Bir Sigorta Şirketinde Gerçekleşen Veri İhlalinin Çok Faktörlü Kimlik Doğrulama Özelinde Değerlendirmesi

Anıl Nevzat Solmaz (Securify Satış ve Pazarlama Yöneticisi)

Geçtiğimiz sene gerçekleşen ve 300 kişinin isim, soyisim, T.C. kimlik numaraları, e-posta ve araç plaka bilgilerinin suistimal edilmesine sebebiyet veren bir veri ihlali hakkında yorumlarınızı almak ve tavsiyelerimi iletmek isterim. Mevzubahis ihlal sonucunda organizasyona 330.000 TL idari para cezası uygulanmasına karar verilmiştir. İlgili organizasyon yetkililerinin sektörel tecrübesini, olay öncesindeki yapısal durumu bilemeyeceğimizden, yetkilileri tenzih etmek istememe rağmen açıkçası bilgi güvenliği alanında bunca tecrübe, bilgi birikimi, uluslararası kabul görmüş pratikler, güvenlik ile ilgili sürekli olarak güncellenen rehber regülatif düzenlemeler ve gelişen güvenlik teknolojisi göz önüne alındığında, bu ihlalin sebeplerine şaşırmamak oldukça güç görünüyor. SecurifyID gibi yerli, ulaşılabilir ve oldukça kabiliyetli birçok ürünü tanıma fırsatı bulmuş bir vatandaş olarak, kişisel bilgilerimin hala bu denli kolayca suistimal edilebilir olması fikri, kabul etmekte güçlük çektiğim bir gerçek haline geldi.

Veri ihlali davasında ilgili düzenlemelere aykırı olan ve tetkikler sonucu ortaya çıkan birden fazla kusur bulunuyor. Saldırgan, organizasyon faaliyetlerinde kullanılmak üzere kurulan bir test sunucusunda bulunan internet sitesine saldırı yapmıştır. Tespit edilen kusurları kısaca sıralayacak olur isek:

  • Test sunucusunda gerçek kullanıcı bilgilerini içeren veritabanı bulunmaktadır.
  • Test sunucusu bütün dünyadan erişime açık ortamda durmaktadır. Saldırgan tahmin yolu ile 7 kez giriş denemesi sonucunda sisteme girmiştir.
  • Test sunucusu yıllık sızma testine tabi tutulmamıştır ve gerekli kontroller yapılmamıştır.
  • Kişisel bilgiler ilgili kanunlar uyarınca şifrelenerek saklanmamıştır.
  • Sunuculara erişim için SSL VPN gibi güvenlik arz eden kanallar kullanılmadığı tespit edilmiştir.
  • Organizasyon uygulama ve servislerine kullanıcı erişimlerinde herhangi bir iki veya çok faktörlü kimlik doğrulama çözümü uygulanmamıştır.
  • Veri ihlali, organizasyon yetkilileri tarafından öğrenildikten sonra 72 saat içerisinde bildirilmemiştir.

İnceleyecek olur isek, düzenli sızma testlerine tabi tutulmayan bir test sunucusunda, günümüzde rahatlıkla manuel olarak yaratılıp enjekte edilebilen veya sektör genelinde kullanıma açık olan şablon veriler yerine gerçek kullanıcı verileri bulunmaktadır. Bu durumun aslında önlenebilmesi en kolay olan fakat aynı zamanda BT dünyasındaki en temel ve kritik hata olduğunu söylemek son derece doğru olacaktır. Test sunucusunun internete açık olması da, önceki kusur gibi önlenmesi kolay olan, hatta hakkında birçok rehber yayın yapılmış, BT dünyasının en temel kurallarından birini, test ortamlarını gerekli güvenlik politika ve kurallarını işletmeden internete açmama prensibini hiçe sayan bir kötü pratiktir. Üstüne üstlük bu açık test sunucusunda saklanan kişisel veriler üzerine herhangi bir şifreleme uygulanmadığı tespit edilmiştir, bu nedenle kullanıcı bilgilerini ele geçiren saldırgan kolayca elde ettiği bu veriyi yine kolayca suistimal edebilir hale gelmiştir.

KVKK tarafından yayınlanan veri ihlali kararında bir noktaya özellikle dikkatinizi çekmek isterim. Uzmanların bir kusur olarak değerlendirdiği bir diğer husus da, veri ihlali gerçekleşen organizasyon bünyesinde kullanıcı erişim ve oturumlarında herhangi bir çok faktörlü doğrulama mekanizmasının çalışır halde bulunmamasıdır. Organizasyon yetkilileri tarafından bir 2FA, MFA çözümünün entegre edildiği senaryoda, veri ihlali ihtimaline karşı birden fazla fayda sağlanabilirdi. Kurumda kullanılan servis ve uygulamalara erişim esnasında iki faktörlü doğrulama ile olası izinsiz erişimlerin %99 oranında engellenebileceği Microsoft tarafından sunulan bir öneridir. Saldırganların herhangi bir metod ile ele geçirebildikleri kullanıcı erişim bilgilerine ek olarak ikinci bir doğrulama mekanizması çalıştırmak, -bu doğrulama faktörü örneğin bir mobil uygulama üzerinde çalışacak OTP/TOTP/Cep Onay Mekanizması, SMS, fiziksel şifrematik, fiziksel biyometri verileri, davranışsal biyometri verileri olabilir- yüksek ihtimalle bu veri ihlalini engellemede başarılı olacaktı. Aynı zamanda sistem yöneticisi ,merkezi kimlik ve erişim yönetimi ve merkezi raporlama kabiliyeti sunan SecurifyID gibi gelişmiş çözümler ile bir saldırı anında gerçekleşen kötü niyetli erişimlerde anomalileri tespit edebilecekti. Bu anomaliler IP/Network/Konum bazlı analizler, Zaman Bazlı Analizler, Tarayıcı/Platform bazlı analizler vasıtasıyla tespit edilebilir. Hatta SecurifyID gibi çözümler ile kullanıcının klavye davranış analizlerini yaparak, erişim ve oturum güvenliğinizi daha üst seviyelere dahi çıkartabilirsiniz. Tespit edilen bu anomaliler neticesinde kullanıcıyı blokla, alarm üret, üçüncü parti bir güvenlik çözümünü tetikle gibi otomatize aksiyonlar alabilirsiniz. Full On-prem kurulum desteği sayesinde sadece SecurifyID doğrulama mekanizması için kullanılacak kimlik bilgilerinizi dahi şifreli olarak kurum içi sunucularda saklayabilirsiniz. Bütün bunlara ek olarak, genç mühendislerimizin dünyada bir ilk olarak ortaya koyduğu ve ismini “Ters Faktör Doğrulama” olarak andığımız bir teknik ile bir saldırganın sürekli olarak yetkisiz erişim isteğini kullanarak, yetkili kullanıcınızın erişiminin bloklanmasına neden olmasını engellerken hala MFA güvenlik seviyesini koruyabilirsiniz.

SecurifyID yerli Kimlik ve Erişim Yönetimi çözümümüz ile ilgili daha detaylı bilgi almak için lütfen bizimle iletişime geçiniz.