Kurumsal Veri Güvenli*inde Önemli Bir Ad*m: Veri Kayb*n* Önleme

advertisement
Kurumsal Veri Güvenliğinde Önemli Bir Adım:
Veri Kaybını Önleme
Ramise Koçak1, Servet Özmen2
1
Otokar Otomotiv ve Savunma Sanayi A.Ş. Arifiye/Sakarya
2
Otokar Otomotiv ve Savunma Sanayi A.Ş. Arifiye/Sakarya
rkocak@otokar.com.tr, sozmen@otokar.com.tr,
Özet: Kurumsal yapıların veri güvenliği, gerek ülkemizde gerek dünyada büyük önem arz
etmektedir. Veri güvenliği, kurumsal yapılarda önemli verilere yetkisiz kişiler tarafından
ulaşılması sonucunda veri kaybına, güvenlik kaybına ve kurumsal yapının verilerini pasif hale
getirilerek yararlı olamama durumuyla karşılaşılmaktadır. Veri kayıplarını önleme adına
yapılacak olan fiziksel önlemler yerini sanal tedbirlere yani yazılımlara bırakmaktadır.
Verilerin çok hızlı şekilde çoğaltılması aktarımı yapılabilmekle beraber riskli, gizli ve hayati
önem taşıyan bilgiler için önlem alma kurumlar için kaçınılmaz olmuştur. Bu kapsamda
kurumlara veri kaybını önleme ile ilgili ipuçları verilecektir.
Anahtar Sözcükler: Veri Kaybını Önleme, Veri Güvenliği, Kurumsal, Bilgi Güvenliği, Veri
Koruma, Bilgi Güvenliği
A New Approach for Quality Function Deployment: An Application
Abstract: The institutional structures data security is very important in our country and in the
world. Data security, corporate structures to reach important data by unauthorized persons may
result in data loss, security loss or passive corporate structure by making the status of not being
useful confronted. Data loss prevention measures in the name of the virtual replace that the
software leaves the physical measures. Any reproduction of the data transfer is very fast with
made risk, confidential and vital data has become inevitable for organizations to take action. In
this context, organizations will be given tips on how to prevention data loss.
Keywords: Data Loss Prevention, DLP, Data Security, Institutional, Information Security,
Data Protection, Information Security
1. Giriş
“Veri kaybını nasıl önlemeliyiz?” sorularının
cevaplarını bilmelidirler.
Veri güvenliğinin önemi ve değeri son
derece hızlı bir şekilde arttığı günümüzde veri
kayıplarını önlemenin önemide fazlasıyla
belirginleşmiştir. Kişisel kullanımlardan
başlayarak ticari olarak oluşan veriler ve
veri merkezlerine kadar artık herbir veri
dijital ortamda yerini almıştır.
Kurumsal yapıların çalışmalarının gizlilik
değerleri arttıkça güvenlik önlemleri de
artmışıtr. Kullanıcılara verilen farkındalık
eğitimleri her ne kadar gerekli olsada veri
güvenliğine daha geniş açıdan bakmamız
gerekmektedir. Bunların en başında gelen
veri kaybını önleme sistemleri (DLP) sunucu
sistemlerinde,
istemcilerde,
taşınabilir
bilgisayarlarda,
akıllı
telefonlarda
çalıştırılabilir. Tüm DLP sistemi dağıtık
ortamlarda olmasına rağmen merkezi olarak
yönetilebilir
ve
raporlanabilir.
DLP
filtrelenmiş
dosyalar,
klasörler,
bilgi
bankaları, sıkıştırılmış dosyalar, gibi değişik
biçimlerde
bulunan
kaynakları
koruyabilmektedir. Bu sayede verinin gittiği
yol haritasını yöneticelere göstermekte ve
haber vermektedir.
2. Kurumsal Veri Güvenliği
2.1 Kurumsal Yapı
Kurumsal yapılarda oluşturulan verilerin
güvenlik derecelendirilmesi ISO 27001 Bilgi
Güvenliği Yönetim Sistemine dayanarak
yapılmakta ve sertifikalandırılmaktadır.
Kurumların veri akışında kesinti olmaması ve
bilgi
akışının
kötüye
kullanımının
engellenmesi konusunda Disk Şifreleme,
Link Şifreleme, Son Kullanıcı Güvenliği,
Veri Kayıbını Önleme (DLP) çözümleri
bulunmaktadır. Bunların en başında veri
kaybını önleme sistemleri gelmektedir.
Kurumsal yapıların ilk olarak “Hangi
verilerin kayıplarını önlemek istiyoruz” ve
Şekil 1. Verilerin çıkış yolları
Bu soruların cevaplarını bildiklerinde
kurumların veri güvenliği konusunda nasıl bir
yol haritası çizeceği belli olmuş demektir.
2.2 Veri Güvenliği
Kurumsal ağlarda kullanılan, saklanan,
hareket eden verinin tanımlanması, izlenmesi
ve korunması veri güvenliğinin temelidir.
Şekil-1’de de görüldüğü gibi veri bir çok
kanaldan dışarıya çıkmakta ve güvenliği
kontrolsuz olabilmektedir.
Veri güvenliğinin sağlanması, veri işleyen
kullanıcılara da birçok açıdan yükümlülük
getirmiştir. Bu yükümlüklerin en başta geleni
kuşkusuz kişisel verilerin yetkisiz kişilerin
eline geçmesinin önüne geçilmesi ve bu
yönde tebdirlerin alınmasıdır. Buna ilişkin
tedbirlerin niteliği kişisel verinin niteliği ve
işlenme amaçları ile doğrudan bağlantılıdır.
Veri güvenliği;
 Kişisel verilerin gizliliği ve
önemi,
 Stratejik bilgi gereksinimleri,
 Hukuku
yükümlülükler
ve
sorumluluklar,



İş ve proje gizliliği,
Veri gizliliği,
Uluslararası
bilgi
güvenliği
standart ve akreditasyonlarına
uyum,
çerçevesinde alınması gereken tedbirlerin
amacını belirlemektedir.[1]
E-mail ve Web bilgisayar dünyasındaki
suçlular için en değerli manevra alanlarıdır.
Siber saldırganlar her geçen gün yeni
yöntemlerle, organizasyonların ağ trafiklerini
deşifre etmeye çalışmakta ve gizlilik derecesi
haiz bilgilerini elde etmeye çalışmaktadırlar.
Çoğu zaman siber suçlular tarafından ağ ve email trafiğinin ele geçirilmesi günlerce hatta
haftalarca anlaşılamamaktadır [2].
Öte yandan, kurum kullanıcılarının her gün
onlarca
e-mail
göndermesi,
e-mail
aracılığıyla bilgi paylaşımında bulunması gün
geçtikçe yaygınlaşmakta ve hatta kaçınılmaz
hale gelmektedir. Bu yoğun e-mail trafiğinin
yanında FTP sistemlerini kullanan, USB
sürücüleri içinde organizasyona ait bilgi
taşıyan, evde e-mail kutularına bakan
kullanıcılarının da gerçekleştirdiği bilgi
trafiği de düşünülürse yönetilmesi ve kontrol
edilmesi gereken bilginin ne kadar büyük
olduğu anlaşılacaktır [3].
Bu büyük bilgi veya veri içinde,
organizasyona ait önemli bilgiler, toplantı
notları, gizli dosyalar vb. bulunmaktadır. Bu
bilgilerin hareketi sırasında herhangi bir veri
takibi, şifreleme ya da veri gözetimi olmazsa,
organizasyon dışına olası tehlikeli bilgi
kaçağının gerçekleşmesi ihtimali artmaktadır.
Gizli bilgi içeren kurumsal belgeler;
bilmeden yapılan, kasıtlı yapılan ve kötü
niyetli
yapılan
olarak
üç
kısımda
incelememiz mümkündür. Bilmeden yapılan
veri kaçakları, e-mail gönderirken yanlış
dosya eklenmesi ve yanlış kişilere
gönderilmesi gibi sonucu olumsuz olarak
şekillenebilir.
Kasıtlı yapılan kaçakçılık türlerinde ise
dokümanlardaki
anahtar
kelimeleri
değiştirme,
tipini
değiştirme,
ismini
değiştirme gibi durumların dışında farklı
formatlarda kaydedip sıkıştırılmış dosyalarda
oluşturulmaktadır. Bu tip durumlar kurumlara
zarar vermiyormuş gibi gözüksede aslında
gizlilik dereceli verilerin yetkisiz kişilere
geçtiği an itibarı ile kontrolün sizden çıktığı
ve verinin zararlı hale dönüşebileceği
kaçınılmazdır.
Kötü niyetli yapılan kaçakçılık ise yapılan
tasarımların veya uygulamaların ekran
görüntüsüne çekerek normal bir resim gibi
gönderilmesi sağlanabilir. Bunun dışında
verileri parçalayarak dışarı gönderimi,
şifrelenemiş halde sıkıştırılmış verilerin
yetkisiz kişilere gönderimi, gizli verileri
kodlamalarla
dışarıyı
çıkarma
veri
kaçaklarının kasıtlı olarak yapılanlarıdır. Bu
veri kaçak ve kayıpları kurumların
menfaatelerine ters düşerek ve bilerek
yapılmış veri hırsızlığıdır.
2004 ile 2013 yıllının ilk çeyreği arasında
veri kaybı olaylarının gün geçtikçe arttığını
görmekteyiz. [Şekil. 2.]
Veri kaybı olaylarının bu denli artışı veri
güvenliğinin gerekliliğini ve farkındalığının
kurumlar için oluşturulması kaçınılmaz
olmuştur.
Şekil 2. Veri kaybı olaylarının 2004 – 2013
(2013 yılının ilk çeyreği) yılları arası dağılımı.[4]
3. Veri Kaybını Önleme (DLP – Data Loss
Prevention)
DLP sistemleri hem veri kaybı önleme hem
de veri kaçağı önleme sistemleri olarak
tanımlanmaktadır. Genel anlamda tüm
sistemlerden değişik yollarla dışarıya çıkan
verilerin geçtiği yolları takip etmek ve bu
yollarda
önlem
almayı
sağlayan
uygulamaların tümüdür.
Dünyada 300 milyona yakın veri kaydı
istenmeyen kişilerin eline geçmiştir. Verilerin
%99,6 ‘sı sunucu ve bu sunucularda çalışan
uygulamalar üzerinden elde edilmiştir.Veri
kayıpları %64 oranında sanal ortam
üzerinden gerçekleşmekte %9 oranında ise
fiziksel olarak gerçekleştiği görülmektedir.[5]
Veri kaybı olaylarının;
 %57 Dışarıdan
 %20 İçeriden (Bilinçli olmadan)
 %10 İçeriden (Kötü niyetli)
 %7 Bilinmeyen
 %6 İçeridern (3. Parti yazılımlar)
görülmektedir. [Şekil. 3.]
Şekil 3. Tüm veri kaybı olaylarının türlerine
göre dağılımı .[4]
Son dönemlerde dünya gündeminin ilk
sıralarına kadar yükselen, ülkeler arası siyasal
krizler yaratan wikileaks belgeleri de bir veri
kaçağı örneğidir.
Konumuz bu belgelerin kamuoyuna
açıklanmasının etik tarafı değil nasıl elde
edilebildiğidir. Buna çıkar savaşı, politik
oyunlar, hırsızlık ya da başka bir şey
diyebilirsiniz ama bir bilgi teknolojileri
çalışanı için bu sadece güvenlik açığıdır.
Doğruluğunu bilmemiz zor ancak bu
belgelerin sadece erişim yetkisi olan bir
personel tarafından usb diske kopyalanarak
sızdırıldığı medyada haber olmuştu. Bu örnek
sadece en bilinen ve en güncel olanı idi.
ABD'de 2006 yılının veri kayıp ve
kaçak envanteri incelendiğinde en karlı 1000
şirketin (Fortune-1000) yaklaşık %75'inin söz
konusu istenmeyen durumlara maruz
kaldığını görürüz. Yine aynı listedeki
şirketlerin bilgi güvenliğinde sancılı olduğu
alanlar incelendiğinde veri kaçağının %18 ile
yüksek düzeylerde olduğu görülmektedir.[6]
DLP sistemlerinde kurumsal veriler,
uygulama katmanında P2P ağ protokolleri,
şirket içi e-mail, portal, anında mesajlaşma
programları gibi yollar ile ifşa edilebilir.
Fiziksel katman olarak değerlendirdiğimiz,
yazıcı, usb bellek, harici bellek gibi
cihazlardan
network
katmanı
olarak
değerlendirdiğimiz ftp, kablosuz internet ağı,
dosya paylaşımları gibi sistemlerden de veri
kayıpları ve kaçakları olmaktadır. DLP
sistemleri yukarıda belirttiğimiz katmanları
monitörize edebilecek sistemlerdir. Bu
sistemlerin standartları;
 kurumların verilerini keşfedecek,
 keşfettği veriler için politikalar
belirleyebilecek,
 kritik verileri veri sınıflandırması
ile kayıt altında tutabilecek,
 sızma yollarını belirleyebilecek,
 sızma yolları için ayrı ayrı önlem
alıyor olabilmelidir.
4.Kurumsal Yapılarda Veri Kayıplarını
Önleme (DLP) Çözümlerine Yönelme
Nedenleri
E-mail ve Web, network dünyasındaki
suçlular için en değerli çalışma alanlarıdır.
Siber saldırganlar her geçen gün yeni
yöntemler ile kurumların ağ trafiklerini
izlemekte, deşifre etmeye çalışmakta ve
gizlilik derecesindeki bilgilerini elde etmeye
çalışmaktadırlar. Çoğu zaman siber suçlular
tarafından ağ ve e-mail trafiğinin ele
geçirilmesi günlerce anlaşılamamaktadır.
Diğer yandan, kurum kullanıcılarının her gün
onlarca
e-mail
göndermesi,
e-mail
aracılığıyla bilgi paylaşımında bulunması gün
geçtikçe yaygınlaşmakta ve hatta kaçınılmaz
hale gelmektedir. Bu yoğun şekilde kullanılan
e-mail trafiğinin yanında FTP sistemlerini
kullanan,
USB
sürücüleri
içinde
organizasyona ait bilgi taşıyan, evde e-mail
hesaplarını kontrol eden kullanıcılarının da
gerçekleştirdiği veri trafiğini de düşünecek
olursak yönetilmesi ve kontrol edilmesi
gereken verinin ne kadar büyük olduğu
anlaşılacaktır.
Şekil 4. Katmanlar halinde
olabilecek uygulamalar .[8]
veri
kaybı
Bu büyük bilgi veya veri içinde, kurumlara
ait önemli bilgiler, kurumsal bilgiler, patentli
ürün bilgileri, toplantı notları, gizli dosyalar
vb bulunmaktadır. Bu bilgilerin hareketi
sırasında herhangi bir veri takibi, şifreleme ya
da veri gözetimi olmazsa, organizasyon
dışına olası tehlikeli bilgi kaçağının
gerçekleşme ihtimali artmaktadır.
Kurumlarda veri kaybının oluşması farklı
şekillerde sonuçlanabilir. Örneğin bir
yöneticinin gizli bilgi içeren konuşma
notlarını e-mail yoluyla yanlış kişiye ya da
kullanıcıya göndermesi iki farklı şekilde
sonuçlanabilir: Ya kullanıcının e-mailinin
yanlışlıkla geldiğini anlayıp silmesiyle ya da
gizli bilgiyi kötü niyetle kullanmak üzere
elinde tutmasıyla.
Gelen gizli bilginin kötü niyetle
kullanılmasına örnek olarak Şubat 2008’de
Hannafor Brothers süpermarketler zincirinin
başına gelen olay örnek gösterilebilir. Şirket
yaklaşık dört milyon kredi kartı numarasını
ve ilişkili borç listesini kaybettikten sonra 4,1
milyon dolar zarara uğramıştır. Bu, verinin
şirket dışına çıkmasının ne denli tehlikeli bir
durum olduğunu ortaya koymaktadır. [7]
Kurumlarda olası veri kayıplarına ve siber
saldırılara
karşı
tedbirler
almaya
çalışmaktadır. Büyük bir çoğunluğunda
nerdeyse hepsinde anti – virüs programları
kullanılmakta bunun yanında anti – spam
özelliklerinide
devreye
sokmaktadırlar.
Maalesef veri kaybınınn önlenmesi için
yeterli değildir. En düşük seviyede bir
korumadır. Daha üst düzey korumaya çok az
sayıda kurum yönelmektedir.
Kurumların neredeyse tamamı giden ve
gelen e-mailların izlenmesi gerektiğinin
farkındadır ama veri kaçağının daha farklı
şekillerde
olabileceğini
düşünememektedirler. Bunun sebebi belki de
kurumların karşı karşıya oldukları ciddi
tehdidin farkında olmamaları ya da sektörde
ciddi problemlerle sonuçlanan veri kaçağı
örneklerini
bilmemelerinden
kaynaklanmaktadır. Bu gibi örnekleri
maddeler halinde sıralayabiliriz.

Çalışanlar sık sık gizli bilgi içeren
veriyi e-mail yoluyla kasıtlı
olmadan
göndermektedirler.
Verinin
bu
hareketinde
şifrelenmiş olması gerektiğini
düşünmemekte
veya
bilmemektedirler.
 Gönderilen bir gizli veri, ilk
göndericisin haberi olmadan,
iletilerek dış dünyada çok hızlı bir
şekilde yayılabilir.
 E-mail ile gönderilen veri, bazen
yanlış kişilere gönderilebilir. Bu
tehlikeli bir veri kaçağına
sebebiyet verebilir.
 Çalışanlar, gizli veri içeren emailları evde ya da başka yerde
kullanmak üzere kendilerine
gönderebilirler. [7]
Veri kayıplarının önlenmesi kurumlar için
nedenli önemli oluşu, oluşturacağı zararlara
bakarak daha iyi anlaşılabilmektedir. Bu
zararlardan aşağıda söz etmek gerekirse;
 Yasal Yargılanma: 5651 sayılı
"İnternet Ortamında Yapılan
Yayınların Düzenlenmesi ve Bu
Yayınlar Yoluyla İşlenen Suçlarla
Mücadele edilmesi Hakkında
Kanun" çerçevesinde alınmayan
önlemler, çok ciddi ve aleyhte
yargılanmalara
sebebiyet
verebilir. Örneğin, kullanımı
kısıtlanmamış e-mail trafiği ile
yetkili bir çalışan tarafından atılan
yanlış iddialarla dolu bir e-mail,
kurumu
bağlayabilir.
Hiç
olmayacak
şekilde
cezalar
almasına sebebiyet verebilir.
 Fikri Haklar Kaybı: Kurum
bünyesinden
gizli
bilgilerin
kaçırılması ya da sızdırılması,
özel ticari anlaşmalarının, kuruma
ait tasarımların ve patentli ürün
bilgilerinin gizliliğini ihlal edip,
kurumu
tehlikeye
sokabilir.
Örneğin, 2006 yılında, Duracell
Şirketinin bir çalışanı, şirkete ait

gizli bir bilgiyi önce kendi
hesabına sonra da rakip şirketlere
e-mail yoluyla göndermiştir.
İtibar Kaybı: Kurumların bazı
zaafları veya dış dünyaya
duyurmak istemedikleri bilgileri
olabilir. Bu bilgilerin duyulması
kurumlar için itibar kaybı
manasına gelir. Bu bilgiler
arasında çalışanların problemleri,
kuruma
dair
beğenilmeyen
özellikler, hedefe ulaşmayan
anlaşma bilgileri, tamamlanmamış
proje konuları gibi örnekler
olabilir.
5. Sonuç
Sonuç olarak kurumların veri güvenliği
konusunda sıkıntıya düştükleri kontrol altına
alınması neredeyse zorunluluk haline gelmiş
veri kaybı önleme (DLP) sistemleri ile tüm
ağı izlemeli ve gözlemlemelidir.
DLP sistemleri kurumun değerli bilgilerini
izlemekte ve korumaktadır.
Yapılan
çalışmada
kurumsal
veri
kayıplarının sebeplerinin yüzdeleri grafiksel
olarak olarak gözükmektedir. [Şekil. 5]
Bu durumda %100 güvenli bir sistemden
bahsedemiyoruz. Bu sebeple internet ağı her
daim
gözlemek
ve
raporlamamız
gerekmektedir.
Kurumsal Veri Kayıplarının Sebepleri
30%
Dikkatsiz Kurum Çalışanları
24%
Dosyaların Bozulması
21%
Zararlı Yazılımlar
9%
Donanım Hataları
Kötü Niyetli Personel
6%
Hatalı Konfigurasyon
6%
Hatalı Yetkilendirme
2%
Doğal Afetler
2%
Şekil 5. Kurumsal veri kayıplarının sebepleri ile ilgili sonuçlar
6. Kaynaklar
[1] Oguz B., Cevahir K.H., “BT
Yönetiminde Bilgi Sızıntısı ve Ağ
Tabanlı Çoklu Protokol Bilgi Sızıntısı
Eengelleme”, 3.ABS Ankara, 2010
[2] “McAfee Buyer’s Guide for Small and
Medium-Size Businesses.”, McAfee Inc.
(2008).
[3] “Why Your Organization Needs to
Implement DLP.”, Osterman Research,
Inc. (2008).
[4] Data Loss Statistics,.
http://datalossdb.org/statistics
[5] Alparslan E., “İleri Veri Kaçağı Önleme
Sistemleri”., Tübitak -UEKAE (2011).
http://www.istsec.org/2011/ileri_veri_ka
cagi_onleme.pdf
[6] Nazlı M., “DLP”., (2010.Ocak.14).
http://mikailnazli.blogspot.com/2010/0
1/data-loss-prevention-dlp.html
[7] Posul A., “Veri Kaçağını Önleme ve
Kurumlar için Önemi”., Tübitak BİLGEM (2010. Mayıs.20).
http://www.bilgiguvenligi.gov.tr/verikacagi-onleme/veri-kacagini-onleme-vekurumlar-icin-onemi.html
[8] Tubitak- BİLGEM,
http://www.bilgiguvenligi.gov.tr/image
s/stories/agahtozlu/dlp.png
Download