Veri sızıntısı, kuruluşların bugün karşı karşıya olduğu en önemli korkulardan biridir. Verilerin kasıtlı olarak veya yanlışlıkla dışarı sızmasını önlemek için "Veri Sızıntısı Önleme (DLP)" teknolojileri geliştirilmiştir. Veri sızıntısı önleme sistemleri, adanmışlık ve proaktiflik açısından güvenlik duvarları, saldırı tespit sistemleri gibi geleneksel güvenlik kontrollerinden farklıdır. Geleneksel güvenlik kontrolleri, verilerin gerçek içeriğine daha az oranda odaklanırken DLP sistemleri ile tanımladığımız veriyi görüntüleyen, yazdıran, e-posta gönderen, web sitelerine yükleyen veya USB yoluyla taşınabilir belleklere kopyalayan kullanıcı bilgilerinin tespit edilmesi mümkündür.

Ülkemizde yeni yeni popülerleşen bu çözümlerle ilgili olarak WSJ Custom Studiosun 2015 yılında yayınladığı Protecting Corporate Information in the Cloud raporuna göre işletmelerde;

• Şirket belgelerini bir USB sürücüye yüklenmesi: %53,

• Kişisel bir e-posta adresinden şirket belgelerinin e-posta ile gönderilmesi: %51,

• Şirket belgelerinin ticari dosya paylaşım sitelerine yüklenmesi: %44,

• Şirket bilgi ve belgelerinin sosyal medya üzerinden paylaşılması %38,

• Şirket bilgi ve belgelerine erişmek için personelin kendi kişisel cihazlarını kullanması %50,

Oranında olduğu görülmüştür.

Organizasyonlarda DLP projeleri ile aşağıda belirtilen başarı kriterleri hedeflenmelidir;

• Bilgi sızma olaylarının anında takibi

• Kurumsal farkındalık yaratmak

• Kullanımdaki bilgilerin kritiklik derecelendirmelerinin belirlenmesi ve korunması

• Veritabanları ve dosya sunucuları gibi veri alanlarında depolanan bilgilerin kritiklik derecelendirmelerinin tanımlanması ve korunması

• Ağ üzerinden akan bilgilerin tespiti, sınıflandırılması ve korunması

• Veri sınıflandırmalarının ve güvenlik politikalarının periyodik olarak yenilenmesi

• Kontrol ve yönetim araçlarının yeterliliğinin denetlenmesi

Veri kaybını önleme teknolojileri (DLP), hem yapılandırılmış hem de yapılandırılmamış verileri denetleyebilir. Örneğin yapılandırılmış veri; 12345678998 gibi 11 basamaklı bir TC kimlik numarası olabilir. Yapılandırılmamış veriler ise kelimeleri, elektronik tabloları, pdf dosyaları, resim dosyaları veya biçiminin anlamının önemli bir bileşeni olmadığı her türlü kaydı içerir. İlk olarak, DLP bir kuruluş genelinde önemli ve kritik bilgi varlıklarını keşfeder, Ardından üç önemli aşamada ilgili politikalarla veri sızıntılarını önlemek için uygulanmaya başlar: Hareket halindeki veriler, duran veriler ve son kullanıcı hareketleri.

Hareket Halindeki Veriler, kablo seviyesinde bir tür politika çalışmasıdır. Bilgi, dosya sunucuları, web uygulamaları, elektronik postalar, anlık mesajlar ve diğer birçok iletişim aracı tarafından taşınır. Burada koruma, hassas olmayan iletişim akışını kısıtlamadan giden yönde hassas verileri izlemek, şifrelemek, filtrelemek ve engellemek için ağ geçitlerinde çözümler uygulamayı içerir.

Duran verilen DLP tarafından keşfedilir. Bilgiler sunucularda, veritabanlarında, masaüstlerinde, dizüstü bilgisayarlarda, USB sürücülerinde, diğer veri havuzlarında, bunların tüm yedek kopyalarında ve arşivlerinde sonsuza kadar yaşayabilir. Hassas veriler keşfedildikten sonra DLP tarafından Önleme uygulanır.

Son Kullanıcı Hareketleri, veri bir son kullanıcı terminalindeyken (bir dizüstü bilgisayar, masaüstü veya başka bir bilgi işlem platformu) veya üzerinde çalışılıyorken korunmalıdır. Buradaki koruma, örneğin bir USB sürücüsüne bilgi kopyalanması veya kurumsal ağın dışına bağlıyken hassas veriyi yazdırma girişimlerini engelleyerek (ajan vasıtası ile) ve bildirerek uç noktada kullanımı güvenli hale getirmek demektir.

DLP sistemlerinde güçlü merkezi yönetim panellerinin olması önemlidir. Günümüzde hemen hemen her organizasyon BT alanında eksik insan gücünden muzdariptir. Yeni bir ürününüz varsa, bu yeni şeylere ihtiyacınız olduğu anlamına gelir. Merkezi yönetim, personelinizin sorumluluğunu azaltabilir. Personel maliyetini düşürmek için aynı ekrandan politikalar, raporlar veya veri filtreleri oluşturmanız, güncellemeniz veya devre dışı bırakmanız gerekir.

Yedekleme ve Depolama Gereksinimleri birçok projede olduğu gibi DLP projelerinde de veri depolama ihtiyaçlarına yönelik yatırımlar yapılmalıdır. Veri saklama politikanız verilerin birkaç yıl saklanması gerektiğini belirtiyorsa, DLP donanım veya yazılım cihazlarının terabaytlarca veriyle uğraşması gerekir. Bu durum sadece bazı performans sorunlarına neden olmakla kalmaz, aynı zamanda maliyetli olur. DLP sisteminiz için bir arşivleme ve yedekleme politikanız olması gerekir.

Kurulum ve dağıtım Adımları, Sağlıklı sonuçlar almak ve false pozitiflerle kullanıcıyı rahatsız etmemek için öncelikle son kullanıcılara ajan kurulmadan veri kaybı önleme projesini monitör modunda uygulamaya karar vermelisiniz. Ağ, web ve epostayı (hareket halindeki veriler) denetime aldıktan sonra, ajanları son kullanıcılara dağıtmaya karar verebilirsiniz. Ajanların dağıtımına pilot birim veya bölgelerden başlanması ve adım adım ilerlenmesi doğru bir yaklaşım olacaktır. Ajanlar vasıtası ile elde edilen uç nokta görünürlüğü, çalışan etkinliği hakkında inanılmaz derecede gelişmiş bilgiler sağlayarak sıra dışı olan her şeyi tanımlar. Faaliyet kalıplarının ne zaman değiştiğini fark eder ve hatta bir personelin işi terk etmeye ne zaman hazırlandığını doğru bir şekilde tahmin bile edebilirsiniz. (Bir personel tüm bilgileri kopyalıyorsa.).

Çalışanların Veri Kaybını Önleme Projesi Hakkında Bilgilendirilmesi önemlidir. Organizasyonda kullanılan işletim sistemi başlangıcında uyarı konulabilir. Kullanıcıları veri kaybını önleme projesi hakkında bilgilendirmek için işletim sistemleri başladığında masaüstlerinde açılır uyarılar gösterebilirsiniz.

Afişler ve Posterler, verilerin önemini, verilerin nasıl kullanılacağını/önleneceğini ve veri önleme projenizi açıklayan afiş ve posterler kullanabilirsiniz.

Kullanıcılara asıl amacınızın onları izlemek değil verileri korumak olduğunu açıklayan bir e-posta gönderebilirsiniz. DLP gibi projelerin başangıcında son kullanıcı endişelenebilir, rutin işlerini aksatabilir. Bu aksaklığın üstesinden gelmek için son kullanıcının endişesini azaltmalısınız

Daha etkin bir şekilde veri sızıntılarını azaltmak ve mevzuata uyum sağlamak için veri kaybını önleme projeniz, ön görülen yaptırımlar, veri sızıntısı olursa verilecek cezalar ile ilgili bilgileri içeren en üst yetkiliden imzalanmış iç emir yayınlamalısınız. Devamında tüm çalışanlara bu iç emri dağıtarak imzalarını alıyor olmalısınız.

Kurulumlar ve duyurular yapıldıktan sonra her birimde veri sızıntısı önleme komisyonlarının kurulması faydalı olacaktır. Bunu tecrübelerime dayanarak öneriyorum. Çünkü yoğun iş temposunda çalışanlar veya yöneticiler DLP projesinin gereklerini yeterince yerine getiremeyebilirler. Belirli periyodlarda toplanan bu komisyonlar olayları hukuk departmanına iletmeye veya son kullanıcıya ihmalini bildirip bildirmemeye karar verebilirler.

İlgili Mevzuat:

• 5651 sayılı internet yoluyla işlenen suçlar kanun

• 6698 sayılı kişisel verileri koruma kanunu (KVKK)

• 5237 sayılı Türk Ceza Kanunu’nun 135 ve 140. maddeleri

• Cumhurbaşkanlığı iletişim tedbirleri genelgesi

• Bilgi toplum dairesi eylem planları

• Ulaştırma ve Haberleşme Bakanlığı siber güvenlik strateji belgesi ve eylem planları

• 11. Kalkınma planı

• Sayıştay Denetimleri

• İç Denetim Birimlerinin görüşleri

• Teftiş Kurullarının görüşleri

Veri Sızıntısı Engelleme Yazılımı tarafından uygulanabilecek politikalar aşağıda listelenmiştir.

1. Genel Casus Yazılım Yükleme Siteleri (Common Spyware Upload Sites) : Yaygın casus (spyware) sitelerine erişimleri tespit edip, vaka (incident) oluşturur. Çok kullanılan casus siteleri sistemde tanımlıdır.
2. Gizli Belgeler (Confidential Documents): Doküman dosyalarında, Ulaştırma Denizcilik ve Haberleşme Bakanlığının Bilgi Varlıklarının Gizlilik Derecelerinin Sınıflandırılması Kılavuzunda yer alan ÇOK GİZLİ, GİZLİ, HİZMETE ÖZEL, KİŞİYE ÖZEL anahtar kelimeleri (keywords) varsa tespit edip, vaka oluşturur.
3. Şifrelenmiş Veriler (Encrypted Data): Şifrelenmiş (Encrypted) dökümanları tespit edip vaka oluşturur.
4. Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA and HITECH): İlaç isimleri, hastalık isimleri, tedavi isimleri veya ilaç kodları, bir TC no ile birlikte yer alıp dış ortama aktarılırsa tespit edip vaka oluşturur.
5. Yasadışı İlaçlar (Illegal Drugs): Yasadışı ilaç/uyuşturucu isimlerini tespit edip vaka oluşturur.
6. Ağ Diyagramları (Network Diagrams): Microsoft Visio vb çizimlerin yanında IP adresi bilgisi yer alıp dış ortama aktarılırsa tespit edip vaka oluşturur.
7. Ağ güvenliği (Network Security): Network güvenliği/hacking ile ilgili kullanılan anahtar kelimeleri veya KeyLogger programlarının logladığı verilere benzer verileri tespit edip vaka oluşturur.
8. Şifreli Dosyalar (Password Files): Dosya eki olarak "passwd" veya "shadow" isminde bir dosya varsa veya dosya içeriği "passwd", "shadow", veya "SAM" dosyalarının biçimindeyse tespit edip vaka oluşturur.
9. Kredi Kartı Endüstrisi Veri Güvenliği (Payment Card Industry Data Security) : 10 adetten fazla Kredi Kartı bilgisi yer alıp dış ortama aktarılırsa tespit edip vaka oluşturur.
10. Finansal Veriler (Sarbanes): Finansal verilerin (ödeme emri belgesi, fatura vs…) dış ortama aktarılması durumunda tespit edip vaka oluşturur.
11. Yazılım Kaynak Kodları (Source Code) : Java, Perl, C#, PHP ve bunun gibi organizasyonunuzda kullanılan programlama dillerinin kaynak kodlarının dış ortama aktarılması durumunda tespit edip vaka oluşturur.
12. Kişisel Veriler: KVKK kanunu kapsamında kişisel veri ya da nitelikli kişisel veri kapsamına giren verilerin dış ortama aktarılması durumunda vaka oluşturur.
13. Kurum Verileri: Sızması halinde Kurumu maddi ve manevi zarara uğratacak her türlü veri (her kurum yaptığı işe göre kendisi karar vermelidir.)

Sonuç olarak veri kaybını önleme, kuruluşların hassas verilerini korumak için en önemli çözümlerden biridir. Ancak, veri kaybı önleme projeleri sadece zaman almakla kalmaz, aynı zamanda bazı zorlukları da beraberinde getirir. Son kullanıcıların tepkileri, yöneticilerin ve denetçilerin DLP temsilcilerine karşı direniş gibi bir çok sorunla karşılaşabilirsiniz. Üst yönetici sponsorluğu her projede olduğu gibi DLP projelerinde çok önemlidir. Bu destek olmadan tam anlamı ile DLP projelerini hayata geçirmek çok zor olmaktadır. Bununla beraber BT biriminde sorunları çözmek ve DLP sistemini yönetmek, iş birimlerinde ise sızıntıları izlemek amacı ile birer ekip kurmak gerçekten önemlidir. Aksi takdirde olayları gözden geçirmez ve ürününüzün yönetim konsolunu kontrol etmezseniz DLP projesi ile yapılan onca yatırım başlangıçta hedeflediğiniz kazanımlara ulaşmanıza yetmeyebilir.