Kuruluşlar İçin Dijital İstihbarata Karşı Koyma Tedbirleri

Giriş

Merhabalar,

AÇİS (OSINT) araştırmacısı olarak özellikle ofansif perspektiften elde ettiğim tecrübelere dayanarak, şunu rahatlıkla söyleyebilirim ki:

Sızma testi yapan uzmanlar dahi, dijital istihbaratın ne olduğunu ve kendilerini/kuruluşlarını bu ve benzeri vektörlerden koruyabileceklerini bilmiyorlar.

Bu kadar iddialı bir cümleyi, kurma cürretini gösterdiğim için beni bağışlayın. Ancak dijital istihbaratı, Shodan veya Censys’den bir adım dahi ileriye götürebilseydik, Türkiye’nin en büyük siber güvenlik firmalarından birinin gizli dokümanları etrafta gezmezdi veya devlet kurumlarının iç hizmetinde kullanılmak üzere işletilen “hassas” ve güvenlik riski yaratabilecek CBS verileri herkese açık olarak dolaşmazdı.

Uzmanlığım AÇİS olduğu ve yazıyı güvenlik uzmanlarına yönelik yazdığım için çerçeveyi dijital ortamdaki istihbarata karşı koyma ile sınırlı tutmaya çalışacağım. Tabi dijital ortamla sınırlı kalabileceğimi sanmıyorum. 🙂

Yazıda genel konsepti olabildiğince rafine ederek, kuruluş bünyesinde siber güvenlik, bilgi güvenliği, iç denetim vb. işlerle iştigal eden personele uygun olarak açıklayacağım.


İstihbarata karşı koyma, genellikle kolluk, istihbarat, silahlı kuvvetler gibi milli çıkarları koruyan kurumları ilgilendiren ve yürüttükleri faaliyetleri gizlemek, düşman istihbarat faaliyetlerini durdurmak ve/veya yavaşlatmak için yapılan tüm faaliyetleri tanımlamak için kullanılır.

Hali hazırda şirket espiyonajı adı altında yürütülen, şirketler arası istihbarat, espiyonaj, sabotaj faaliyetleri, günümüz Dünyasında APT saldırıları, dijital ortamdaki sosyal mühendislik, espiyonaj faaliyetleri, fiziksel sızmalar, oltalama saldırıları, paydaşın angajesi halini almıştır.

Bunları göz önüne aldığımızda, siber güvenlik altında yürütülen teknik, idari ve operasyonel tedbirlerin yeterli olmayacağını anlayabiliyoruz.

Benim bir zamandır kitaplaştırmaya uğraştığım “Dijital kaynak istihbaratı” burada devreye giriyor. Temel tezim, OSINT|AÇİS|AKİS olarak adlandırılan alt disiplinin, bu kavramları tanımlamaya yetmediğidir.

Bu tez ile yola çıkıldığında neden istihbarata karşı koyma değilde, dijital ortamdaki istihbarata karşı koyma başlığında bunu anlattığımı anladığınızı umuyorum.

Bu temel fikir ile yazının geri kalanını okuyarak, konuyu daha net kavrayacağınızı değerlendiriyorum.


Terminoloji ve Kısaltmalar

  • Paydaş: Kuruluşun içi ve dışındaki, iş süreçlerine katılan tüm unsurlar.
  • Saldırgan: Kuruluş çıkarlarına aykırı çalışan ve/veya bilgi, teknoloji, yöntem, know how, ticari sır, mali sır, tedarik ağı, vb. sırları sızdırmak amacı taşıyan ve/veya kuruluş iş süreçlerini sabote etmeyi amaçlayan ve bunları kendi ve/veya rakiplerin namına yapan tüm unsurlar.
  • İstihbarata Karşı Koyma (İKK)*: İş süreçlerimizi, fikri mülkiyetlerimiz, teknolojimiz, verilerimiz gibi kıymetli, hassas konuları rakiplerimizden/saldırganlardan gizlemek ve rakiplerin/saldırganların yürütebileceği espiyonaj, sabotaj gibi istihbarat faaliyetlerinin etkisini azaltmak ve/veya yok etmek amacı ile alınan aktif ve pasif tedbirlerdir.

    *: Kuruluşlar bağlamında tanımı.

Dijital Ortamda İKK Tedbir Konseptleri

  • Bilinçlendirme: Tüm paydaşların istihbarata karşı koymada izleyecekleri hareket tarzlarını, ilgili vektörleri tanıtmayı, bu vektörlere nasıl önlem alacaklarına dair sorumluluklarını öğretme faaliyetlerini kapsar.
  • Aktif Tedbirler: Espiyonaja, sabotaja, keşfe, aldatmaya, gözetlemeye engel olacak tedbirlerin alınmasıdır. (Saldırganın bilgi alması engellenir.)
  • Pasif Tedbirler: Personelin, evrakın, fiziksel alanın güvenliğinin sağlanması, ses disiplini, bilmesi gerekenler prensibinin uygulanması, gizleme, elektronik tehditlere karşı koyma (TEMPEST vb.) gibi tedbirlerin alınmasıdır. (Saldırgandan bilgi gizlenir.)

Sorumluluk

İKK tedbirlerinin, kuruluş paydaşlarının bir kısmı tarafından uygulanıyor olması, bu tedbirleri yeterli kılmaz. En üst düzey yöneticiden, en alt düzey çalışana kadar; İKK, tüm paydaşların kolektif sorumluluğudur.

Tüm paydaşlarınızın, uygulaması gereken tedbirleri bildiğine ve tam uyguladığına emin olun.

AMERİKA BİRLEŞİK DEVLETLERİ İSTİHBARATA KARŞI KOYMA BİLİNÇLENDİRME POSTELRERİ
ABD İKK BİLİNÇLENDİRME POSTERLERİ

Bilginin Yönetimi

Not kağıdına da, beyaz tahta da, aynı temel ilkelere göre muamele etmek gerekir. Sizin için önemli olmayan herhangi bir veri kırıntısı, saldırgan için kritik öneme haiz olabilir.

Okunabilir/İncelenebilir durumda olan bir medyayı çöpe/geri dönüşüme atmayın. Evet, çöp karıştıran saldırganlar gerçektir.

Hassas veri/bilgi içerme ihtimali olan bir medyayı, ortam farketmeksizin (sanal veya fiziksel) ortalıkta bırakmayın.

Kuruluşunuz dahilinde, bilginin işletilmesini düzenleyen yönetmeliklere/politikalara uyun. Bu yönetmelikleriniz/politikalarınız yoksa kuruluşunuz için implente edin.


Bilmesi Gerekenler Prensibi

Bilmesi gerekenler prensibi, bir bilgiyi sadece bilmesi gerekenlerin bilmesi prensibidir.

Buradaki önemli husus, bilgi gerekene verilir, pozisyona/role değil. Bir yönetici, o bilgiye nüfuz edebilecek yetkiye sahip dahi olsa, iş süreci nüfuz etmesini gerektirmiyorsa edememelidir.


Dijital Ortamın Sınırı

Kuruluşun dijital unsurları çerçevesinde değerlendirilebilecek bir bilgisi, kuruluşun dışında bir sokakta, dost meclisinde veya bir kafede gizliliğini korumaya devam etmelidir.

Bilgi almak isteyenlerin her yerde olduğu ve olacağı bir kuraldır. Buna riayet edin.

Hassas konular, o konuyu bilmesi gerekmeyen şahısların yanında konuşulmamalıdır. Konuşulması gereken hallerde ses disiplinine uyulmalıdır.


İç Tehditler

İç tehditleri, motifi fark etmeksizin kuruluşa zarar vermek isteyecek paydaşlar olarak değerlendirebiliriz.

Burada siber güvenlik sürecinin de parçası olan şu temel önlemleri uygulamalıyız;

  • Görevlerin ayrılması (Separation of duties)
  • En düşük erişim hakkı (Principle of least privilege)
  • Güvenlik soruşturmaları (Background check)

İç tehdit oluşturabilecek paydaşların motifleri genellikle aşağıdakilerden biri veya birkaçıdır.

  • Maddi: Maddi ihtiyaçları veya hırsları olan, maddi menfaatler ile angaje edilmiş paydaşlar
  • Tazyik: Çeşitli şahsi zaafları (kumar, alkol, uyuşturucu, seks vb.) neticesinde şantaj yapılan paydaşlar
  • Sızdırma: Bilmeyerek, çok konuşarak, övünerek, hassas bilgiyi açığa vuran paydaşlar

Tüm paydaşlara, gereksiz konuşmalar yapmaması, bir sıkıntısı olması halinde (şantaj, tehdit vb.) kuruluş içerisindeki ilgililere (direkt amiri, insan kaynakları vb.) haber vermesi/yardım istemesi, diğer paydaşların tehdit oluşturabilecek davranışları, hal veya tutumlarını ilgililere bildirmesi, adam sendecilikten kaçınması öğütlenmelidir.

Tüm paydaşlar; gizlilikte dostça iş görülmemesi gerektiğini bilmelidir.

Aynı zamanda saldırganlar/rakipler tarafından kuruluşunuza espiyonaj amacıyla sızmalar yapılabileceğini unutmayın.


İnternet’te Ayak İzi

Tüm paydaşlar için kesin suretle dikkat edilmesi gereken husus internetteki ayak izinizdir. Buradaki ayak izi, hem paydaşların şahsi ayak izleri hem de kuruluşunuza ait ayak izleridir.

Burada unutulmaması gereken temel kural: İnternete bir kere giren bilginin oradan bir daha gitmemesidir.

Günlük olarak karşınıza çıkabilecek ve konsepti daha iyi kavrayabilmeniz için örnekler:

  • Paydaşların özel hayatlarındaki sorunları / zafiyetlerini herkese açık olarak sosyal medyada paylaşması.
  • Kuruluş içerisinde fotoğraf çekmesi ve bunların sosyal medyada paylaşması.
  • Kuruluşa ait dokümanların herkese açık ortamlardan paylaşılması.
  • Paydaşlar arasında transfer edilecek kod parçasının kopyala/yapıştır platformlarından gönderilmesi.
  • Kuruluş iş ilanlarında, kullanılan teknolojilerin yazılması.
  • Yayımlanan materyallerdeki öznitelik verilerinin temizlenmemesi.

Bu tür ayak izlerinin internette bırakılmaması için alacağınız teknik önlemlerin yanında paydaşların bilinçlendirilmesi karşı koymada sizi bir adım öteye taşıyacaktır.


Okuduğunuz için teşekkür ederim. Yazıyı burada bitiriyorum. Ancak vakit buldukça yazıya eklemeler yapacağım. Herhangi bir sorunuz/öneriniz/tavsiyeniz olursa bana nasıl ulaşabileceğinizi biliyorsunuz. 🙂

Saygı ve selamlarımla,
İyi çalışmalar dilerim.