Şirketler harici siber güvenliğe büyük yatırımlar yaparken, meşru erişime sahip çalışanların ve yüklenicilerin oluşturduğu riskler genellikle yeterince ele alınmamaktadır. Bu yazıda, yapılandırılmış bir dâhili tehdit çalışma grubunun [insider threat working group], farklı departman çabalarını, tehditleri erkenden belirleyen, yanıtları etkili bir şekilde koordine eden ve kurumsal güvenliği sürekli olarak iyileştiren tutarlı bir stratejiye nasıl dönüştürebileceği araştırılmaktadır.

Şirketler için dâhili (içeriden kaynaklanan) tehditler [insider threats], özellikle uzaktan çalışmanın artmasıyla birlikte giderek artan bir endişe kaynağı haline geliyor. Genellikle dâhili tehditler, şirket sistemlerine erişimi olan bir çalışan veya üçüncü taraf bir yüklenici gibi birinin, verileri çalarak, sistemleri bozarak veya politikaları ihlal ederek şirkete zarar vermek için bu erişimi kasıtlı veya kasıtsız olarak kötüye kullanması sonucu oluşan güvenlik veya siber güvenlik risklerinden oluşur.

Dâhili tehditler genellikle kötü niyetli yani kasıtlı veya ihmale bağlı yani kasıtsız [malicious (intentional) or negligent (unintentional)] olarak adlandırılır. Kötü niyetli bir içerideki, casusluk gibi yollarla şirkete zarar verme konusunda kasıtlı bir niyete sahiptir. İhmalkâr bir içerideki ise, güvenlik politikalarına ve protokollerine uymamak gibi dikkatsizlik nedeniyle hassas verileri istemeden ifşa eder. İster kötü niyetli ister ihmale bağlı olsun, bu tehditler bir şirketin itibarına zarar verebilir, son derece gizli verileri tehlikeye atabilir ve uzun ve maliyetli düzenleyici soruşturmalara ve davalara yol açabilir.

Şirketlerin dâhili tehditleri tanıma konusunda akıllı olmaları gerekir. Potansiyel dâhili tehditlerin belirtileri arasında iş sorumlulukları dışında bilgilere erişim, büyük miktarda veri indirme, verilere alışılmadık erişim kalıpları, özellikle bir şirketin sistemleri söz konusu olduğunda hoşnutsuz davranış veya şüpheli aktivite yer alır.

İçeriden kaynaklanan tehditleri azaltmanın birçok yolu vardır; bunlara güçlü veri erişim kontrolleri, çalışanlara ve üçüncü taraflara güvenlik önlemleri konusunda eğitim verilmesi, sıkı geçmiş kontrolleri ve tarama süreçleri (yasaların izin verdiği yerlerde) ve çalışanlar için çıkış görüşmeleri ve zamanında veri erişim kısıtlamaları gibi çıkış prosedürleri dâhildir. Bu azaltma araçlarını uygulamaya koymanın yanı sıra, şirketlerin yukarıda belirtilen potansiyel içeriden kaynaklanan tehdit belirtilerine karşı yüksek alarmda olması gerekir.

Deneyimime göre, dâhili tehditlerle mücadele etmek için işlevler arası çabaları koordine etmek, en iyi şekilde bir dâhili tehdit çalışma grubu oluşturmakla çalışır. Sınıflandırılmış bilgileri işleyen kuruluşlar için yasa gereği zorunlu olsa da [bkz. National Industrial Security Program Operating Manual-NISPOM[1] (Ulusal Sınai Güvenlik Programı İşletme Kılavuzu)], bir dâhili tehdit çalışma grubu diğer şirketler için de son derece önerilen bir en iyi uygulamadır. Bu işlevler arası ekip, yasal uyumu sağlarken dâhili tehditleri önlemek, tespit etmek ve bunlara yanıt vermek için birlikte çalışan fiziksel güvenlik, insan kaynakları (İK), bilgi teknolojisi (BT)/bilgi güvenliği, hukuk ve yasal uyum temsilcilerini içerir.

Bir dâhili tehdit çalışma grubunun temel sorumlulukları şunlardır:

a) Risk tanımlama ve değerlendirme [risk identification and assessment]

Dâhili tehdit çalışma grubu, alışılmadık oturum açma konumları, sık sık politika ihlalleri veya iş arkadaşlarıyla çatışmalar yaşayan çalışanlar, hoşnutsuz çalışanlar veya üçüncü taraflar ve çalışanların veya üçüncü tarafların artan verileri veya işleriyle ilgili olmayan verileri indirmesi gibi olası dâhili tehdit risklerini belirler. Bunu yapmak için, dâhili tehdit çalışma grubu ile hukuk, yasal uyum, İK ve BT ekipleri arasında yakın bir işbirliği gereklidir. Örneğin, dâhili tehdit çalışma grubunun, şirketin yabancı veya beklenmeyen konumlardan gelen IP (Internet Protocol) adreslerini işaretlemesini sağlamak için BT ile birlikte çalışması gerekir ki; bu, çalışanın normal alanının dışından uzaktan çalışma olduğunu gösterebilir.

b) Dâhili tehditlere karşı politikalar geliştirme [developing insider threat policies]

Dâhili tehdit çalışma grubu, içeriden kaynaklanan tehditleri önlemek, tespit etmek ve ele almak için politikalar oluşturmak ve yürürlüğe koymak için işbirliği yapar. Şirketler, erişim kontrolleri, parola politikaları, çok faktörlü kimlik doğrulama, izleme yönergeleri ve kabul edilebilir kullanım kuralları dâhil olmak üzere sistemlerin ve verilerin kabul edilebilir kullanımını tanımlayan net güvenlik politikaları oluşturmalıdır. Ayrıca verilerin işlenmesi, depolanması ve aktarılmasıyla ilgili politikalar da olmalıdır. Şirketler ayrıca, kullanıcıların yalnızca işlerini yapmak için ihtiyaç duydukları verilere erişmesine izin veren ve daha fazlasına izin vermeyen en az ayrıcalık ilkesine uymalıdır. Yine, politikalar ve kontroller ihlal edildiğinde, ilgili ortaklar ve üçüncü taraflar için gerçek sonuçların olması önemlidir.

c) Tespit ve izleme koordinasyonu [detection and monitoring coordination]

Dâhili tehdit çalışma grubu, politika uyumunu izlemek ve şüpheli IP adreslerinden oturum açma gibi hileli faaliyetleri tespit etmek için ilgili ekiplerle işbirliği yapar. Çalışan davranışlarını izlemek ve alışılmadık veya şüpheli davranışları belirlemek için BT ile birlikte sistemler uygulamalıdır. Ayrıca, içeriden kaynaklanan tehditleri veya ihlalleri hızla belirlemek, maruz kalma riskini sınırlamak ve düzeltmek için net olay yanıt prosedürleri olmalıdır. Buna ek olarak, fiziksel güvenlik, yalnızca uygun kimliğe sahip olanların iş bilgilerini içeren alanlara erişmesine izin vererek önemli bir rol oynar. Yetkisiz erişimi caydırmak ve tespit etmek için izleme teknolojileri mevcut olmalıdır. Ayrıca, dâhili tehdit çalışma grubu, güvenlik açıklarını belirlemek ve politikalara uyumu sağlamak için düzenli denetimler yürütmek üzere iç denetimle birlikte çalışmalıdır.

ç) Olay müdahalesi ve soruşturma [incident response and investigation]

Dâhili tehdit çalışma grubu, kuruluşun içeriden kaynaklanan tehditlere verdiği yanıtı koordine eder, soruşturmaların yasal standartlara uygun şekilde yürütülmesini ve hasarı en aza indirmek ve verileri korumak için uygun eylemlerin yapılmasını sağlar. Dâhili tehdit çalışma grubu ayrıca, tüm sorumluluk alanlarında en iyi uygulamaların kullanıldığından emin olmak için diğer kuruluşlarla kıyaslama yapabilir.

d) İçeriden kaynaklanan tehditlerin önlenmesi [prevention of insider threats]

Önleyici tedbirler arasında çalışan ve üçüncü taraf geçmiş kontrolleri (ilk ve tekrarlayan), taramalar, sahte kimlikleri tespit etme, çıkış görüşmeleri ve çalışan ve üçüncü taraf davranışlarını izleme yer alır. Dâhili tehdit çalışma grubu, kapsamlı önleyici stratejilerin yerinde olduğundan emin olmak için İK ve BT gibi ekiplerle işbirliği yapar. Ayrıca, dâhili tehdit çalışma grubu veri kaybını veya sızdırılmasını tespit etmek ve önlemek için veri kaybı önleme [data loss prevention] çözümlerini savunabilir. Dâhili tehdit çalışma grubu ayrıca, öğrenilebilecek dış dersleri ve potansiyel önleyici tedbirleri belirlemek için diğer kuruluşlardan gelen dolandırıcılık, içeriden kaynaklanan tehditler vb. vakalarını inceler.

e) İşlevler arası işbirliği [cross-functional collaboration]

Çeşitli işlevlerden dâhili tehdit çalışma grubu üyeleri, içeriden kaynaklanan tehditlere bütünsel bir yaklaşım sunar. Dâhili tehdit çalışma grubundaki ekipler, olaylar ortaya çıktığında değerlendirmeden önlemeye ve soruşturmaya kadar tüm ilgili faaliyetlerde yer alan kişilerdir. Ayrıca, bilgilerin ilgili işlevlerinde hızla yukarı veya aşağı doğru aktarılmasına olanak tanırlar. İçyüzünü anlamalar, geçmiş deneyimleri ve etkili stratejileri paylaşarak ekip, içeriden kaynaklanan tehditleri azaltma ve sınırlama amacıyla kuruluş genelinde sürekli öğrenme ve iyileştirme kültürünü teşvik eder.

f) Eğitim ve farkındalık [training and awareness]

Dâhili tehdit çalışma grubu, şüpheli faaliyetleri tanıma ve bildirme konusunda çalışan ve muhtemelen üçüncü taraf eğitimlerinin oluşturulması ve teşvik edilmesinde hayati bir rol oynar. İçeriden kaynaklanan tehditler ve şirketin güvenlik politikaları hakkında düzenli eğitimler yapılmalıdır. Bir diğer fırsat alanı da çalışanların güvenliğin önemini ve veri ve sistemleri korumadaki rollerini gerçekten anladıkları bir güvenlik kültürü oluşturmaktır. Ayrıca, dâhili tehdit çalışma grubu çalışanların misilleme korkusu olmadan tehditleri bildirirken kendilerini güvende hissetmelerini sağlamak için hukuk, İK ve yasal uyumla birlikte çalışır.

g) Sürekli iyileştirme [continuous improvement]

Herhangi bir içeriden kaynaklanan tehdit olayından sonra, dâhili tehdit çalışma grubu öğrenilen dersleri yakalamak ve iyileştirme fırsatlarını belirlemek için geriye dönük bir inceleme gerçekleştirir. Öğrenilen bu dersler, kıdemli yönetim dâhil olmak üzere dâhili tehdit çalışma grubu dışındaki ilgili ekip üyeleriyle paylaşılmalıdır. Dâhili tehdit çalışma grubu, kendi deneyimlerinden ders çıkarmanın yanı sıra, diğer şirketlerde meydana gelen yeni içeriden kaynaklanan tehditler hakkında bilgi sahibi olmaya devam etmeli ve buna göre politikalarını ve sistemlerini güncellemelidir.

ğ) Harici gruplarla işbirliği [collaboration with external groups]

Dâhili tehdit çalışma grubu, en iyi uygulamaları ve istihbaratı paylaşmak için üst düzey yönetimin girdisi ve desteğiyle sektör grupları ve devlet kuruluşlarıyla işbirliği yapmalıdır. Bu hassas bir alan olabilir, bu nedenle dâhili tehdit çalışma grubu, harici gruplara bilgi sağlama kararı verilmeden önce üst düzey yönetim de dâhil olmak üzere tüm ilgili ekip üyelerine danışıldığından emin olmalıdır.

Açıkça, dâhili tehdit çalışma grubunun yapması gereken çok fazla iş vardır. En azından üç ayda bir toplanmalı ve daha büyük gruptan girdi alarak net gündemler, öncelikler ve zaman çizelgeleri belirleyen bir lider olmalıdır. Dâhili tehdit çalışma grubunun çalışmaları, üst düzey yönetime ve hatta denetim komitesine veya diğer yönetim kurulu komitesine sunulan bir raporun parçası olabilir. Bu tür işlevler arası işbirliği, içeriden kaynaklanan tehdit riskinde önemli bir azalmaya yol açabilir.

[1]<https://www.federalregister.gov/documents/2020/12/21/2020-27698/national-industrial-security-program-operating-manual-nispom>.

Yavuz Akbulak

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.