Kurumsal Veri Güvenliğinde Önemli Bir Adım: Veri Kaybını Önleme Ramise Koçak1, Servet Özmen2 1 Otokar Otomotiv ve Savunma Sanayi A.Ş. Arifiye/Sakarya 2 Otokar Otomotiv ve Savunma Sanayi A.Ş. Arifiye/Sakarya rkocak@otokar.com.tr, sozmen@otokar.com.tr, Özet: Kurumsal yapıların veri güvenliği, gerek ülkemizde gerek dünyada büyük önem arz etmektedir. Veri güvenliği, kurumsal yapılarda önemli verilere yetkisiz kişiler tarafından ulaşılması sonucunda veri kaybına, güvenlik kaybına ve kurumsal yapının verilerini pasif hale getirilerek yararlı olamama durumuyla karşılaşılmaktadır. Veri kayıplarını önleme adına yapılacak olan fiziksel önlemler yerini sanal tedbirlere yani yazılımlara bırakmaktadır. Verilerin çok hızlı şekilde çoğaltılması aktarımı yapılabilmekle beraber riskli, gizli ve hayati önem taşıyan bilgiler için önlem alma kurumlar için kaçınılmaz olmuştur. Bu kapsamda kurumlara veri kaybını önleme ile ilgili ipuçları verilecektir. Anahtar Sözcükler: Veri Kaybını Önleme, Veri Güvenliği, Kurumsal, Bilgi Güvenliği, Veri Koruma, Bilgi Güvenliği A New Approach for Quality Function Deployment: An Application Abstract: The institutional structures data security is very important in our country and in the world. Data security, corporate structures to reach important data by unauthorized persons may result in data loss, security loss or passive corporate structure by making the status of not being useful confronted. Data loss prevention measures in the name of the virtual replace that the software leaves the physical measures. Any reproduction of the data transfer is very fast with made risk, confidential and vital data has become inevitable for organizations to take action. In this context, organizations will be given tips on how to prevention data loss. Keywords: Data Loss Prevention, DLP, Data Security, Institutional, Information Security, Data Protection, Information Security 1. Giriş “Veri kaybını nasıl önlemeliyiz?” sorularının cevaplarını bilmelidirler. Veri güvenliğinin önemi ve değeri son derece hızlı bir şekilde arttığı günümüzde veri kayıplarını önlemenin önemide fazlasıyla belirginleşmiştir. Kişisel kullanımlardan başlayarak ticari olarak oluşan veriler ve veri merkezlerine kadar artık herbir veri dijital ortamda yerini almıştır. Kurumsal yapıların çalışmalarının gizlilik değerleri arttıkça güvenlik önlemleri de artmışıtr. Kullanıcılara verilen farkındalık eğitimleri her ne kadar gerekli olsada veri güvenliğine daha geniş açıdan bakmamız gerekmektedir. Bunların en başında gelen veri kaybını önleme sistemleri (DLP) sunucu sistemlerinde, istemcilerde, taşınabilir bilgisayarlarda, akıllı telefonlarda çalıştırılabilir. Tüm DLP sistemi dağıtık ortamlarda olmasına rağmen merkezi olarak yönetilebilir ve raporlanabilir. DLP filtrelenmiş dosyalar, klasörler, bilgi bankaları, sıkıştırılmış dosyalar, gibi değişik biçimlerde bulunan kaynakları koruyabilmektedir. Bu sayede verinin gittiği yol haritasını yöneticelere göstermekte ve haber vermektedir. 2. Kurumsal Veri Güvenliği 2.1 Kurumsal Yapı Kurumsal yapılarda oluşturulan verilerin güvenlik derecelendirilmesi ISO 27001 Bilgi Güvenliği Yönetim Sistemine dayanarak yapılmakta ve sertifikalandırılmaktadır. Kurumların veri akışında kesinti olmaması ve bilgi akışının kötüye kullanımının engellenmesi konusunda Disk Şifreleme, Link Şifreleme, Son Kullanıcı Güvenliği, Veri Kayıbını Önleme (DLP) çözümleri bulunmaktadır. Bunların en başında veri kaybını önleme sistemleri gelmektedir. Kurumsal yapıların ilk olarak “Hangi verilerin kayıplarını önlemek istiyoruz” ve Şekil 1. Verilerin çıkış yolları Bu soruların cevaplarını bildiklerinde kurumların veri güvenliği konusunda nasıl bir yol haritası çizeceği belli olmuş demektir. 2.2 Veri Güvenliği Kurumsal ağlarda kullanılan, saklanan, hareket eden verinin tanımlanması, izlenmesi ve korunması veri güvenliğinin temelidir. Şekil-1’de de görüldüğü gibi veri bir çok kanaldan dışarıya çıkmakta ve güvenliği kontrolsuz olabilmektedir. Veri güvenliğinin sağlanması, veri işleyen kullanıcılara da birçok açıdan yükümlülük getirmiştir. Bu yükümlüklerin en başta geleni kuşkusuz kişisel verilerin yetkisiz kişilerin eline geçmesinin önüne geçilmesi ve bu yönde tebdirlerin alınmasıdır. Buna ilişkin tedbirlerin niteliği kişisel verinin niteliği ve işlenme amaçları ile doğrudan bağlantılıdır. Veri güvenliği; Kişisel verilerin gizliliği ve önemi, Stratejik bilgi gereksinimleri, Hukuku yükümlülükler ve sorumluluklar, İş ve proje gizliliği, Veri gizliliği, Uluslararası bilgi güvenliği standart ve akreditasyonlarına uyum, çerçevesinde alınması gereken tedbirlerin amacını belirlemektedir.[1] E-mail ve Web bilgisayar dünyasındaki suçlular için en değerli manevra alanlarıdır. Siber saldırganlar her geçen gün yeni yöntemlerle, organizasyonların ağ trafiklerini deşifre etmeye çalışmakta ve gizlilik derecesi haiz bilgilerini elde etmeye çalışmaktadırlar. Çoğu zaman siber suçlular tarafından ağ ve email trafiğinin ele geçirilmesi günlerce hatta haftalarca anlaşılamamaktadır [2]. Öte yandan, kurum kullanıcılarının her gün onlarca e-mail göndermesi, e-mail aracılığıyla bilgi paylaşımında bulunması gün geçtikçe yaygınlaşmakta ve hatta kaçınılmaz hale gelmektedir. Bu yoğun e-mail trafiğinin yanında FTP sistemlerini kullanan, USB sürücüleri içinde organizasyona ait bilgi taşıyan, evde e-mail kutularına bakan kullanıcılarının da gerçekleştirdiği bilgi trafiği de düşünülürse yönetilmesi ve kontrol edilmesi gereken bilginin ne kadar büyük olduğu anlaşılacaktır [3]. Bu büyük bilgi veya veri içinde, organizasyona ait önemli bilgiler, toplantı notları, gizli dosyalar vb. bulunmaktadır. Bu bilgilerin hareketi sırasında herhangi bir veri takibi, şifreleme ya da veri gözetimi olmazsa, organizasyon dışına olası tehlikeli bilgi kaçağının gerçekleşmesi ihtimali artmaktadır. Gizli bilgi içeren kurumsal belgeler; bilmeden yapılan, kasıtlı yapılan ve kötü niyetli yapılan olarak üç kısımda incelememiz mümkündür. Bilmeden yapılan veri kaçakları, e-mail gönderirken yanlış dosya eklenmesi ve yanlış kişilere gönderilmesi gibi sonucu olumsuz olarak şekillenebilir. Kasıtlı yapılan kaçakçılık türlerinde ise dokümanlardaki anahtar kelimeleri değiştirme, tipini değiştirme, ismini değiştirme gibi durumların dışında farklı formatlarda kaydedip sıkıştırılmış dosyalarda oluşturulmaktadır. Bu tip durumlar kurumlara zarar vermiyormuş gibi gözüksede aslında gizlilik dereceli verilerin yetkisiz kişilere geçtiği an itibarı ile kontrolün sizden çıktığı ve verinin zararlı hale dönüşebileceği kaçınılmazdır. Kötü niyetli yapılan kaçakçılık ise yapılan tasarımların veya uygulamaların ekran görüntüsüne çekerek normal bir resim gibi gönderilmesi sağlanabilir. Bunun dışında verileri parçalayarak dışarı gönderimi, şifrelenemiş halde sıkıştırılmış verilerin yetkisiz kişilere gönderimi, gizli verileri kodlamalarla dışarıyı çıkarma veri kaçaklarının kasıtlı olarak yapılanlarıdır. Bu veri kaçak ve kayıpları kurumların menfaatelerine ters düşerek ve bilerek yapılmış veri hırsızlığıdır. 2004 ile 2013 yıllının ilk çeyreği arasında veri kaybı olaylarının gün geçtikçe arttığını görmekteyiz. [Şekil. 2.] Veri kaybı olaylarının bu denli artışı veri güvenliğinin gerekliliğini ve farkındalığının kurumlar için oluşturulması kaçınılmaz olmuştur. Şekil 2. Veri kaybı olaylarının 2004 – 2013 (2013 yılının ilk çeyreği) yılları arası dağılımı.[4] 3. Veri Kaybını Önleme (DLP – Data Loss Prevention) DLP sistemleri hem veri kaybı önleme hem de veri kaçağı önleme sistemleri olarak tanımlanmaktadır. Genel anlamda tüm sistemlerden değişik yollarla dışarıya çıkan verilerin geçtiği yolları takip etmek ve bu yollarda önlem almayı sağlayan uygulamaların tümüdür. Dünyada 300 milyona yakın veri kaydı istenmeyen kişilerin eline geçmiştir. Verilerin %99,6 ‘sı sunucu ve bu sunucularda çalışan uygulamalar üzerinden elde edilmiştir.Veri kayıpları %64 oranında sanal ortam üzerinden gerçekleşmekte %9 oranında ise fiziksel olarak gerçekleştiği görülmektedir.[5] Veri kaybı olaylarının; %57 Dışarıdan %20 İçeriden (Bilinçli olmadan) %10 İçeriden (Kötü niyetli) %7 Bilinmeyen %6 İçeridern (3. Parti yazılımlar) görülmektedir. [Şekil. 3.] Şekil 3. Tüm veri kaybı olaylarının türlerine göre dağılımı .[4] Son dönemlerde dünya gündeminin ilk sıralarına kadar yükselen, ülkeler arası siyasal krizler yaratan wikileaks belgeleri de bir veri kaçağı örneğidir. Konumuz bu belgelerin kamuoyuna açıklanmasının etik tarafı değil nasıl elde edilebildiğidir. Buna çıkar savaşı, politik oyunlar, hırsızlık ya da başka bir şey diyebilirsiniz ama bir bilgi teknolojileri çalışanı için bu sadece güvenlik açığıdır. Doğruluğunu bilmemiz zor ancak bu belgelerin sadece erişim yetkisi olan bir personel tarafından usb diske kopyalanarak sızdırıldığı medyada haber olmuştu. Bu örnek sadece en bilinen ve en güncel olanı idi. ABD'de 2006 yılının veri kayıp ve kaçak envanteri incelendiğinde en karlı 1000 şirketin (Fortune-1000) yaklaşık %75'inin söz konusu istenmeyen durumlara maruz kaldığını görürüz. Yine aynı listedeki şirketlerin bilgi güvenliğinde sancılı olduğu alanlar incelendiğinde veri kaçağının %18 ile yüksek düzeylerde olduğu görülmektedir.[6] DLP sistemlerinde kurumsal veriler, uygulama katmanında P2P ağ protokolleri, şirket içi e-mail, portal, anında mesajlaşma programları gibi yollar ile ifşa edilebilir. Fiziksel katman olarak değerlendirdiğimiz, yazıcı, usb bellek, harici bellek gibi cihazlardan network katmanı olarak değerlendirdiğimiz ftp, kablosuz internet ağı, dosya paylaşımları gibi sistemlerden de veri kayıpları ve kaçakları olmaktadır. DLP sistemleri yukarıda belirttiğimiz katmanları monitörize edebilecek sistemlerdir. Bu sistemlerin standartları; kurumların verilerini keşfedecek, keşfettği veriler için politikalar belirleyebilecek, kritik verileri veri sınıflandırması ile kayıt altında tutabilecek, sızma yollarını belirleyebilecek, sızma yolları için ayrı ayrı önlem alıyor olabilmelidir. 4.Kurumsal Yapılarda Veri Kayıplarını Önleme (DLP) Çözümlerine Yönelme Nedenleri E-mail ve Web, network dünyasındaki suçlular için en değerli çalışma alanlarıdır. Siber saldırganlar her geçen gün yeni yöntemler ile kurumların ağ trafiklerini izlemekte, deşifre etmeye çalışmakta ve gizlilik derecesindeki bilgilerini elde etmeye çalışmaktadırlar. Çoğu zaman siber suçlular tarafından ağ ve e-mail trafiğinin ele geçirilmesi günlerce anlaşılamamaktadır. Diğer yandan, kurum kullanıcılarının her gün onlarca e-mail göndermesi, e-mail aracılığıyla bilgi paylaşımında bulunması gün geçtikçe yaygınlaşmakta ve hatta kaçınılmaz hale gelmektedir. Bu yoğun şekilde kullanılan e-mail trafiğinin yanında FTP sistemlerini kullanan, USB sürücüleri içinde organizasyona ait bilgi taşıyan, evde e-mail hesaplarını kontrol eden kullanıcılarının da gerçekleştirdiği veri trafiğini de düşünecek olursak yönetilmesi ve kontrol edilmesi gereken verinin ne kadar büyük olduğu anlaşılacaktır. Şekil 4. Katmanlar halinde olabilecek uygulamalar .[8] veri kaybı Bu büyük bilgi veya veri içinde, kurumlara ait önemli bilgiler, kurumsal bilgiler, patentli ürün bilgileri, toplantı notları, gizli dosyalar vb bulunmaktadır. Bu bilgilerin hareketi sırasında herhangi bir veri takibi, şifreleme ya da veri gözetimi olmazsa, organizasyon dışına olası tehlikeli bilgi kaçağının gerçekleşme ihtimali artmaktadır. Kurumlarda veri kaybının oluşması farklı şekillerde sonuçlanabilir. Örneğin bir yöneticinin gizli bilgi içeren konuşma notlarını e-mail yoluyla yanlış kişiye ya da kullanıcıya göndermesi iki farklı şekilde sonuçlanabilir: Ya kullanıcının e-mailinin yanlışlıkla geldiğini anlayıp silmesiyle ya da gizli bilgiyi kötü niyetle kullanmak üzere elinde tutmasıyla. Gelen gizli bilginin kötü niyetle kullanılmasına örnek olarak Şubat 2008’de Hannafor Brothers süpermarketler zincirinin başına gelen olay örnek gösterilebilir. Şirket yaklaşık dört milyon kredi kartı numarasını ve ilişkili borç listesini kaybettikten sonra 4,1 milyon dolar zarara uğramıştır. Bu, verinin şirket dışına çıkmasının ne denli tehlikeli bir durum olduğunu ortaya koymaktadır. [7] Kurumlarda olası veri kayıplarına ve siber saldırılara karşı tedbirler almaya çalışmaktadır. Büyük bir çoğunluğunda nerdeyse hepsinde anti – virüs programları kullanılmakta bunun yanında anti – spam özelliklerinide devreye sokmaktadırlar. Maalesef veri kaybınınn önlenmesi için yeterli değildir. En düşük seviyede bir korumadır. Daha üst düzey korumaya çok az sayıda kurum yönelmektedir. Kurumların neredeyse tamamı giden ve gelen e-mailların izlenmesi gerektiğinin farkındadır ama veri kaçağının daha farklı şekillerde olabileceğini düşünememektedirler. Bunun sebebi belki de kurumların karşı karşıya oldukları ciddi tehdidin farkında olmamaları ya da sektörde ciddi problemlerle sonuçlanan veri kaçağı örneklerini bilmemelerinden kaynaklanmaktadır. Bu gibi örnekleri maddeler halinde sıralayabiliriz. Çalışanlar sık sık gizli bilgi içeren veriyi e-mail yoluyla kasıtlı olmadan göndermektedirler. Verinin bu hareketinde şifrelenmiş olması gerektiğini düşünmemekte veya bilmemektedirler. Gönderilen bir gizli veri, ilk göndericisin haberi olmadan, iletilerek dış dünyada çok hızlı bir şekilde yayılabilir. E-mail ile gönderilen veri, bazen yanlış kişilere gönderilebilir. Bu tehlikeli bir veri kaçağına sebebiyet verebilir. Çalışanlar, gizli veri içeren emailları evde ya da başka yerde kullanmak üzere kendilerine gönderebilirler. [7] Veri kayıplarının önlenmesi kurumlar için nedenli önemli oluşu, oluşturacağı zararlara bakarak daha iyi anlaşılabilmektedir. Bu zararlardan aşağıda söz etmek gerekirse; Yasal Yargılanma: 5651 sayılı "İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele edilmesi Hakkında Kanun" çerçevesinde alınmayan önlemler, çok ciddi ve aleyhte yargılanmalara sebebiyet verebilir. Örneğin, kullanımı kısıtlanmamış e-mail trafiği ile yetkili bir çalışan tarafından atılan yanlış iddialarla dolu bir e-mail, kurumu bağlayabilir. Hiç olmayacak şekilde cezalar almasına sebebiyet verebilir. Fikri Haklar Kaybı: Kurum bünyesinden gizli bilgilerin kaçırılması ya da sızdırılması, özel ticari anlaşmalarının, kuruma ait tasarımların ve patentli ürün bilgilerinin gizliliğini ihlal edip, kurumu tehlikeye sokabilir. Örneğin, 2006 yılında, Duracell Şirketinin bir çalışanı, şirkete ait gizli bir bilgiyi önce kendi hesabına sonra da rakip şirketlere e-mail yoluyla göndermiştir. İtibar Kaybı: Kurumların bazı zaafları veya dış dünyaya duyurmak istemedikleri bilgileri olabilir. Bu bilgilerin duyulması kurumlar için itibar kaybı manasına gelir. Bu bilgiler arasında çalışanların problemleri, kuruma dair beğenilmeyen özellikler, hedefe ulaşmayan anlaşma bilgileri, tamamlanmamış proje konuları gibi örnekler olabilir. 5. Sonuç Sonuç olarak kurumların veri güvenliği konusunda sıkıntıya düştükleri kontrol altına alınması neredeyse zorunluluk haline gelmiş veri kaybı önleme (DLP) sistemleri ile tüm ağı izlemeli ve gözlemlemelidir. DLP sistemleri kurumun değerli bilgilerini izlemekte ve korumaktadır. Yapılan çalışmada kurumsal veri kayıplarının sebeplerinin yüzdeleri grafiksel olarak olarak gözükmektedir. [Şekil. 5] Bu durumda %100 güvenli bir sistemden bahsedemiyoruz. Bu sebeple internet ağı her daim gözlemek ve raporlamamız gerekmektedir. Kurumsal Veri Kayıplarının Sebepleri 30% Dikkatsiz Kurum Çalışanları 24% Dosyaların Bozulması 21% Zararlı Yazılımlar 9% Donanım Hataları Kötü Niyetli Personel 6% Hatalı Konfigurasyon 6% Hatalı Yetkilendirme 2% Doğal Afetler 2% Şekil 5. Kurumsal veri kayıplarının sebepleri ile ilgili sonuçlar 6. Kaynaklar [1] Oguz B., Cevahir K.H., “BT Yönetiminde Bilgi Sızıntısı ve Ağ Tabanlı Çoklu Protokol Bilgi Sızıntısı Eengelleme”, 3.ABS Ankara, 2010 [2] “McAfee Buyer’s Guide for Small and Medium-Size Businesses.”, McAfee Inc. (2008). [3] “Why Your Organization Needs to Implement DLP.”, Osterman Research, Inc. (2008). [4] Data Loss Statistics,. http://datalossdb.org/statistics [5] Alparslan E., “İleri Veri Kaçağı Önleme Sistemleri”., Tübitak -UEKAE (2011). http://www.istsec.org/2011/ileri_veri_ka cagi_onleme.pdf [6] Nazlı M., “DLP”., (2010.Ocak.14). http://mikailnazli.blogspot.com/2010/0 1/data-loss-prevention-dlp.html [7] Posul A., “Veri Kaçağını Önleme ve Kurumlar için Önemi”., Tübitak BİLGEM (2010. Mayıs.20). http://www.bilgiguvenligi.gov.tr/verikacagi-onleme/veri-kacagini-onleme-vekurumlar-icin-onemi.html [8] Tubitak- BİLGEM, http://www.bilgiguvenligi.gov.tr/image s/stories/agahtozlu/dlp.png