Genel 22 TEMMUZ 2009 / 06:05

Bilgi güvenliği ihlalinde üç temel neden

Trend Micro Kıdemli Tehdit Analisti Rik Ferguson bilgi güvenliği ihlali konusunda: "İnsanlarda bilinç eksik, şirketler fazla rahat ve temel nedenlere bakılmıyor" diyor.

Trend Micro Kıdemli Tehdit Analisti Rik Ferguson bilgi güvenliği ihlali konusunda: "İnsanlarda bilinç eksik, şirketler fazla rahat ve temel nedenlere bakılmıyor" diyor.


Trend Micro Kıdemli Tehdit Analisti Rik Ferguson, şirketin "CounterMeasures" isimli web sitesinde yayınlanan blogunda, bilgi güvenliği ihlallerinin temelde üç nedenden kaynaklandığını söylüyor: bilinç eksikliği, kayıtsızlık ve temel neden analizi yapılmaması.


İnsanlarda bilinç eksik


Ferguson, hem kurum hem de son kullanıcı seviyesinde görülen bilinç eksikliğini birinci neden olarak konumlandırıyor ve şunları söylüyor: "Her zaman bir şirketin en etkili güvenlik aracının eğitim olduğunu söylemişimdir. İşletmeler, tehdidi, sandıkları gibi değil, gerçekten bugünkü haliyle anlamalılar. Kullanıcılarının, interneti ve internet kaynaklarını bilinçli ve dikkatli bir şekilde kullanacak derecede eğitimli olduğundan ve teknolojik bir çözüme körü körüne inanmadığından emin olmalılar. İnsanlar, virüslerin nasıl görünmeden bulaşabileceğinin farkında olmalı ve virüs kurbanı olduklarından şüphe ettiklerinde nereye gideceklerini bilmeliler."


Şirketler fazla rahat


Ferguson, ikinci nedeni kayıtsızlık olarak özetliyor. Özellikle veri kaybı söz konusu olduğunda kurumlarda bir rahatlık görülüyor. Pek çok şirket, "insan yapısı" tehdit içeren yazılımlardan dolayı ciddi kayıplara uğruyor. Bu maddenin, eğitimle yakın ilişkisi bulunuyor. Şirketin, sorumluluğunu taşıdığı verileri koruması, önem ve yasal açıdan zorunluluk taşıyor. Bu veriler, pek çok kategoride olabiliyor: kişisel olarak tanımlanabilen bilgiler, telif hakları, kurumsal veriler, devlet bilgileri ya da ulusal açıdan hassas bilgiler, finansal sonuçlar, oturum açma yetkileri, hasta ya da müşteri bilgileri, vb. Her şirket, kendine has bir veri yapısına sahip bulunuyor. Bu verilerin, hem dikkatsiz, hem de tehdit içeren kullanımlardan korunması gerekiyor.


Temel nedene bakılmıyor


Ferguson, üçüncü ve son maddeyi, temel neden analizi yapmamak olarak açıklıyor. Geleneksel güvenlik çözümlerinde, sunucu ya da istemci, tehdit içeren yazılımları ortaya çıkarmaya, engellemeye ve/veya temizlemeye odaklanıyor; ama, etkili bir temel neden analizi yapılmıyor. İnsanların, tehdit içeren yazılımların nereden geldiğini bilmeleri gerekiyor. Sorun, program indirmekten mi, bir USB sürücüden mi, e-postadan mı, anında mesajlaşmadan mı, yoksa başka birşeyden mi kaynaklanıyor? "X makinesine Y yazılımı bulaştı; ama sizin yerinize temizledim, endişelenmeyin" demek yeterli olmuyor. Bu durum, şirkete, bu kez tehlikeyi atlatmanın rahatlığını yaşatabiliyor; ama, güvenliği artırmak, riski azaltmak ve benzeri virüslerin tekrar bulaşmasını önlemek için gerekli bilgiyi sağlamıyor. Akıllı bir güvenlik çözümünün, makinedeki hareketleri izlemesi ve bir sıfır gün istismarının gecikmeli ortaya çıkarılması durumunda bile ayrıntılı temel neden analizi sunabilmesi gerekiyor.