Gizlilik derecesi yüksek kurumsal ve ticari verilerde oluşabilecek olası ‘sızma/sızdırılma’ vakaları, kurumların her geçen gün daha fazla önem verdikleri bir konu haline geldi. Veri erişimi ve veri transferi işlemlerinin daha çok internet ve mobil cihazlar gibi araçlar ile gerçekleştirilmesi de, veri sızıntısı vakalarının artmasında rol oynuyor.

Verinin artık sınırların çok daha kaygan olduğu ortamlarda (internet, mobil teknoloji) saklanıyor ve iletiliyor oluşu kurumlar için, kritik bilgilerin daha etkin şekilde korunması yükümlülüğünü en üst düzeye taşıyor.

Diğer yandan, BT ortamlarının karmaşık ve heterojen yapısı ise, “verinin korunmasını” ve “tehditlere karşı her an tetikte olunmasını” geçmişe oranla çok daha zor hale getiriyor. İş yapma biçimleri de artık çoğunlukla mobil ortamlarda gerçekleşen bilgi akışı ve bilgi paylaşımını gerektirdiğinden, iş dünyasında bu işlemlerin güvenli bir şekilde yürütülmesini sağlayan BT güvenlik ekiplerinin etkin çalışmalarına eskisinden çok daha fazla ihtiyaç duyuluyor.

KASIT YOK, İHMAL VAR
Kurumlarda görülen veri sızıntısı vakaları yaygın kanının aksine daha çok, çalışanların bilinçli ve bilinçsiz bir şekilde gerçekleştirdikleri ihmaller sonucunda kurum ağlarında oluşan güvenlik açıklarından kaynaklanıyor.

Çalışanların “bilinçsiz” bir şekilde neden oldukları veri sızıntıları ise daha büyük bir problem teşkil ediyor. Bu tür riskleri minimuma indirmenin formülü ise elbette, kurum içinde oluşturulacak iç prosedürlerin, yasal yükümlülüklerin ve kurumlara kritik bilgilerini korumaları yönünde zorunluluklar yükleyecek olan bir takım düzenlemelerin en etkin şekilde inşa edilmesi ve uygulanması şeklinde tanımlanıyor.

Kurum çalışanlarının farkında olmadan güvenlik politikalarını ihlal etmeleri sonucunda oluşan vakalar, veri sızıntılarının gerçekleşmesine neden olan en önemli faktör olarak ilk sırada yer alıyor. Veri sızıntısı vakalarının daha çok işten ayrılan ya da işten çıkarılan eski çalışanlar tarafından gerçekleştirildiği belirten; dolayısıyla bu tür vakaların ekonomik krizle birlikte.

2008 yılı itibariyle büyük artışa geçtiğini vurgulayan Ponemon Enstitüsü’nün araştırmasına göre ise, veri sızıntılarına ilişkin her örnekte bu tür vakaların %88’si “İhmalden” kaynaklanıyor.

Kurum çalışanlarının bilinçli eylemleri sonucu oluşan veri sızıntıları vakaları ise gün geçtikçe önemli boyutlara ulaşıyor. Buna paralel olarak veri sızıntılarının iş kaybına olan etkisinde ve dolayısıyla yaşanan mali kayıplar açısından da kurumlar için önemi artan bir sorun haline geliyor.

HER SIZINTIDA 225 DOLAR ZARAR
Ponemon Enstitüsü’nün araştırmasına göre, ihmalden kaynaklanan her bir veri sızıntısı kaydında tespit edilen mali kayıp 199 dolarken, zararlı kod aktiveleri sonucunda oluşan her bir sızıntı kaydında ise bu rakam 225 dolara çıkıyor.

Verinin “her yerde” olduğu, ve her şeyin birbirine bağlandığı günümüz dünyasında, sofistike hacker saldırılarına karşı bilgi varlıklarını korumak gün geçtikçe zor bir görev haline gelmiş bulunuyor. Organize siber suçların artmasından yola çıkarak, hedefli saldırıların daha çok “kimlik hırsızlığı” yapmak amacıyla bu gibi detayların olduğu bilgileri ele geçirmek üzere gerçekleştirildiği biliniyor. 2008 yılında meydana gelen veri sızıntı vakalarının %90’ından fazlasında, emniyet birimleri bu saldırıları organize suç kapsamında değerlendirmeye tabi tutuyor.

Bu tür saldırılar, kurum ağlarına (izlenmeyen, saptama yapılmayan) sızan ya da hacker sitelerinden kurum ağlarına alınan (farkında olmadan) zararlı kodlar yardımıyla yürütülüyor. 2008 yılında bilgi güvenliği ve antvitüs firması Symantec, 1.6 milyondan fazla yeni zararlı kod imzası yaratmış ki bu rakam Symantec tarafından son 17 yılda yazılan toplam zararlı kod imzalarından fazlasını oluşturuyor. Symantec, 2008 yılında dünya genelinde ayda ortalama 245 milyondan fazla zararlı kod aktivitesini bloke etmiş.

ÖNLENEMEZ DEĞİL
Veri sızıntısı vakalarına ilişkin oluşan algılar (popüler söylem) ise daha çok şu bakış açısı etrafında yoğunlaşıyor: “veri sızıntıları, her şeyin birbirine bağlandığı günümüz dünyasında kullanılan araçlardan dolayı kaçınılmazdır ve iş yapmanın bir bedelidir; dolayısıyla bu gibi vakalarla yaşamayı öğrenmek durumundayız.”

Oysa gerçekler daha farklı. Symantec’in güvenlik uzmanları, Global İstihbarat Ağı ve müşterilerle yaşanan tecrübelerden yola çıkılarak ortaya çıkan gerçek bilgi ise konuya ilişkin çok daha güvenli ve gerçekçi bir yaklaşım sergiliyor: Çoklu çözümlerin bir araya geldiği ve birlikte çalıştığı risk tabanlı ve içerik farkındalıklı bilgi güvenliği stratejisi ile veri sızıntıları elbette önlenebilir.