sv

Kurumlarda bilgi hırsızlığı

avatar

Yasin

  • e

    Mutlu

  • e

    Eğlenmiş

  • e

    Şaşırmış

  • e

    Kızgın

  • e

    Üzgün

Zekânın ürünü bilgidir. Bazen araştırma ile bazen de bir gözlem ile ortaya çıkar.

Bilgi hırsızlığının temelinde; hırs, rekabet, maddi menfaat, kuruma zarar verme ve itibar zedeleme gibi nedenler yatar.

Genelde şirketlerin kendi çalışanları bilgi hırsızlığını gerçekleştirir. Rakip firmanın bir elemanı ya da rakip firmanın kiraladığı bir hacker da bilgi hırsızlığını gerçekleştirebilir.

Peki, şirketin kendi çalışanı; şirketine ait bir bilgiyi neden çalar?

Bir şirkette çalışan kişinin konumu ne kadar iyiyse aldığı para o kadar iyi olmalıdır. Ki ekonomik sebepler yüzünden gözünü şirketin bilgilerine dikmesin. Daha iyi bir hayat isteği bile bilgi hırsızlığının nedeni olabilir. Bazen de çalışanın psikolojik yapısı da etkili olabilmektedir. Şirketin kendi üzerinden para kazandığını düşünüp, şirketin kendine borçlu olduğuna inanması, kendisini değişmez biri gibi görmek de bilgi hırsızlığına yol açabilir.

Aynı şekilde bir vasıfsız, kontrol edilemeyen birinin elinde birden fazla yetkinin toplanması da kurum içinde zafiyet demektir. Bunun içindir ki şirket içinde denetim ve kontrollerin had safhada olması gerekir.

Kurumun güvenlik zafiyetini sürekli olarak iç denetim mekanizması ile kontrol etmesi, kritik verilere kolay erişimi engellemesi bu gibi durumları engelleyebilir.

Bilgi nasıl sızar?

Genelde şirket içerisinden basit flashdisk vasıtasıyla harici depolama cihazları ile ya da şirketin güvenlik (kullanıcı adı, şifre ) unsurlarını bilen bir kişinin bunları 3. şahıslara vermesiyle gerçekleşir. İşlevi bitmiş hard diskler gibi materyallerden ( çöpten toplama ), ya da ortam dinlemesi (kamuoyunun böcek olarak tanımladığı ve bildiği ) veya kurumun bilişim sistemine dışarıdan saldırı yöntemleri ile de gerçekleşebilir.

Kurumların bilgisayarlarından genelde; finansal veriler, arge çalışmaları, gizli formüller, müşteri verileri gibi bilgiler çalınmaktadır. Bu bilgilerin çalınması; öncelikle maddi bir zarara uğratarak; şirketin ticari itibarını zedeler, şirket içinde diğer çalışanların motivasyonunu düşürerek dolaylı yoldan da maddi zarar verir. Aynı zamanda çalışanlar arasında güven eksikliğine yol açabilir.

Önüne nasıl geçilir?

Öncelikle şirket içinde çalışanların iş sözleşmesi buna göre yapılmalıdır. Şirket içi bilgi güvenliği stratejileri geliştirilmeli, sızma testleri ile iç ve dış denetim yapıları oluşturulmalıdır.  Çalışanlara kesinlikle bilgi güvenliği ve sosyal mühendislik gibi eğitimler aldırılmalıdır. Sistemin altyapısında yer alan donanımsal ve yazılımsal yapılandırmalara özen gösterilmeli, kritik bilgiler gerektiğinde dış dünyaya kapalı ortamda saklanmalı, sistemin yedekleri düzenli olarak birkaç ayrı yere alınmalı, log kaydı mutlaka anlaşılır bir biçimde tutulmalıdır.

Bu tür bir olayla karşılaşan şirketlerin mutlaka uzman bir ekipten teknik yardım alması gerekir. Suçta kullanıldığı değerlendirilen şirket sistemine müdahale edilmemeli, bu sayede log kaydı gibi önemli deliller muhafaza edilmelidir.

 

En büyük zaaf, şimdiye kadar bir şey olmadı, bundan sonra da olmaz demektir. Unutmayın ki en güvenli sistem kapalı sistemdir. Bu nedenle hiçbir zaman %100 güvenlik olmadığını bilmeden sürekli kendini güncellemek en iyi savunma mekanizmasıdır.

Sıradaki içerik:

Kurumlarda bilgi hırsızlığı