Korsanlar bankaların içine sızdı
Firmalara dışarıdan gerçekleştirilen saldırılarla verilerin çalınması gibi içeriden de sızıntı hızlıca artıyor. En çok kişisel bilginin bulunduğu bankaların personelleri tarafından yüzlerce hesabın bilgisi üçüncü şahıslarla paylaşılıyor.
Kişisel veriler yalnızca Yemeksepeti örneğinde olduğu gibi dışarıdan saldırılarla alınmıyor. Bir de içerideki sızıntılar var ki o daha kötü bir boyutta çünkü yakalanması oldukça zor. En çok verinin olduğu kurumlar olan bankaların kendi çalışanları tarafından dışarıya sızdırılan bilginin sayısında ciddi yükselişler var. Kimlik, müşteri işlem, iletişim bilgileri ve finans verileri gibi kritik bilgiler üçüncü şahıslara aktarılıyor. Üstelik bir anda yüzlerce kişinin bilgisi satılabiliyor.
5 BİN79 MÜŞTERİNİN BİLGİSİ SIZDIRILDI
Son olarak Garanti BBVA'da bir şube çalışanının, yüzde 85'i şube müşterisi olmayan ve yüzde 90'ı farklı müşteri segmentlerinden 3 bin 277 farklı kişiye ait KKB (Kredi Kayıt Bürosu) kaydını görüntülediği, bir diğer şubedeki çalışanın ise yüzde 70'i farklı şehirde ikamet eden müşterilerden 5 bin 79 kişiye ait bilgiyi sızdırdığı ortaya çıktı.
Ancak Garanti BBVA dışında birçok bankada benzer ihlaller yapılıyor. Nisanda bir Yapı Kredi Bankası çalışanın, kendisine görevi nedeniyle tanımlanan Bankalar Birliği Risk Merkezi kayıtları yetkisini görevi dışında kullanarak, sorgulamalar yaptığı ve bilgileri üçüncü kişilere aktardığı tespit edildi.
PEK ÇOK KURUMUN VERİSİ SIZDIRILDI
İhlalden 2 bin 484 kişinin etkilendiği, TC kimlik numarası, ad, soyad, iletişim bilgileri, kredi risk ve teminat durumu, ödeme performans bilgileri, karşılıksız çek ve protestolu senet bilgilerinin sızdırıldığı tespit edildi. Mart 2021'de ise Fibabanka'da benzer bir şekilde personelin 13 bin 500 kişiye ait kimlik ve finans verilerinin dışarıya e-mail, telefon gibi yollarla aktardığı tespit edildi.
Bu üç örnek sadece bankacılık alanında 2021'de tespit edilenler. Sigortacılıktan, teknolojiye kadar birçok sektörde benzer örnekler var. Cezası da tartışılır bir düzeyde. Firmaların önlem alma ihtiyacı duymasını gerektirecek boyutta değil. Cezalar sadece 100 bin ile 250 bin TL düzeyinde.
Uzmanlar veri ihlallerine karşı önlemleri çalışanlarının kişisel verilerinin toplanmasını, işlenmesini ve paylaşılmasını gerektiren girişimlerine yönelik bir gizlilik yaklaşımı geliştirmede buluyor. Ayrıca verilerin kim tarafından kullanıldığını ve taşındığını izlemeyi mümkün kılan profesyonel veri kaybı önleme yazılımı (DLP) çözümleri de öneriliyor. DLP, şirketlerin hassas verilerinin, şirket içinde nasıl yer değiştirdiğini gözleyen ve kontrollü bir şekilde dışarı sızmalarını engelleyen bir teknoloji. Bu tür çözümler son dönemde KVKK ile birlikte zorunlu hale de geldi.
Kaspersky Türkiye Pazarlama Müdürü Ünsal Yurdakonar, veri sızıntılarının, çalışanların sorumluluk almaması ve kötü yönetim kararları nedeniyle meydana geldiğini belirtti. Yurdakonar, "Kontrol edilemez olduğu için insan faktörü kilit bir rol oynar. En ciddi olayların ikinci nedeni, bilgi güvenliği ve BT personelinin eylemlerini veya eylemsizliklerini de kapsayan etkisiz iş süreci yönetimine odaklanmadır. Yurdakonar, şirkette açık bilgi güvenliği kuralları oluşturulması gerektiğini ve bunları çalışırken izlemek için önlemler alınmasının da zorunlu olduğunu ekledi.
HİBRİT ÇALIŞMA SİSTEMİNE GEÇİLDİ
Son dönemde birçok kurum Kovid-19 nedeniyle hibrit çalışma sistemine geçti. Ofisten uzak çalışanların uzak bağlantı ile çalışmalarına devam ederken çok fazla güvenlik zafiyeti yaşandığını gözlemliyoruz. İş için kendi cihazını kullanma oranı da çok arttı ve bu bilgisayarların çoğunda güncel işletim sistemi, güvenlik yazılımı ve/veya güvenlik duvarı kullanımı kontrol edilemiyor. Bu önlemler dışında, kullanıcıların güvenlik politikalarının belirlenmesi ve erişilebilirliği kontrol altına alması gerekiyor. Her çalışanın her veriye sorumluluğu dışındaysa erişememesi gerekiyor.
Çalışanlar yeterli siber güvenlik çözümlerine sahip olmayan cihaz ve ağlardan iş yönetimini gerçekleştirmeye başladıklarında iç tehdit ortaya çıkabiliyor. Özellikle bankalarda iç tehditlere yönelik en önemli iki adım bulunuyor. Birincisi çalışanların siber güvenlik eğitimleri ile donatılması, ikincisi de ofis ya da uzaktan çalışmada cihaz ve ağ sistemlerinin siber güvenliklerinin sağlanması. Ayrıca bankalarda yetki matrisi ve erişim log kayıtlarının da tutulması, departmanlar arası veri akışına dikkat edilmesi iç tehditlere yönelik atılması gereken önemli siber güvenlik adımlarının olduğu unutulmamalı.
Günümüzde çoğu banka kuruluşu, kurumsal ve müşterilere ait tüm bilgilerini dijital sistemlerde saklamakta ve işlemektedir. Bir bankanın müşteri hesap bilgilerinin dijital ortamlarda tutulması siber saldırganların ilgisini çekse de çalışanların aynı şifreleri farklı hesaplarda kullanması ya da hesapların birçok kişi için erişime açılması gibi ihmalkar davranışlar, siber saldırıya uğrama riskini artırıyor. Kurumların, çalışanlarına sürekli siber güvenlik bilinci eğitimi vermeleri ve eğitimlerine yönelik davranışlarını test etmeleri gerekiyor.
GÜNÜN MANŞETLERİ İÇİN TIKLAYIN
