Haftanın Alarmı: AMEX'e "İçerideki Erişim" Cezası

Geçtiğimiz günlerde Avustralya'dan gelen bir düzenleyici karar, finansal hizmetler gibi büyük hacimde kişisel veri barındıran kurumlarda "içeriden gelen tehdidin" yalnızca teorik bir risk olmadığını; doğrudan yasal ve mali sonuçlar doğurabilecek somut bir zafiyet olduğunu bir kez daha ortaya koydu.

Avustralya Bilgi Komiseri Ofisi (OAIC), "BAM" rumuzlu bir müşterinin şikâyeti üzerine yürüttüğü uzun soluklu soruşturmanın ardından, American Express Australia'nın (AMEX) müşterisinin kişisel verilerini yetkisiz erişime karşı korumak için "makul adımları" atmadığına ve böylece Avustralya Gizlilik İlkesi (APP) 11.1'i ihlal ettiğine hükmetti. Olay, 2022 yılında bir müşterinin, AMEX bünyesinde çalışan eski bir partnerinin kendi finansal bilgilerine izinsiz eriştiğini öne sürmesiyle başlamıştı.

Kararın asıl çarpıcı yönü, tek bir olayın çok ötesine geçmesidir. 15 sayfalık raporda OAIC, AMEX sistemlerinin çalışanların müşteri hesaplarına yeterli teknik kısıtlama veya izleme olmaksızın erişmesine olanak tanıdığını; bu nedenle "müşterilerin büyük bölümünün verisinin kötü niyetli çalışanların yol açabileceği gizlilik ihlallerine açık olduğunu" tespit etti. Rapora göre, şirket uygunsuz davranışı caydırmak için büyük ölçüde politikalara, prosedürlere ve çalışan eğitimlerine dayanıyordu; ancak elindeki verinin hacmi ve hassasiyeti göz önüne alındığında bu önlemler tek başına yetersiz kalmıştı. OAIC'nin ifadesiyle sorun, "personelin meşru bir amaç olmaksızın kişisel verilere erişebilmesi ve bu davranışın fark edilmeden kalabilmesiydi."

AMEX, kararın bazı yorumlarına itiraz ettiğini ve olayın uygunsuz şekilde hareket eden tek bir çalışanla sınırlı olduğunu savunuyor. Yine de düzenleyici; şirketin tazminat ödemesine, resmî bir özür yayımlamasına, çalışanların belirli müşteri verilerine (özellikle korunmasız veya yüksek profilli müşterilerin) erişimini kısıtlayan teknik kontroller uygulamasına ve hangi çalışanın hangi kayda ne zaman eriştiğini gösteren hesap düzeyinde erişim ve işlem loglamasının devreye almasına hükmetti.

GÖRMESİ GEREKMEYENİ GÖSTERME: VERİ MASKELEME VE TOKENİZASYON

Bu vakadaki en temel soru şu: bir destek temsilcisinin işini yapması için bir müşterinin kart numarasının, adresinin ya da işlem geçmişinin tamamını ham haliyle görmesi gerçekten gerekli mi? Çoğu zaman cevap "hayır." Veri maskeleme (data masking) ve tokenizasyon, finansal kurumların elindeki en güçlü ama en az kullanılan kozlarından biridir. Maskeleme ile temsilci ekranında kart numarası yerine yalnızca son dört hane görünür; tokenizasyon ile hassas alan, sistemde gerçek değeri taşımayan bir "token" ile temsil edilir. Bu sayede çalışan, görevini yerine getirebilir ancak kötüye kullanabileceği ham veriye hiçbir zaman ulaşamaz. AMEX vakasında, alan düzeyinde maskeleme uygulanmış olsaydı, meraklı ya da kötü niyetli bir çalışanın eline geçecek verinin değeri büyük ölçüde sıfırlanmış olurdu. Bu kontrol, "erişimi tümüyle engellemek" ile "her şeyi açık vermek" arasındaki yanlış ikilemi ortadan kaldırır.

İKİ KİŞİ KURALI: GÖREVLER AYRILIĞI VE ONAY MEKANİZMALARI

İç tehdide karşı en eski ama hâlâ en etkili kontrollerden biri, tek bir kişinin hassas bir işlemi baştan sona tek başına tamamlayamamasıdır. Görevler ayrılığı ve "maker-checker" (yapan-onaylayan) mekanizmaları, özellikle yüksek profilli veya korunmasız müşteri kayıtlarına erişim gibi riskli işlemlerde ikinci bir gözün devreye girmesini zorunlu kılar. Buna bir de Tam-Zamanında Erişim (Just-In-Time access) eklendiğinde, çalışana verilen ayrıcalık kalıcı olmaktan çıkar; yalnızca belirli bir görev için, belirli bir süreyle açılır ve otomatik olarak kapanır. Böylece "herkesin her zaman her şeye erişebildiği" varsayılan durum, "kimse, ihtiyaç anı dışında, hiçbir şeye erişemez" prensibiyle yer değiştirir. OAIC'nin AMEX'ten talep ettiği "erişimi belirli müşteri verileriyle sınırlayan teknik kontroller" özünde bu yaklaşımı işaret ediyor.

TUZAK KAYITLAR: HONEYTOKEN VE ALDATMA TEKNİKLERİ

Meraklı ya da kötü niyetli bir çalışanı yakalamanın en zarif yollarından biri, ona bir tuzak bırakmaktır. Honeytoken adı verilen sahte müşteri kayıtları -gerçekte var olmayan, ancak gerçek gibi görünen hesaplar sistemin içine yerleştirilir. Meşru hiçbir iş akışının bu kayıtlara dokunmasına gerek yoktur; dolayısıyla biri bu kaydı açtığı anda, bunun masum bir işlem olma ihtimali sıfırdır ve anında yüksek öncelikli bir alarm üretilir. Örneğin tanınmış bir ismi taşıyan sahte bir "yüksek profilli müşteri" kaydı, tam da AMEX vakasında olduğu gibi bir çalışanın merakına yenik düşüp düşmediğini sessizce test eder. Aldatma teknolojisi, iç tehdit tespitinde yanlış pozitif oranı en düşük yöntemlerden biridir; çünkü tuzağa yakalanmak için meşru bir gerekçe hiçbir zaman yoktur.

GÖRÜNMEYEN ERİŞİM: HESAP DÜZEYİNDE DENETİM VE DEĞİŞTİRİLEMEZ LOGLAR

Kararın en somut yaptırımlarından biri, AMEX'in "hesap düzeyinde erişim ve işlem loglaması" devreye almasıydı; yani hangi çalışanın hangi müşteri kaydına ne zaman eriştiğinin zaman damgalı olarak kayıt altına alınması. Burada kritik bir ayrıntı var: logların kendisi de korunmalıdır. Eğer bir çalışan kendi izlerini silebiliyorsa, loglama bir denetim aracı olmaktan çıkar. Bu nedenle değiştirilemez log mimarisi, içeriden gelen tehdide karşı denetimin bel kemiğidir. Bu yaklaşım, Veri Odaklı Denetim ve Koruma (DCAP) felsefesiyle birleştiğinde güçlenir: kritik veriler önce otomatik olarak keşfedilip sınıflandırılır, ardından bu veriler üzerindeki her açma, kopyalama, taşıma ve değiştirme işlemi geri alınamaz biçimde kayıt altına alınır. SearchInform FileAuditor gibi DCAP araçları tam olarak bu görünürlüğü sağlar; "meşru amaç olmaksızın erişimin fark edilmeden kalması" - OAIC'nin altını çizdiği zafiyet böylece ortadan kalkar.

NORMALİ ÖĞREN, SAPMAYI YAKALA (UEBA)

Loglama olaydan sonra delil sağlar; asıl hedef ise kötüye kullanımı gerçek zamanlı yakalamaktır. Bir destek temsilcisinin, görev tanımının gerektirdiğinin çok ötesinde sayıda müşteri kaydını sorgulaması ya da belirli bir kişinin hesabına tekrar tekrar bakması tipik bir davranışsal anomalidir. Kullanıcı ve Varlık Davranış Analizi (UEBA) çözümleri, makine öğrenmesiyle her kullanıcının normal davranış profilini çıkarır ve bu profilden sapmaları "şüpheli iç tehdit faaliyeti" olarak işaretler. Bu vakada olduğu gibi bir çalışanın tanıdığı birinin verisine kişisel sebeplerle erişmesi, ancak bu tür davranışsal analizle erkenden yakalanabilirdi. Üstelik bu, salt teknik bir mesele değildir; iç tehdit yönetimi, insan kaynakları boyutunu -işten ayrılma süreçleri, memnuniyetsizlik sinyalleri, erişim haklarının zamanında geri alınması- da kapsayan bütünsel bir disiplindir.

TEK BAŞINA ANLAM TAŞIMAYAN PARÇALARI BİRLEŞTİRMEK (SIEM)

Erişim logları, UEBA uyarıları ve onay mekanizmalarının kayıtları tek tek bakıldığında dağınık veriler olarak kalır; asıl değerleri merkezi bir SIEM sisteminde bir araya getirildiğinde ortaya çıkar. Güvenlik politikalarına göre tespit edilen ihlaller, CEF ve Syslog gibi standart formatlar üzerinden SIEM platformlarına aktarılabilir. Güvenlik Operasyon Merkezleri (SOC) bu sayede Honeytoken alarmından anormal erişim hacmine kadar farklı sinyalleri tek bir konsolda ilişkilendirir ve şüpheli bir durumda oturumu sonlandırma ya da erişimi askıya alma gibi adımları hızla başlatabilir. Tepki süresi, böyle bir olayda hem mağdurun gördüğü zararı hem de kurumun karşılaşacağı düzenleyici yaptırımı doğrudan belirler.

SONUÇ: ARTIK SADECE HACKER'LARI DEĞİL, YETKİLERİ DE DENETLEMEK GEREK

AMEX kararı, bilgi güvenliğinin yalnızca dış saldırganlara karşı duvar örmekle eşitlenemeyeceğini düzenleyici bir otorite eliyle teyit ediyor. Mesaj net: kişisel veriyi korumak artık yalnızca hacker'ları savuşturmak değil; kurum içinde kimin hangi veriye erişebileceğini, bu erişimin meşru bir gerekçesi olup olmadığını ve izlenip izlenmediğini de denetlemek anlamına geliyor. Üstelik bunu yapmamanın bedeli somuttur: tazminat, resmî özür ve zorunlu teknik düzenlemeler. Doğru yaklaşım, tek bir ürünü değil, birbirini tamamlayan katmanları bir arada düşünmektir: gereksiz veriyi maskeleyip tokenize etmek, riskli işlemlerde görevleri ayırmak, tuzak kayıtlarla kötü niyeti açığa çıkarmak, her erişimi değiştirilemez biçimde denetlemek ve sapmaları gerçek zamanlı yakalamak. Bu katmanların önemli bir bölümünde -özellikle veri keşfi ve sınıflandırması, dosya erişim denetimi (FileAuditor/DCAP), uç nokta kontrolü ve SIEM entegrasyonu - SearchInform DLP ve Risk Monitor çözümleri, OAIC'nin AMEX'ten talep ettiği türden görünürlüğü ve kontrolü kurumlara sağlar.