2021 yılında bir çok firmadan veri sızıntısı haberleri duymaya başlandı. Bu haberlerin bir kısmı güncel olsa da, bir kısmı aylar hatta yıllar öncesinde gerçekleşmişti. Peki bu son günlerde veri sızıntılarının arttığı anlamına mı geliyor?
Hayır. Bu tür veri sızıntısı saldırıları dijital çağın hayatımıza girmesinden beri yaşanıyor. Fakat veri sızıntılarının ortaya çıkması zor olduğundan, pek azından haberdardık.
Şimdi, kvkk ve gdpr gibi düzenleyici kurumların yayın aldığı kanunlar ışığında, veri sızıntısı yaşayan kurumlar bunu bildirmek zorundalar. Dolayısıyla, artık veri sızıntısı saldırıları haberlerini sıklıkla duyuyoruz. Peki, tam anlamıyla veri sızıntısı nedir?
Veri sızıntısı aslında, isminden de anlaşıldığı üzere insan hatasından kaynaklanan, kötü niyetle veya bilinçsiz olarak gerçekleştirilen bilgi aktarımları ve dijital eylemlerdir. Bir diğer deyişle; kişisel verilerin, yanlışlıkla ya da kötü niyetli kişilerce kurum dışına çıkarılmasına denir.
İkinci el cihazlar ve veri sızıntıları, sadece kurumsal olarak düşünülmemelidir. Verisini doğru şekilde aktaramadığımız ikinci el cihazlarda da veri sızıntıları yaşanmaktadır.
Siber güvenlik tarafında ileri gelen bir markanın yaptığı araştırmaya istinaden, ikinci el cihazlar üzerinde bir inceleme yapıldı. Geneli kişisel veriler içeren cihazlar kurumsal verilerin de izlerini barındırıyordu. Cihazların %16sından fazlasında doğrudan erişim imkanı bulan araştırmacılar, cihazlara file-craving yöntemi uyguladılar. Böyleci cihazın geri kalan %74'ünün içeriğine ulaştılar. Bu da sadece verilerin %11'inin düzgün bir şekilde silindiğini gösteriyordu.
Araştırmacıların ulaştığı veriler, takvim kayıtları, şirket kaynakları, toplantı notları, kişisel fotoğraflar, videolar, erişim verileri, vergi belgeleri, tıbbi bilgiler, dahili belgeler, banka bilgileri, oturum açma kimlik bilgileri gibi bir çok öğeyi barındırıyordu. Bu da, ikinci el cihazların kötü niyetli kişiler ile buluştuğunda çok tehlikeli olabileceğini ve kişi veya kurum hakkında sayısız verinin sızıntısının gerçekleşebileceğini gösteriyor.
veri sızıntısı konusu, biz farkında olmadan bir anda kendimizi zor bir durumda bulabileceğimiz bir konu. Peki bu konuda alınacak temel önlemler nelerdir? Güvenlik duvarı ve veri tabanı güvenliğine destek olacak alınması gereken temel 2 tane önlem bulunmaktadır.
Birincisi data classification dediğimiz verilerin sınıflandırılmasıdır. Tüm veriler aynı gizlilik seviyesinde olmadığından pazarlama materyalleri gibi veriler kurum dışı ile kolaylıkla paylaşılabilir. Kimi veriler ise sadece kurum çalışanları veya sadece üst kademe yöneticiler ile paylaşılmalıdır. Bunu sağlıklı olarak düzenleyebilmek verilerin doğru şekilde sınıflandırılmasından geçmektedir.
Bir diğer önlem ise, dlp (data loss / leak prevention) sisteminin kurulmasıdır. Dlp sistemi, hareket halinde ve beklemekte olan veriyi tanımlamak, korumak ve izlemek için tanımlanan sistemdir. Sınıflandırılmış verilerde, verilerin genel iş akışındaki yerlerini daha doğru belirler ve hatalı akışları düzenler. Fakat bu iki sistem ile tam bir koruma beklenmemelidir, ve veri sızıntısına karşı alınan bir önlem olduğu akılda tutulmalıdır.
Yasal Uyarı: Yayınlanan her türlü yazı ve içeriğin tüm hakları Efilli Yazılım’a aittir. Kaynak gösterilse veya aktif link verilse dahi yazı, ses, video gibi her türlü içeriğin tamamı ya da bir bölümü kesinlikle kullanılamaz, yayınlanamaz, paylaşılamaz ve değiştirilemez.