İçeriden Tehditler: Veri Analisti Tarafından Gerçekleştirilen Şantaj Vakası Analizi
Bu teknik bilgi bankası makalesi, bir veri analistinin görev süresi boyunca şirketin hassas verilerini çalması ve ardından bu verileri kullanarak 2.5 milyon dolarlık şantaj yapmaya çalışmasıyla sonuçlanan gerçek bir güvenlik olayını incelemektedir. Bu tür 'içeriden tehdit' (insider threat) senaryoları, özellikle hassas verilere erişimi olan pozisyonlardaki çalışanlar için ciddi riskler oluşturur. Amacımız, bu tür olayların teknik olarak nasıl tespit edilebileceğini ve gelecekte nasıl önlenebileceğini açıklamaktır.
1. Olayın Teknik Özeti ve Risk Analizi
Olayda, Kuzey Carolina'lı bir yüklenici veri analisti, görevdeyken Washington D.C. merkezli bir teknoloji şirketinin verilerini kopyalamıştır. Şantaj girişimi, analistin işten ayrılmasından sonra gerçekleşmiş olsa da, veri sızıntısı aktif istihdam döneminde başlamıştır. Bu durum, geleneksel ayrılış sonrası kontrollerin yetersiz kaldığını göstermektedir.
UYARI: Yükleniciler (kontratörler) ve geçici personel, tam zamanlı çalışanlara göre daha az sıkı denetimden geçebilir. Erişim yetkilerini revize ederken ekstra dikkatli olunmalıdır.
2. İçeriden Tehdit Tespiti ve İzleme Adımları (Detection & Monitoring)
Bu tür bir sızıntıyı tespit etmek, anormal veri erişim modellerini izlemeyi gerektirir. Aşağıdaki adımlar, SIEM (Güvenlik Bilgileri ve Olay Yönetimi) sistemleri veya DLP (Veri Kaybı Önleme) araçları kullanılarak uygulanabilir:
- Anormal Veri Çekme Miktarlarını İzleme: Analistin normal çalışma saatleri dışındaki veya normal iş yükünün çok üzerindeki veri indirme/kopyalama işlemlerini belirleyin.
- Hassas Veri Etiketleme ve Takip: Şirketin en değerli varlıklarını (müşteri listeleri, kaynak kodlar, finansal tablolar) etiketleyin ve bu etiketli verilere erişimi her zaman kayda geçirin.
- Çıkarım Yollarını İzleme: Verilerin, normalde kullanılmayan harici depolama birimlerine (USB sürücüler, kişisel bulut depolama) aktarılma girişimlerini izleyin.
- Kullanıcı Davranış Analizi (UBA): Kullanıcının normal profilinden sapmaları tespit edin. Örneğin, bir analistin aniden büyük bir veritabanının tamamını sorgulaması.
3. Teknik Önleme ve Azaltma Stratejileri (Mitigation Strategies)
Veri hırsızlığını önlemek için erişim kontrolü ve veri koruma mekanizmalarının sıkılaştırılması esastır:
3.1. En Az Ayrıcalık Prensibi (Principle of Least Privilege - PoLP)
Çalışanlara yalnızca görevlerini yerine getirmek için kesinlikle gerekli olan verilere erişim yetkisi verilmelidir. Bu, özellikle yükleniciler için kritik öneme sahiptir.
# Örnek Erişim Kontrol Listesi (ACL) Uygulaması
# Veritabanı Erişim Politikası Güncellemesi
GRANT SELECT ON sensitive_db.financial_records TO analyst_role WHERE user_id IN ('dev_team_members');
REVOKE SELECT ON sensitive_db.financial_records FROM contractor_role;
3.2. Veri Kaybı Önleme (DLP) Konfigürasyonu
DLP çözümleri, hassas verilerin ağdan çıkışını engellemek için yapılandırılmalıdır. Aşağıdaki anahtar kelimelerin veya veri desenlerinin (örneğin, belirli bir müşteri kimlik formatı) harici kanallara gönderilmesi engellenmelidir:
# DLP Kural Örneği (Pseudocode)
IF (Data_Classification == 'Confidential' AND Destination_Type == 'External_Email' OR USB_Drive) THEN
ACTION = BLOCK_AND_ALERT
END IF
3.3. Erişim İptali ve Veri Devri Prosedürleri
Çalışan ayrıldığında veya sözleşmesi sona erdiğinde, tüm dijital erişimlerin (VPN, şirket e-postası, SaaS uygulamaları) derhal iptal edilmesi gerekir. Ayrıca, ayrılan personelin son birkaç ayda eriştiği tüm veri setlerinin bir denetimi yapılmalıdır.
İPUCU: Yüksek riskli pozisyonlardaki personel için, işten ayrılma sürecinde tüm cihazlarının (laptop, telefon) imajının alınması ve adli bilişim incelemesi yapılması önerilir.
