evde ya da başka yerde kullanmak üzere kendilerine gönderebilirler.

Bu noktada önemli olan bir husus da, organizasyonların veri kaçağını engellemek için hangi sistemleri izlemek ve takip etmek zorunda olduklarını bilmelerinin gerekliliğidir [ 7 ]. Veri kaçağının olabileceği sistemler aşağıdaki gibi sıralanabilir:

• Ev bilgisayarları, diz üstü bilgisayarı ve masaüstü bilgisayarlarından kullanılan kurumsal e-posta sistemleri. (Birçok çalışan, iş haricinde de e-posta kutusunu kontrol etmektedir. Bunun için organizasyon dışındaki bilgisayarları kullanmaktadırlar.)

• Organizasyon ve müşteri arasında anlık mesajlaşmayı sağlayan sistemler.

• İş yerinde kullanılan bireysel Webmail hesapları.

• USB sürücüleri ve diğer taşınabilir depolama aygıtları.

• Facebook gibi sosyal haberleşme sistemleri.

• FTP araçları.

• Sohbet araçları.

• Skype gibi müşteri yönelimli VoIP araçları.

• Karşılıklı dosya paylaşım programları.

• Mesaj panosu ve forumları [ 7 ].

Sonuç olarak, kurumlar kazara ya da kötü niyetle gerçekleştirilebilecek veri kaçağına engel olmak adına, e-posta gönderiminin izlenmesinin yanında, birçok sistemi gözlemlemelidir.

Veri kaçağının önlenmesi kurumlar için neden bu kadar önemli sorusu, oluşturacağı zararlara bakarak daha iyi anlaşılabilir.

Fikri Haklar Kaybı: Kurum bünyesinden gizli bilgilerin kaçırılması ya da sızdırılması, özel ticari anlaşmalarının, kuruma ait tasarımların ve patentli ürün bilgilerinin gizliliğini ihlal edip, kurumu tehlikeye sokabilir. Örneğin, 2006 yılında, Duracell Şirketinin bir çalışanı, şirkete ait gizli bir bilgiyi önce kendi hesabına sonra da rakip şirketlere e-posta yoluyla göndermiştir [ 7 ].

İtibar Kaybı: Kurumların bazı zaafları veya dış dünyaya duyurmak istemedikleri bilgileri olabilir. Bu bilgilerin duyulması kurumlar için itibar kaybı manasına gelir. Bu bilgiler arasında çalışanların problemleri, kuruma dair beğenilmeyen özellikler, hedefe ulaşmayan anlaşma bilgileri, tamamlanmamış proje konuları vs. olabilir.

Yasal Yargılanma: Kullanımı kısıtlanmamış e-posta trafiği çok ciddi ve aleyhte yargılanmalara sebebiyet verebilir. Örneğin, yetkili bir çalışan tarafından atılan yanlış iddialarla dolu bir e-posta, kurumu bağlayabilir.

REFERANSLAR

[ 1 ]    Content security for the next decade. Is your organisation ready to weather the storm? http://www.it-analysis.com/business/change/paper.php?download=yes&paper=693&ts=1262162843

[ 2 ]    Kanagasingham P.: Data Loss Prevention. SANS Security Report (2006)

[ 3 ]    Mogull R.: Understanding and Selecting a Data Loss Prevention Solution. SANS Ins. (2008)

[ 4 ]    Protecting Data at Rest: What to Consider When Selecting a Solution for Disk, Removable Media, and File Encryption. http://www.vigilsoftware.co.uk/Website/Safenet/ProtectDrive/Whitepaper  /SafeNet_White_Paper_Protecting_Data_at_Rest.pdf

[ 5 ]    Information Leak Prevention Accuracy and Security Tests. Percept Technology Labs, Inc (2006)

[ 6 ]    McAfee Buyer’s Guide for Small and Medium-Size Businesses. McAfee Inc (2008)

[ 7 ]    Why Your Organization Needs to Implement DLP. Osterman Research, Inc. (2008)

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.