Veri İhlallerinde İnsan Kaynaklı Hataları Önlemenin Yolları

Veri ihlali, enformasyon yığınları üzerinden şekillenen dijital iş dünyasının en önemli sorunlarından biri. İnsan kaynaklı hatalar (human error) ise veri güvenliği ihlallerinin yaşanmasının başlıca nedenleri arasında yer alıyor.

Şirketinizde çalışan profesyonellerin dijital ortamda yaptıkları ya da yapmadıkları hareketlerden kaynaklanan insan kaynaklı veri ihlalleri, iş sürekliliğinin aksamasına ve şirketinizin mali kayıplar yaşamasına neden olabiliyor.

İnsan kaynaklı hatalar nedeniyle ortaya çıkabilecek veri ihlallerinin önüne geçmek ve muhtemel zararları en aza indirmek için önce hatanın kaynağına ve nedenlerine inmeniz gerekiyor.

Veri İhlali ve İnsan Kaynaklı Hatalar

Siber güvenlik alanında insan kaynaklı hatalar, şirket çalışanları ya da kullanıcılar tarafından yapılan ve hem güvenlik ihlali ortaya çıkmasına hem de söz konusu ihlalin yayılmasına neden olan kasıtsız yanlış eylemler ve eylem eksiklikleri anlamına geliyor.

Amerika Birleşik Devletleri’nde Stanford Üniversitesi ve siber güvenlik firması Tessian’daki araştırmacılar tarafından yapılan çalışmaya göre 2021’deki veri ihlallerinin yaklaşık %88’i insan kaynaklı hatalardan oluşuyor. Araştırmanın ortaya koyduğu sonuç gösteriyor ki otomasyon sistemlerinin oldukça geliştiği 21. yüzyılın üçüncü on yıllık döneminde bile kullanıcıların çevrim içi hatalı faaliyetleri majör siber güvenlik sorun ve sızıntılarının ardındaki itici güç olmaya devam ediyor.

İnsan Kaynaklı Hataların Kaynağı: Yetenek ve Karar Mekanizması

Her şeyden önce insan kaynaklı oluşabilecek hataların herhangi bir sınırı olduğunu unutmamalısınız. Araştırmaların gösterdiği sonuçlar baz alınarak oluşturulan veri güvenliği literatürüne bakıldığında hataların kaynağında iki ayrı grup göze çarpıyor. Yetenek tabanlı hatalar ve karar mekanizması tabanlı hatalar, insanların neden olduğu veri ihlali türlerinin kaynağını meydana getirirken iki grup arasındaki fark ise kullanıcının doğru eylemi yapabilmek için gerekli donanıma sahip olup olmaması şeklinde tanımlanıyor.

• Yetenek Tabanlı Hatalar
  Yeteneğe dayalı insan hatası kaymalardan ve atlamalardan oluşuyor. Şirket çalışanınızın aşina olduğu bir görev ya da etkinlik sırasında yaptığı küçük yanlışları işaret eden yetenek tabanlı hatalarda genelde gecikme ve ihmal, sorunun kaynağında yatan nedenler oluyor. Söz konusu senaryoda çalışanınızın doğru hareket tarzını bildiği hâlde bunu eyleme dönüştürememesi ise yorgunluk, dikkat eksikliği, yoğunluk ve motivasyon kaybı gibi nedenlere bağlanıyor.

• Karara Dayalı Hatalar
  Şirket çalışanınızın hatalı karar vermesini içeren ilgili türde birçok farklı neden ön plana çıkıyor. Kullanıcının kararı alacak bilgi birikimine sahip olmaması, karşılaştığı özel duruma yönelik donanımının yetersiz olması ya da sorumluluk almaktan kaçınarak eylemsizliği tercih etmesi karara dayalı hatalara zemin hazırlıyor.

Çalışanlarınızın siber güvenlik farkındalığını artıracak otomasyonlardan yararlanarak ve onları güvenli eylemlere yönlendirerek insan kaynaklı hataları azaltabilirsiniz.

İnsan Hatasının Psikolojisi

“Psychology of Human Error” isimli çalışma, soruşturma ve yargı süreci ile karşı karşıya kalınması durumunda şirket çalışanlarının önemli bölümünün hata yaptıklarını reddetme eğiliminde olduklarını ortaya koyuyor. Yine aynı çalışmaya göre çalışanların %50’si şirket verilerinin güvenliğini tehlikeye atabilecek bir hata yaptıklarından son derece emin olduklarını belirtiyor.

Öte yandan çalışanların yaş dağılımı da insan kaynaklı hataların yönetimi açısından bir hayli mühim. Söz konusu çalışmaya göre genç çalışanlar hata yaptıklarını kabul etmeye beş kat daha fazla meyilli. 18-30 yaş arası çalışanların %50’si hata yaptığını kabul ederken 51 yaş üstü çalışanların sadece %10’u hata yaptığını kabul ediyor.

Aynı çalışmanın ortaya koyduğu üzere, şirket çalışanlarının %25’i bir phishing e-postasına tıklıyor. Erkek çalışanların %34’ü kimlik avı saldırısı için düzenlenen e-postaları açarken kadın çalışanlarda ise bu oran %17. Phishing e-postalarına tıklama konusunda da yaş önemli bir faktör olarak dikkat çekiyor. Araştırmaya katılan örneklemdeki 51 yaş üstü çalışanların %8’i phishing e-postalarını açarken 31-40 yaş aralığındaki çalışanların %32’si ilgili e-postaları açıyor.

Söz konusu sonuçları göz önüne aldığınızda şirketinize ait verileri başarılı şekilde koruyacak bir siber güvenlik çözümüne başvurmanız oldukça önemli hâle geliyor. Privileged Access Management (PAM), Türkçe karşılığıyla Ayrıcalıklı Erişim Yönetimi, insan kaynaklı hatalara çözüm getirmeniz için uygulayabileceğiniz başlıca yöntemler arasında bulunuyor.

PAM ile İnsan Kaynaklı Hataları Önlemek

Siber suçlular, şirketinize ait verileri ele geçirmek için öncelikle verileriniz ile bağlantıya sahip yetkilendirilmiş hesapları ele geçirmeye çalışıyor. PAM tam da bu noktada devreye girerek ağ üzerinde verilerinize ulaşma yetkisine sahip ayrıcalıklı kullanıcıların bilgilerini izole ederek, çok katmalı güvenlik uygulamalarıyla üst düzey koruma sağlıyor.

Böylece ilgili kullanıcı hesapları, daima kontrol altında oluyor. Bu da yetki sahibi kullanıcıların yapabileceği insan kaynaklı hataların önüne geçilmesini ve çalışanların sıkı bir denetime tabi tutulmasını kolaylaştırıyor. PAM’in temel bileşenleri arasında yer alan dört özellik ise insan kaynaklı hatalar nedeniyle veri güvenliği ihlali yaşanmasını önlüyor.

• Ayrıcalıklı Görev Otomasyonu (Privileged Task Automation)
  PTA, kullanıcıların yapacağı rutin görevleri otomatik hâle getirerek servis kesintilerini, gecikmeleri ve güvenlik ihlallerini ortadan kaldırıyor.

• Merkezi Parola Yönetimi (Dynamic Password Controller)
  İlgili özellik ağınızdaki tüm yetkili oturumları doğruluyor ve tamamı şifrelenmiş bir altyapı ortaya koyuyor. Ek olarak şifre kasası fonksiyonuna da sahip olan özellik sayesinde yetkili kullanıcıların şifrelerinin paylaşılması ve siber suçluların eline geçmesi engelleniyor.

• İki Faktörlü Kimlik Doğrulama (Two-Factor Authentication - 2FA)
  2FA, standart doğrulama sistemlerinden farklı şekilde, ayrıcalıklı erişim talebi için zaman ve konum doğrulaması da talep ediyor. Böylece erişim talep eden kullanıcıların kimliği güvenli biçimde doğrulanıyor, kötü niyetli girişimler reddediliyor.

• Dinamik Veri Maskeleme (Dynamic Data Masking)
  Bu özellik ayrıcalık sahibi yetkili hesapların ve ağ yöneticilerinin sistemde yaptığı tüm işlemleri kaydedip maskeliyor. Bu sayede ağ üzerindeki hareketlerle ilgili herhangi bir soru işareti oluşmuyor.

Tüm bunlara ek olarak insan kaynaklı hataları önlemenin yolları arasında Ayrıcalıklı Erişim Yönetimi uygulamalarıyla ilişkili olan Sıfır Güven (Zero-Trust) ve En Az Ayrıcalık İlkesi (Least Privilege) yöntemlerinden bahsetmek de mümkün. Sıfır Güven (Zero-Trust) prensibi “Asla güvenme, her zaman doğrula” ilkesini esas alıyor. Buna göre şirketler ağ içi ve dışı hiçbir dijital kimliğe güvenmeyerek erişim izni talep eden herkesi kapsamlı güvenlik taramasından geçiriyor. Zero-Trust ilkesi, PAM’in ayrıcalıklı erişim iznini denetleyen yapısıyla entegre şekilde kullanıldığında ortaya harika sonuçlar çıkıyor.

En Az Ayrıcalık İlkesi (PoLP) ise veriye ulaşmak için farklı seviyede profiller oluşturma prensibine dayanıyor. Farklı kullanıcıların farklı düzeyde erişim hakkına sahip olduğu yöntemde veriyi koruma amacından hareketle tüm ağ erişimleri için özel izin talep ediliyor. PoLP ve PAM’in birlikte kullanımı çok yönlü bir siber güvenlik çözümüne sahip olmanızı kolaylaştırıyor.

Ayrıcalıklı Erişim Yönetimi (PAM) ürünümüz Single Connect, yukarıdaki dört modülün yanı sıra Yetkili Oturum Yöneticisi (Privileged Session Manager) ve TACACS+ / RADIUS Erişim Yönetimi (Unified Access Manager) modüllerini de bünyesinde barındırıyor.

İnsan kaynaklı veri ihlallerini engellemek için uçtan uca güvenlik sağlayan kapsamlı PAM ürünümüz Single Connect ile şirket verilerinizi güvence altına alabilir ve sadece belirli kullanıcılara ayrıcalıklı erişim imkânı sunabilirsiniz.

Siz de Single Connect ürünümüz hakkında merak ettiklerinizi öğrenmek ve gelişmiş bir siber güvenlik çözümüne sahip olmak için bizimle iletişime geçebilirsiniz. Ayrıca Kron Blog’u takip ederek veri güvenliği konusundaki güncel ve detaylı içeriklere ulaşabilirsiniz.