Veri Sızıntılarının Asıl Sorumlusu Hackerlar Değil! İnsan Hataları ve Şirketler …

205

Facebook, Twitter gibi sosyal medya platformlarından Under Armour, Biletix, Adidas, FedEx, Ticketmaster, Canada Air ve British Airways gibi markalara kadar pek çok şirket veri sızıntısıyla gündeme geliyor. Bulgular, veri sızıntılarının son iki yılda %75 arttığını ve veri sızıntılarının siber saldırılardan çok insan hatalarından kaynaklandığını gösteriyor. Veri sızıntılarında insan faktörünün kritik rol oynadığına dikkat çeken güvenlik uzmanlarına göre şirketler, veri sızıntılarından korunmak için çalışanlarını daha çok eğitmeye ihtiyaç duyuyor.

Veri sızıntıları, siber güvenlik gündemini işgal etmeye devam ediyor. Under Armour’a ait MyFitnessPal uygulamasının 150 milyon kullanıcıyı etkileyecek şekilde sızıntıya uğraması, 87 milyon kullanıcı verisinin sızmasına yol açan Facebook ve Cambridge Analytica Skandalı, Adidas’ın veri sızıntısı şüphesiyle ayağa kalkması, FedEx kargo şirketinin sunucusunda güvenlik açığının bulunması, Ticketmaster ve Biletix’in veri sızıntısından dolayı kullanıcılarına şifre değiştirme uyarısı vermesi ve önce British Airways’in 380.000 kullanıcısının finansal verilerinin çalınması sonra da Canada Air’in mobil uygulamasında sızıntı ihtimalinin ortaya çıkması, 2018’in veri sızıntılarıyla geçtiğinin sadece kısa bir özetini oluşturuyor. Güvenlik uzmanları, şirketleri veri sızıntılarına karşı uyararak çalışanlara güvenlik eğitimlerinin verilmesi ve tehdit planlarının oluşturulması gerektiğini belirtiyor.

Güncel veriler, veri sızıntısının son iki yılda %75 arttığını ortaya koyuyor. Ver sızıntıları, %39 ile en çok hastaların tıbbi kayıtlarına yönelik olurken, ikinci sırada %10 ile kullanıcıların finansal bilgileri geliyor. Sızıntıların ana sebebinin siber saldırılar olduğu düşünülse de çalışanların yaptığı güvenlik hatalarının veri sızıntılarında daha büyük rol oynadığı belirtiliyor. Güvenlik uzmanları, şirketlerin çalışanlarını bilinçlendirmek için yeterli çalışma yapmadığını ve bir saldırı anında devreye geçirebilecekleri hazır bir planlarının olmadığını ifade ederek veri sızıntısında nasıl davranılması gerektiğinin bilinmediğini belirtiyor.

İnsan Hatasına Karşı Hacker Riski

İngiltere Bilgi Komisyonluğu tarafından sunulan veriler, günümüzde insan hatalarının siber saldırılardan daha çok veri sızıntısı yarattığını gösteriyor. Geçtiğimiz sene sebebi ile beraber raporlanan vakalardan 2124’ü insan hatasına bağlıyken, sadece 292’si siber saldırılardan kaynaklanıyor.

İnsan hatalarından kaynaklanan sızıntılarda en sık görülen problem, 447 vakayla maillerin yanlış alıcıya gönderilmesi olarak belirtiliyor. Kağıt üzerindeki bilgilerin kaybı ya da hırsızlığı 438, verilerin güvenli olmayan bir lokasyonda bırakılması 164, şifrelenmemiş cihazların kaybı ya da çalınması 133 vakanın sebebi olarak sunuluyor.

Öte yandan siber saldırganlar, çoğunlukla yetkisiz erişim aracılığıyla sızıntıya yol açıyor. Bu alanda bildirilmiş vaka sayısı 102 iken, kötü niyetli yazılımlar 52, oltalama saldırıları 51 ve fidye yazılımları 33 veri sızıntısının nedeni olarak gösteriliyor.

Güvenlik uzmanları, etkili siber güvenliğin sadece teknolojik araçlarla sağlanamayacağına dikkat çekiyor. Şirketlerin en güncel güvenlik yazılımlarına yatırım yaptığını ancak eşit derecede önemli olan veri yönetimi ve çalışan eğitimi süreçlerinde eksik kalındığını vurgulayan güvenlik uzmanları, çalışanların bilinçlendirilmesi ve şirketin güvenlik kurallarına uyulduğunun kontrol edilmesi ile çoğu veri sızıntısının önlenebileceğini ifade ediyor.

En Çok Sağlık Sektörü Veri Sızıntısına Uğruyor

Bulgular tıbbi, finansal veya adli kayıtlar ile iş yaşamlarına dair bilgilerin sızıntılara en çok uğrayan alanlar olduğunu gösteriyor. 2017’de raporlanan veri sızıntılarına göre son iki yılda %41 artış gösteren ve 1214 vakaya sahip olan sağlık sektörü başı çekerken, iş dünyası 362, eğitim ve çocuk bakımı 354, devlet işleri ise 328 vakayla onu takip ediyor. Sızıntıya en yaygın biçimde uğrayan veri türü %39 ile tıbbi bilgiler olurken, finans %10, sosyal güvenlik %7, adli bilgiler %4 ve eğitime dair kayıtlar %3’lük dilimi oluşturuyor.

Veri koruma ile ilgili yasal uygulamaların şirketleri gitgide daha çok etkisi altına aldığını vurgulayan güvenlik uzmanları, artışın hem veri sızıntılarının yükselişinden hem de yeni düzenlemelerin bu raporlamaları şirketler için bir görev haline getirmesinden kaynaklandığını ileri sürüyor. Bu düzenlemelerin iş dünyasında bir saydamlık çağı yarattığını belirten güvenlik uzmanları, önceden sunulan raporların genel tablonun sadece küçük bir kısmını yansıtabildiğini söylerken, sızıntılarla ilgili yeterli önlem alınmadığı takdirde istatistiklerin gitgide daha vahim boyutlara ulaşacağını öngörüyor.

Şirketlerin Çoğu, Olası Bir Veri Sızıntısında Nasıl Davranacağını Bilmiyor

Güvenlik uzmanları, çalışanların şirketleri için hala en kritik faktörü oluşturduğunu ve çoğalan kuralların ekipleri eğitmek için yapılan yatırımlarda artış sağlayacağını düşünüyor. Çalışanlara, mail adreslerine gelen bağlantı veya eklerden şüpheli olanları diğerlerinden ayırmasının öğretilmesi gibi basit eğitimler, oltalama saldırılarının önüne geçilebilmesini sağlıyor. Yeni kurallar ve düzenlemelere rağmen değişmeyen tek şeyin veri sızıntısının arttığı gerçeği olduğunu ifade eden güvenlik uzmanları, şirketlerde sorun anında nasıl hareket edileceğine dair bir planın önceden hazırlanarak test edilmesine ve IT uzmanları dışında adli vaka uzmanı, hukuk danışmanı, kriz iletişimi uzmanı gibi profesyonellerden de yardım alınmasına ihtiyaç duyulduğunu belirtiyor.