Kişisel güven, kurumsal alanda yerini politikalara bırakır. Bireylerin birbirlerine güvendiği bir kültürde bunu kurumsal alanda devam ettirmeleri olası riskleri meydana getirir. Bilgisayarımızın şifresini başka birine teslim etmek isteyebiliriz. Olağan durumlarda problem gözükmeyebilir, ancak yaşanan olaylar ve edinilen tecrübeler bunun doğru olmadığını ispatlamaktadır.

Kevin D. MITNICK ve William L. Simon tarafından kaleme alınan ve Nejat Eralp Tezcan tarafından Türkçeye çevirilen “Aldatma Sanatı” kitabındaki örneği inceleyelim:

————————–

1978 yılında bir gün Rifkin, Pasifik Hisseleri’nin yalnızca yetkili personelinin girebildiği ve odadakilerin her gün milyarlarca dolar tutarında havale gönderip aldıkları havale odasına doğru yollandı. Ana bilgisayarın çökmesi olasılığına karşı, havale odasının verileri için yedekleme sistemi geliştirecek bir şirkette sözleşmeli olarak çalışıyordu. Bu görevi, banka yetkililerinin havaleleri nasıl gönderdikleri de dahil olmak üzere, tüm havale süreçlerini öğrenmesini sağlamıştı. Her sabah havale yapmaya yetkili banka çalışanlarına, havale odasını aradıklarında kullanmaları için, özenle korunan günlük bir şifrenin verildiğini öğrenmişti.

Havale odasındaki memurlar her gün değişen şifreyi ezberlemek için kendilerini yormuyorlardı: Şifreyi küçük bir kâğıda yazıp kolayca görebilecekleri bir yere asıyorlardı. Kasım ayının tam o gününde Rifkin’in odayı ziyaret etmesinin özel bir nedeni vardı. O kâğıda bakmak istiyordu.

Havale odasına gelerek, çalışma süreçleriyle ilgili notlar aldı; güya yedekleme sisteminin olağan sistemlerle tam olarak örtüştüğünden emin olmak istiyordu. Bu sırada asılı kâğıttaki güvenlik şifresini gizlice okudu ve ezberledi. Birkaç dakika sonra dışarı çıktı. Daha sonra söylediğine göre, o an kendini piyangoda büyük ikramiyeyi kazanmış gibi hissetmişti. Bir de İsviçre’deki şu banka hesabına…

Öğleden sonra saat üç sularında odadan çıkmış, doğruca binanın mermer kaplamalı girişindeki telefon kulübelerine gitmiş, telefona jeton atarak havale odasının numarasını çevirmişti. Sonra, telefonda başka bir kılığa bürünmüş, kendini, banka danışmanı Stanley Rifkin’den, bankanın Uluslararası İşlemler Birimi’nin bir çalışanı olan Mike Hansen’a dönüştürmüştü. Bir kaynağa göre, yapılan görüşme aşağıdaki gibi gelişmişti:

“Merhaba, ben uluslararası işlemler’den Mike Hansen,” dedi Rifkin, telefonun diğer ucundaki genç kadına.

Kadın ofis numarasını istedi. Bu olağan bir soruydu ve Rifkin hazırlıklıydı: “286,” dedi.

Kadın sonra “Peki, şifre nedir?” diye sordu.

Rifkin’in adrenalinin etkisiyle zaten hızlı atan kalbi o anda iyice hızlandı. Duraksamadan yanıtladı, “4789.” Sonra havale talimatlarını vermeye başladı: New York Irving Yatırım Ortaklığı’ndan Zürih VVozchod Handels Bankası’ndaki hesaba yatırılmak üzere “tam olarak on milyon iki yüz bin dolar.” Bu hesabı önceden kendisi açtırmıştı.

Kadın söylenenleri not edip, “Tamam, bilgileri aldım. Şimdi de birimler arası takas numarasına ihtiyacım var.” dedi

Rifkin’in başından aşağı kaynar sular döküldü; bu beklemediği bir soru, araştırmasında unuttuğu bir ayrıntıydı. Ama soğukkanlılığını koruyup her şey yolundaymış gibi davrandı ve hiç beklemeden cevap verdi, “Bir kontrol edeyim; sizi hemen ararım.” Bu kez bankanın başka bir birimini aramak için tekrar telefonda kılık değiştirerek havale odasındaki bir çalışan gibi davrandı. Takas numarasını öğrendi ve genç kadını yeniden aradı.

Genç kadın numarayı aldı ve, “Teşekkürler” dedi. (Bu koşullar altında, teşekkür etmesi gerekenin aslında Rifkin olması gerektiği söylenebilir.)

Birkaç gün sonra Rifkin İsviçre’ye uçtu, parasını aldı ve 8 milyon dolarını bir yığın elmas karşılığında bir Rus acentasına verdi. Tekrar uçağa bindi ve taşları bir para kuşağına saklayarak A.B.D. gümrüğünden geçti. Tarihteki en büyük banka soygununu yapmıştı ve bunu bir silah, hattâ bir bilgisayar bile kullanmadan gerçekleştirmişti. Tuhaf olan, işlediği suçun bir süre sonra “en büyük bilgisayar dolandırıcılıkları” başlığı altında Guinness Rekorlar Kitabı’nın sayfalarında yer almasıydı.

——————————

Kurumlarda bilişim güvenliği bireylere bırakılmadığı gibi politikalara uyulması önemlidir. Eğer şifre küçük bir kağıda yazılarak duvara asılmamış olsaydı, Stanley Rifkin bunu gerçekleştiremezdi.

Kurum ve şirketlerin dijital dönüşüm süreçlerinde iş analizinin doğru yapılması ve süreçlerin titizlikle yürütülmesi dijital dönüşüm oranını arttırarak erişim kolaylığı sağlayacak ve işlem sürelerini hızlandıracaktır. Islak imza süreçlerinde 1 gün süren işlemler 1 saate kadar düşürülebilmektedir. 

Kurum ve şirketlerin bilişim güvenliği yönetiminde yaptığı çalışmalar güvenlik düzeylerinin artmasına ve dijitalleşme süreçlerinin doğru yönetilmesine olanak sağlamaktadır. Kurumun hassas bilgilerini yönetebilmek amacıyla aşağıdaki süreçlerin uygulanması gerekmektedir.

• Risk Analizi
• Politikaların Oluşturulması
• Eğitim ve Farkındalık
• Kontrollerin Uygulanması
• İzleme ve Denetim
• Sürekli İyileştirme

Bilgi güvenliği yönetiminde en önemli nokta kurum çalışanlarına eğitimlerin verilmesi ve farkındalık düzeylerinin arttırılmasıdır.

Saygılarımla