Şirketler ve devlet kurumları için en büyük tehditlerin başında veri ihlali geliyor. Veri ihlalleri büyük maddi kayıplara neden olmanın yanı sıra kurumsal imaj açısından da ciddi sorunlar yaratıyor. Bu tür durumlar şirketleri finansal açıdan büyük bir zorlukla karşı karşıya bırakırken, 2021 yılı itibariyle baktığımızda bir veri ihlalinin ortalama 4,24 milyon dolar maliyete neden olduğunu görüyoruz. Bu miktar 2020 raporlarında ise 3,86 milyon dolar olarak karşımıza çıkıyordu.
Bu nedenle veri ihlali tespiti, bir şirket ve kurumun gelişmiş bir siber güvenlik ağı inşa edebilmesinin temel adımlarından biri olarak ön plana çıkıyor. Kapsamlı bir siber güvenlik yaklaşımına sahip olmayıp, veri ihlali yaşayan organizasyonlara bakıldığında müşteri kaybı, hizmet kesintileri ve itibar kaybı nedeniyle yeni müşteri ediniminin maliyetinin artması gibi durumlar toplam ihlal vakalarının %38’ini oluşturuyor. Bu oran 2021 itibariyle 1,59 milyon dolara tekabül ederken, aslında yitirilenin yalnızca güvenilirlik ve itibar olmadığını gösteriyor.
Bu verilerden yola çıkarak günümüzün en önemli siber güvenlik başlıklarından biri olan veri ihlali tespiti için yapılması gerekenleri ve araştırma sürecinin aşamalarını bu yazımızda derledik.
En yalın hâliyle veri ihlali şirkete ya da kuruma ait hassas, gizli ve kritik verilerin yetkisiz kişilere sızdırılması ya da siber saldırganlar tarafından ele geçirilmesi anlamına geliyor. Bir siber saldırgan veri güvenliği protokollerinizi ihlal ederek hassas verilerinize erişim sağladığında kurumsal imajınız zedelenebilir, iş modelinizin sürekliliği ciddi şekilde sekteye uğrayabilir ve ciddi mali kayıplar yaşayabilirsiniz.
Tüm bu olumsuz sonuçları hafifletmek için kritik veri ihlallerini detaylı şekilde araştırmalısınız. Bir siber saldırı ya da iç tehdit eylemi sonucu meydana gelen ihlalleri araştırmak; erişim güvenliği protokolünüzün nasıl etkisiz kılındığını anlamak, ortaya çıkan hasarı değerlendirmek ve siber tehdit olabilecek unsurlara karşı yeni eylem planları geliştirmek açısından son derece değerli. Veri ihlali oluşmadan önce alınacak önlemlerin değerini güncel bir istatistik ile açıklamak gerekirse; veri ihlalini belirlemek ve kontrol altına almak için geçen ortalama süre 287 günü buluyor ve şirketler 200 günden fazla süren veri ihlallerinde ortalama 4,87 milyon dolara zarara uğruyor.
Öte yandan bir siber saldırı neticesinde karşılaştığınız veri ihlali vakasının yarattığı hasarı minimize etmek için kısa sürede harekete geçmelisiniz. Araştırma sürecini başlatmayı ertelemek her bir saniyenin çok kritik olduğu bir ortamda iş modelinize zarar verecektir.
Öte yandan veri ihlali durumlarında KVKK’nın rehberlerinden yararlanabilir, mevzuat gereği veri ihlali bildirimi yapabilirsiniz. Fakat yine de dünyadaki farklı alternatifleri incelemek ve bilgi edinmek isterseniz SANS Enstitüsü, NIST gibi kuruluşların yayımladığı siber olay müdahale kılavuzlarına göz atabilir, Microsoft Olay Müdahale Kılavuzu gibi kaynaklardan yararlanabilirsiniz.
Gelin şimdide bu kılavuzlardan yola çıkarak oluşturulan ve veri ihlali tespitinde uluslararası standartlar olarak kabul edilen yedi temel adımı inceleyelim.
Bir veri ihlalinin ardında yatan nedenler değişebilir. Fakat veri güvenliği ihlalleri araştırması yaparken izlemeniz gereken yedi farklı aşama mevcut.
1. Veri İhlalini Tespit Edin
Veri ihlali araştırmasının ilk basamağında ihlal tespiti yer alıyor. Bir veri ihlali meydana gelip gelmediğini saptamak anlamına gelen tespit aşamasında NIST’in işaret ettiği iki bileşen söz konusu. Öncüler ve göstergeler olarak ifade edilen iki bileşen iki farklı veri ihlali türüne işaret ediyor.
Kuruluşunuzun ağındaki erişim güvenliği açıklarının arandığını gösteren web sunucusu günlükleri, ağın genelini etkileyen bir güvenlik açığının keşfedilmesi ve bir siber saldırgan grubunun saldırı duyurusu öncülerin kapsamına giriyor. Şirketler ve kurumlar öncülerle nadiren karşılaşıyor ve bu öncüler ilgili kuruluşların önlem almasını kolaylaştırıyor.
Gösterge ise bir ihlalin meydana geldiğini veya şu an gerçekleştiğini ortaya koyuyor. Göstergenin yaygın örnekleri arasında şüpheli içeriğe sahip geri dönen e-postalar, tanıdık olmayan bir ağdan gelen oturum açma girişimleri ve veri tabanı sunucusuna karşı arabellek taşması girişimleri bulunuyor.
2. Acil Olay Müdahale Önlemleri Alın
Veri ihlalini tespit ettiğiniz anda almanız gereken birkaç farklı önlem var. Öncelikle ihlali tespit ettiğiniz tarih ve saati kaydetmelisiniz. İkinci adımda ihlali tespit eden kişi, şirket içindeki sorumlulara hızlı şekilde rapor vermeli. Daha sonra sızan kritik verilerin yayılmasını engellemek için bu verilere erişim sınırlaması getirilmeli.
Ayrıca sızıntıyla ilgili muhtemel tüm verileri toplamak, ihlali keşfeden kişilerle görüşmek ve risk değerlendirmesi yapmak da acil olay müdahale önlemlerinin kapsamına giriyor.
3. Kanıt Toplayın
Veri ihlali ile ilgili kanıt toplamanız oldukça önemli. Hızlı hareket ederek veri ihlali hakkında mümkün mertebe çok veri toplamaya çalışmalısınız. Veri toplamak için kritik veri ihlalini tespit eden kişilerle görüşebilir, siber güvenlik araçlarınızı kontrol edebilir ve hem sunucularınızdaki hem de ağ cihazlarınızdaki veri hareketlerini inceleyebilirsiniz.
4. Veri İhlalini Analiz Edin
İhlal hakkında veri topladıktan sonra ihlali analiz etmelisiniz. Şüpheli trafik, ayrıcalıklı erişim, tehlike süresi, ihlale dahil olan yazılımlar ve insanlar, ihlal türü (iç ve dış tehditler) analiz aşamasının temel unsurları olarak dikkat çekiyor.
5. Sınırlama, Yok Etme ve Kurtarma Önlemleri Alın
Sınırlama sadece güvenliği ihlal edilen sunucuları değil, ihlalin araştırılmasını sağlayacak kanıtların yok edilmesini önlemek ile ilgili. Yok etme ise ihlale neden olan tüm unsurları ortadan kaldırmak anlamı taşıyor. Kurtarma ise güvenliği ihlal edilen sunucuların tamamen eski hâline döndürülmesini içeriyor.
6. Paydaşlara Bilgi Verin
Yasal bir zorunluluk olup olmadığı fark etmeksizin, ihlalden etkilenen tüm paydaşlara haber vermeli ve ayrıca güvenlik güçlerini de bilgilendirmelisiniz. Bu paydaşlar arasında çalışanlar, müşteriler, yatırımcılar, iş ortakları ve düzenleyiciler yer alabilir. Türkiye sınırları içerisinde veri ihlalleriyle karşılaşmanız durumunda ise KVKK gereği en geç 72 saat içerisinde Kişisel Verileri Koruma Kuruluna veri ihlali bildiriminde bulunulması gerektiğini hatırlatmadan geçmeyelim.
7. İhlal Sonrası Faaliyetlere Odaklanın
Veri ihlaline yönelik önlemleri aldıktan sonra ihlali ve sonuçları detaylı şekilde analiz etmeli ve gelecekte yaşanabilecek benzer bir sorunu engellemek için çeşitli içgörüler oluşturmalısınız. Bu içgörüleri oluşturmak amacıyla siber güvenlik ağınızı kapsamlı şekilde incelemeniz yararlı olabilir.
Veri ihlallerinin önemli bir kısmı özel yetkilere sahip, ayrıcalıklı hesapların ele geçirilmesi veya fazla yetkiyle donatılmış iç tehditler tarafından gerçekleşiyor. Bu tür hesapları denetlemenin ve veri ihlallerini önlemenin en etkili yolu ise Ayrıcalıklı Erişim Yönetimi çözümlerinden geçiyor. Privileged Access Management veya kısaltılmış haliyle PAM olarak da bilinen bu çözümler, ayrıcalıklı hesap erişim bilgileri üzerinde tam denetim sağlayarak BT altyapınızdaki tüm hareketleri kontrol altında tutmanıza imkân tanıyor. Ayrıcalıklı erişim kapsamında yer alan kullanıcı bilgilerini yönetmenizi önemli ölçüde kolaylaştıran PAM, siber saldırganların veri ihlali girişimlerini engelleme konusunda son derece başarılı. Nitekim PAM bünyesindeki modüller farklı işlevleri sayesinde hem veri ihlallerini azaltmanıza yardımcı oluyor hem de iş sürekliliği sağlayarak verimliliğinizi artırıyor.
Örneğin yetkili oturum yöneticisi modülü ağ içinde tüm oturumları sorunsuz şekilde yönetmenizi sağlayabiliyor. Merkezi bir çözüm niteliği taşıyan bu modül, ayrıcalıklı erişime sahip kullanıcıların tüm bilgilerini denetlemenizi mümkün kılıyor. Merkezi parola yönetimi modülü gibi uygulamalar ile ekstra koruma katmanı yaratan Ayrıcalıklı Erişim Yönetimi platformu kurum ağındaki kullanıcılar için güçlü şifreler oluşturmanızı sağlayabiliyor. Ayrıca şifre kasası özelliği ile tüm şifreleri ağdan izole şekilde saklayarak, şifre paylaşımının önüne geçiyor.
Omdia tarafından hazırlanan Omdia Universe: Selecting a Privileged Access Management Solution, 2021–22 raporunda yer alarak dünyanın en gelişmiş PAM çözümleri arasında yer alan Single Connect ürünümüz tüm bu PAM çözümlerini bünyesinde barındırarak, uçtan uca veri ve erişim güvenliği ortamı yaratmanıza olanak tanıyor.
Veri ihlalleri hakkındaki sorularınız, Single Connect ile ilgili merak ettikleriniz ve Ayrıcalıklı Erişim Yönetimi hakkında öğrenmek istedikleriniz için bizimle irtibata geçebilirsiniz.