Kamu Kuruluşlarında Siber Güvenlik

Kamu alanındaki siber saldırılar daha karmaşık hale gelirken, kamu kuruluşları özelinde karşılaşılabilecek siber güvenlik sorunları toplumsal ve finansal boyutta ciddi zararlar yaratıyor. Bugün hemen hemen tüm kamu kurum ve kuruluşlarının fiziki altyapısını dijitale taşıdığı, hatta devletlerin resmi vatandaşlık işlerinin çok büyük bölümünü e-devlet (e-government) üzerinden yürüttüğü düşünüldüğünde veri güvenliği ihlali sonucu yaşanabilecek hassas veri kayıplarının dönüşünün kolay olacağını söylemek pek mümkün değil.

Ayrıca kamu kuruluşlarına ait elektronik sistemlerde meydana gelebilecek veri ihlali olayları kamu nezdinde ciddi bir güven kaybı yaratabilir ve vatandaşların resmi işlemlerini elektronik ortamda yapma eğilimleri önemli oranda azalarak, büyük bir iş yükü oluşturabilir. Bu bağlamda bir siber saldırı neticesinde milyonlarca, hatta belki milyarlarca farklı türdeki bilgiden oluşan kritik büyük veri kayıpları yaşamamak için veri ve erişim güvenliği konusunu dikkatli bir şekilde planlamakta fayda var.

Kamu Kuruluşları Neden Siber Saldırı Tehdidi Altında?

“Siber saldırganlar neden kamu kuruluşlarını hedef alır?” sorusunun yanıtı aslında çok da karmaşık değil. Kamu kuruluşları, sahip oldukları hassas veri yığınları nedeniyle herhangi bir siber saldırı tehdidi ile kolayca karşı karşıya kalabilir. Kaldı ki, Verizon tarafından hazırlanan 2021 Data Breach Investigations Report’da bunu doğruluyor. Rapora göre 2021’deki siber güvenlik ihlallerinin %11’i kamu kuruluşlarını hedef alıyor. Ayrıca yaşanan 29.207 olaydan 3.236’sı kamu kuruluşlarında gerçekleşirken bu olaylardan 885’inde veri ihlali yaşandığı belirtiliyor.

Peki kamu kurum ve kuruluşlarını siber güvenlik tehditlerine bu denli açık hâle getiren kişisel veriler neler?

• Sosyal güvenlik numaraları
• Gizli sağlık bilgileri
• Sigorta numaraları ve kayıtları
• Banka kayıtları
• Ticari sırlar
• Fikri mülkiyet hakları
• Devlet memurları, işçiler, özel sektör çalışanları ve öğrencilere ait tanımlayıcı kişisel veriler

Öte yandan COVID-19 pandemisi sebebiyle devlet memurlarının uzun süre uzaktan çalışmasının kamu kuruluşlarındaki veri ihlali vakalarını artırdığı da bir gerçek. Zira evde ya da kamusal alanda bağlanılan Wi-Fi ağının iş yerindeki kadar güvenli olması teknik açıdan çok olası olmamakla birlikte, erişim güvenliği konusunda da bazı eksiklikler barındırabiliyor. Nitekim 2019 Tenable ve Ponemon raporunun aktardığı veriler de son iki sene içinde kamu kuruluşlarının %88’inin en az bir siber saldırıyla karşılaştığını ortaya koyuyor.

Kamudaki Güncel Veri İhlali Vakaları

Son zamanlarda kamu kuruluşlarında yaşanan veri ihlalleri, dünyanın pek çok ülkesinde gündeme geliyor. Gelin bir de kamu kuruluşlarının hedef alındığı güncel siber saldırıları şöyle bir inceleyelim.

• Temmuz 2021’de bir veri sızıntısı, Kuzey İrlanda’daki COVIDCert isimli çevrim içi aşı sertifikasyon servisini hizmet veremez duruma getirdi. Bunun sonucunda sağlık bakanlığı, servisi geçici olarak askıya aldı.
• Yakın zamanda Estonya’nın başkenti Tallinn’de büyük çaplı bir veri ihlali gerçekleşti. Bir bilgisayar korsanının devlet veri tabanından 286.438 adet kimlik fotoğrafını indirdiği belirtilirken aynı korsanın, resmi devlet organı Information System Authority tarafından yönetilen bir ağda güvenlik açığı ortaya çıkardığı ifade edildi.
• Tokyo’da düzenlenen olimpiyat oyunları da veri ihlalinden kaçamadı. Japon yetkililer organizasyonda görev alan gönüllülerin ve bilet sahiplerinin kullanıcı adlarının, şifrelerinin ve banka hesap numaralarının sızdığını açıkladı.
• Norveç temmuz ayında yaptığı açıklama ile Mart 2021’de parlamentonun e-posta sistemine yönelik siber saldırıyı Çin ile ilişkilendirdi.

Bu vakaların gösterdiği üzere kamu kuruluşlarını hedef alan siber saldırıları önlemek kamusal ve kişisel veri gizliliği açısından hayati önem taşıyor. Benzer saldırıları önlemek için de ihlalleri detaylı şekilde inceleyip, saldırıların yapısını, türlerini ve izledikleri yolu anlamak gerekiyor. Örneğin, son dönemde yaşanan saldırılara baktığımızda sosyal mühendislik saldırılarının, kamu kuruluşlarına yönelik siber saldırıların %69’undan fazlasını oluşturduğunu görüyoruz.

Öte yandan yapılan araştırmalar sosyal mühendislik, insan kaynaklı hatalar ve sisteme izinsiz girişler sonucu meydana gelen ihlallerin, kamu kuruluşlarındaki ihlallerin %92’sine tekabül ettiğini gösteriyor. Araştırma sonuçlarında gözümüze çarpan başka bir detay ise veri ihlallerinin %83 dış, %17 iç tehditlerden kaynaklandığının bilgisi oluyor.

Dünya genelinde oluşan vakalar ve ortaya çıkan sonuçların açıkça gösterdiği üzere fidye yazılımı saldırıları (ransomware) ve oltalama (phishing) girişimleri de, kamu kuruluşlarını hedef alan siber saldırganların favori yöntemleri arasında yer alıyor.

Tüm bu saldırı türleri, Yetkili hesap erişim güvenliğinin sağlanması ve ayrıcalıkların farklı güvenlik prensipleriyle yönetilmesinin kamu kuruluşlarının sahip olduğu hassas veri yığınlarının güvenliği açısından büyük önem taşıdığını gösteriyor.

Ayrıcalıklı Erişim Yönetimi (PAM) Kamu Kuruluşlarını Nasıl Koruyor?

Kamu kuruluşlarının maruz kaldığı siber saldırılar, veri güvenliği ve erişim güvenliğini sağlamayı ilke edinen Ayrıcalıklı Erişim Yönetimi (PAM) çözümleriyle en aza indirilebilir. Örneğin, Estonya’da kimlik fotoğraflarının sızdırılması ve Japonya 2020 Olimpiyatları’nda kişisel verilen çalınmasına neden olan siber saldırıların Privileged Access Management (PAM) aracılığıyla önlenebilecek vakalar olduğunu ifade etmek mümkün.

Estonya ve Japonya’da siber saldırın hedefi olan kamu kuruluşları, kamuya ait hassas verileri ve bu verilere ulaşan süreçlerin tümünü kapsayan, uçtan uca bir PAM çözümüne sahip olsaydı zarar minimuma indirilebilirdi. Estonya örneğinden yola çıkılarak konu daha açıklayıcı hâle getirilebilir.

Estonya, son yıllarda karşımıza gelişmiş kriptografik kimlik kartı sistemi ile çıkıyor. Bu da aslında hızla dijitalleşirken bir yandan veri güvenliğine bir hayli önem verdiklerini anlatıyor, ancak yaşanan olaylara baktığımızda erişim yönetimi tasarımında bazı açıklar ve eksiklikler var gibi görünüyor.

Güvenlik açığı barındıran noktalar şu ana kadar paylaşılmamış olsa da, detaylıca planlanmış bir veri ve erişim güvenliği altyapısına ihtiyaç duydukları gözlemleniyor. Bu ve benzeri durumlarda yaşanan ihlalleri en aza indirmek için geliştirilen Ayrıcalıklı Erişim Yönetimi çözümleriyle karmaşık siber saldırılara karşı hazırlıklı olmak mümkün. Örnek vermek gerekirse, yetkili hesap ve oturumları sıkı bir şekilde denetleyen Yetkili Oturum Yöneticisi (Privileged Session Manager) çözümleriyle ağ üzerindeki tüm oturumları doğrulayarak erişim izinleri konusunda yaşanabilecek karışıklıkların önüne geçilebilir.

Veya Merkezi Parola Yönetimi (Dynamic Password Controller) vasıtasıyla ayrıcalıklı hesapların gerçekleştireceği oturum ve erişimlere ait şifreler korunabilir, şifre paylaşımlarının önüne geçerek yetkisiz kişilerin erişimi sınırlandırılabilir. Şifre kasası (password vault) özelliğini bünyesinde barındıran çözümlerde, ayrıcalıklı erişim yetkisine sahip hesapların şifrelerini ağdan izole biçimde saklamak da önemli bir güvenlik yöntemi olarak karşımıza çıkıyor. İki Faktörlü Kimlik Doğrulama (Two-Factor Authentication - 2FA) çözümü ise güçlü, karmaşık ve değişken parolalar kullanılmasını sağlarken, yetkili hesap doğrulaması için zaman ve konum bilgisi talep edebiliyor. Böylece sıradan 2FA uygulamalarına göre daha kapsamlı bir güvenlik sunabiliyor.

Ayrıcalıklı Erişim Yönetimi’in (PAM) kamu kuruluşlarının siber güvenliğini sağlayacak diğer çözümleri ise şu şekilde sıralanabilir:

• Dinamik Veri Maskeleme (Dynamic Data Masking)
• Veritabanı Erişim Yönetimi (Database Access Management)
• Ayrıcalıklı Görev Otomasyonu (Privileged Task Automation)

Siz de kurumuzun veri ve erişim güvenliğini ileri düzeyde sağlamak istiyorsanız, 2021 Gartner Magic Quadrant for Privileged Access Management raporunda üst üste iki yıldır yer alarak dünyanın en iyi 10 PAM ürününden biri olduğunu bir kez daha gösteren Single Connect ile tanışmak ve Ayrıcalıklı Erişim Yönetimi konusunda detaylı bilgi almak için bizimle iletişime geçebilirsiniz.