Insider Threat: KOBİ'lerde İçeriden Tehdit Tespiti

Özet: Insider threat (içeriden tehdit), kurumun kendi çalışanı, eski çalışanı veya yetkili tedarikçisi tarafından kasıtlı veya ihmal sonucu oluşan güvenlik riskidir. Üç ana kategoride ele alınır: (1) ihmal — phishing'e tıklayan, parola paylaşan iyi niyetli çalışan, (2) kötü niyet — veri çalan veya sabote eden çalışan, (3) ele geçirilmiş hesap — saldırganın çaldığı çalışan kimliği. KOBİ'lerde tespit, EDR alarmları + UEBA (Kullanıcı Davranış Analizi) + DLP + sıkı offboarding süreçlerinin birleşimiyle mümkün hale gelir; tek başına teknik araçtan ziyade insan odaklı bir disiplindir.

KOBİ sahibinin "bizde böyle şey olmaz" dediği güvenlik risklerinin başında içeriden tehdit gelir. Halbuki istatistikler tam tersini söyler: veri ihlallerinin önemli bir kısmı ya çalışan ihmali ya da ayrılan çalışan kaynaklıdır. "Mehmet 5 yıldır bizde, asla yapmaz" anlatımı duygusal olarak doğru, istatistiksel olarak güvenilir değil. Ayrıca kötü niyet bir yana, en yaygın senaryo zaten ihmal — Mehmet phishing e-postasına tıklarsa veya parolasını eski çalışana söylerse, tehdit kapıdan içeri girmiştir.

Bu yazıda KOBİ ölçeğinde içeriden tehdit kategorilerini, tespit yöntemlerini ve önleyici disiplinleri ele alıyoruz. Hedef kitlemiz IT sorumluları, İK yöneticileri ve "küçük şirket = düşük risk" varsayımını sorgulayan karar vericiler.

İçeriden Tehdit Nedir, Üç Kategorisi

Insider threat, bir kurumun ağına veya verisine yetkili erişimi olan kişiden kaynaklanan tehdittir.

Kategori 1: İhmal (Negligence)

En yaygın kategori — kötü niyet yok, ama sonuç tehlikeli.

• Phishing e-postasına tıklayan çalışan
• Parolasını başka çalışanla paylaşan
• Hassas dosyayı yanlış adrese e-posta atan
• Halka açık Wi-Fi'da kurumsal veri açan
• USB kayıp düşüren
• "Hızlı çözüm" için güvenlik kuralını esneten

Kategori 2: Kötü Niyet (Malicious)

Daha az yaygın ama daha kritik. Çalışan kasıtlı olarak zarar verir.

• Veri çalan çalışan (rakibe satma, kişisel kullanım)
• Sabotaj (sistemleri kasıtlı bozma)
• Mali sahtekarlık
• İhale/teklif sızdırma

Kategori 3: Ele Geçirilmiş Hesap (Compromised)

Çalışan masum, ama hesabı saldırganın elinde.

• Phishing ile çalınmış kimlik
• Brute force ile kırılmış parola
• Sosyal mühendislikle çalınan oturum
• Çalınmış cihaz üzerinden erişim

Üç kategori farklı tespit ve önleme stratejileri ister.

KOBİ'de Yaygın Insider Threat Senaryoları

Türkiye'deki KOBİ'lerde sıkça görülen vakalar:

Ayrılan Çalışan ve Müşteri Listesi

Satış müdürü ayrılırken kurum CRM'inden müşteri listesini USB'ye kopyalar, yeni şirkette kullanır. KVKK ihlali ve haksız rekabet davaları doğar.

IT Çalışanı ve Sunucu Erişimi

Eski IT sorumlusu işten ayrıldı, ama sunucu admin parolası değişmedi. 6 ay sonra evden hâlâ giriş yapıyor.

Muhasebe Çalışanı ve Mali Veri

Muhasebe çalışanı şirket maliyet bilgisini rakibe sızdırır. Tek bir Excel dosyasının e-postası — fark eden yok.

Phishing'e Tıklayan Müdür

CFO sahte fatura e-postasına tıklar, kimlik bilgileri çalınır. Saldırgan onun hesabıyla şirket içinde 2 hafta keşif yapar.

Geliştirici ve GitHub Sızıntısı

Geliştirici "denemek için" şirket kodunu kişisel GitHub'a yükler, içinde DB parolası var. Saldırgan bunu otomatik bot ile bulur.

Ortak Hesap ve Eski Personel

3 IT çalışanı aynı domainadmin hesabını kullanıyordu. Birisi ayrıldı, parola değişmedi.

İçeriden Tehdit Tespiti — Hangi Sinyallere Bakılır?

Davranış sinyalleri normal olmayan eylemlerden tespit edilir.

Veri Erişim Anomalileri

• Çalışan normalde 50 dosya açar, son hafta 500
• Geceyarısı dosya sunucusuna büyük indirme
• Hiç yapmadığı klasöre erişim (örnek: muhasebe çalışanı IT klasörüne)
• Hassas dosyaların USB veya bulut sürücüye toplu kopyalanması

Kullanıcı Davranış Anomalileri

• Hesap normalde Türkiye'den, ansızın ABD'den girdi (impossible travel)
• Mesai dışı saatlerde ağa bağlantı
• Yeni cihaz/IP'den giriş
• Çoklu başarısız MFA denemesi
• Yeni admin yetkisi alımı

E-posta Anomalileri

• Çalışan büyük ekleri kişisel hesabına gönderir (auto-forwarding kuralı)
• Hassas anahtar kelimeler içeren çıkış e-postası
• Müşteri/ortak listesi e-postası kişisel adrese
• Yeni e-posta forwarding kuralı (tüm gelen e-postalar dış adres)

Sistem Konfigürasyon Anomalileri

• Yeni admin kullanıcı oluşturuldu
• Loglama kapatıldı
• Yedekleme silindi
• Güvenlik aracı durduruldu

Tespit Araçları

KOBİ ölçeğinde uygulanabilir araçlar:

EDR — Endpoint Detection & Response

Cihaz seviyesinde anomali tespiti:

• Çalışanın bilgisayarında olağan dışı süreç
• Toplu dosya kopyalama tespiti
• USB cihaz tarihçesi

UEBA — User and Entity Behavior Analytics

Davranış tabanlı kullanıcı analizi:

• "Bu kullanıcının normal davranışı bu" baseline'i kurar
• Anomaliyi otomatik puanlar
• Yüksek riskli kullanıcıları öne çıkarır

KOBİ için UEBA çoğu zaman SIEM içinde modül olarak gelir (Microsoft Sentinel, Splunk UBA, Securonix).

DLP — Data Loss Prevention

Hassas verinin dışarı çıkmasını engeller:

• E-posta gateway'de hassas içerik tespiti
• USB üzerinden kopyalama engelleme
• Bulut yükleme kontrolü
• Microsoft Purview DLP, Forcepoint, Symantec

SIEM Korelasyonu

Birden fazla kaynaktan log analizi:

• Çalışan hem login etti hem büyük dosya indirdi hem yeni admin yetkisi aldı
• Tek başına her olay normal, üçü birden anormal
• Splunk, Microsoft Sentinel, Wazuh (açık kaynak)

CASB — Cloud Access Security Broker

SaaS uygulamalarındaki çalışan davranışlarını izler:

• Çalışan SharePoint'ten 1000 dosya indirdi
• Yeni harici paylaşım açtı
• M365, Google Workspace üzerinde aktif

Honey Token

Önceki yazıda detaylandırdığımız tuzak dosyalar — içeriden tehdit tespiti için de etkili.

Önleyici Pratikler — Teknolojiden Önce Süreç

İçeriden tehdit önemli ölçüde süreç ve disiplin sorunudur.

En Az Yetki Prensibi (Least Privilege)

• Çalışan sadece işi için gerekenlere erişebilir
• Departman değişiminde eski erişimler iptal edilir
• Yıllık erişim denetimi (kim hangi sisteme erişiyor?)
• Domain admin günlük kullanımdan çıkar

Ayrılan Çalışan Süreci (Offboarding)

Çalışan ayrıldığı gün:

• Tüm hesaplar deaktive (AD, e-posta, SaaS, VPN)
• MFA cihazı geri alınır
• Cihaz yedeklenir, sıfırlanır
• Erişim kartı/anahtar geri alınır
• Paylaşımlı parolalar değiştirilir
• Bulut hesapları (kişisel kullandığı kurumsal SaaS) kontrol edilir

Görev Ayrımı (Separation of Duties)

• Tek bir kişi finansal işlemleri başlatıp aynı zamanda onaylayamaz
• IT'de "değişiklik yapan ≠ onaylayan"
• Hassas işlemlerde iki kişi onayı

Kontrollü Çıkış (Off-boarding) İçin Sözleşme

• Veri taşıma yasağı sözleşmede açık
• Müşteri listesi gizlilik maddesi
• İhlal halinde yasal yaptırımlar
• Çıkış görüşmesinde imza

Eğitim ve Farkındalık

• Yıllık siber güvenlik eğitimi (zorunlu)
• Phishing simülasyonu (3 ayda bir)
• "Mavi düğme" — şüpheli e-postayı tek tıkla raporlama
• Pozitif kültür: rapor edenler ödüllendirilir, suçlanmaz

Pozitif Güvenlik Kültürü

İçeriden tehdit savunmasında en güçlü araç sıkı politika değil, sağlıklı kültürdür.

Sağlıklı Kültür Belirtileri

• Çalışanlar şüpheli e-posta gördüklerinde rahatça raporlar
• IT'ye "sorun çözmemizi engelliyor" yerine "sorun çözmemize yardım ediyor" diye bakılır
• Hatalar suçlama değil öğrenme aracı olur
• Güvenlik iletişimi açık, anlaşılır
• Yöneticiler de aynı kuralla bağlı

Sağlıksız Kültür Belirtileri

• "IT bana engel oluyor" anlatımı yaygın
• Çalışanlar güvenlik kurallarını esnetmek için yollar arar
• Yöneticiler kurallardan muaf
• Hata raporlamak utandırıcı sayılır
• Phishing'e tıklayan ifşalanır, suçlanır

Sıkı teknik kontrol + sağlıksız kültür = uzun vadede kaybedersiniz. Çalışanlar yolu bulur.

KVKK Boyutu

İçeriden tehdit yönetiminde KVKK çerçevesi:

• Çalışan izleme şeffaf olmalı (aydınlatma metni)
• Sadece meşru menfaat kapsamında izleme
• Toplanan veri minimum, sadece IT/güvenlik amaçlı
• Erişim sıkı kontrol (kim izliyor, kim raporlara bakıyor)
• Saklama süresi makul, sürenin sonunda imha
• Çalışanın kendi davranış raporuna erişim hakkı

Çalışanı gizlice izlemek hem KVKK ihlali hem de motivasyon yıkıcısıdır.

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde içeriden tehdit destek alanlarımız:

• Mevcut erişim ve insider risk denetimi
• Offboarding süreç tasarımı
• En az yetki prensibi uygulama planı
• EDR, DLP, UEBA çözüm seçim danışmanlığı
• SIEM korelasyon kuralları
• Phishing simülasyonu ve farkındalık eğitimi
• Honey token dağıtımı
• KVKK uyumlu çalışan izleme aydınlatması

Sıkça Sorulan Sorular

Sonuç

İçeriden tehdit, KOBİ'de "olmaz" denilen ama istatistiksel olarak çok yaygın olan bir kategoridir. İhmal, kötü niyet ve ele geçirilmiş hesap üç farklı tespit ve önleme yaklaşımı ister. Tek başına teknik araçlar yetmez; en az yetki, sıkı offboarding, sağlıklı güvenlik kültürü ve düzenli farkındalık eğitimi temeli oluşturur. EDR, DLP, UEBA gibi araçlar bu temeli güçlendirir, yerini almaz.

Yamanlar Bilişim olarak ölçeğinize uygun, hem teknik hem süreç boyutuyla insider threat yönetim hizmetleri sunuyor; çalışanınızla gergin değil ortak bir disiplin üzerinden, güvenliği insan boyutuyla birlikte ele alıyoruz.