İnsan faktörünün sebep olduğu siber olaylar genellikle çalışanların yaptığı hatalara dayanıyor. Bu konuda önemli bir detay olan personelin olası kasıtlı kötü niyetli davranışları göz ardı ediliyor.
Kurum içinde gerçekleşen tehditlerin kasıtsız ve kasıtlı olmak üzere iki ana türü kaynağı bulunuyor. Kasıtsız veya kazara meydana gelen tehditler, kimlik avı ve diğer sosyal mühendislik yöntemlerine kanmak veya hassas ve gizli bilgileri yanlış kişiye göndermek gibi çalışan hataları olarak gözleniyor.
Buna karşılık kasıtlı tehditler, işverenlerinin sistemlerine kasıtlı olarak giren kötü niyetli kişiler tarafından içerden gerçekleştiriliyor. Bu genellikle hassas verilerin satışından maddi kazanç elde etmek veya şirketten intikam almak için yapılıyor. Kötü niyetli içeridekiler bir kurumun düzenli iş operasyonlarını aksatmayı veya durdurmayı, BT zayıflıklarını ortaya çıkarmayı ve gizli bilgileri elde etmeyi amaçlıyor.
Kurum içindeki kötü niyetli kişiler ise tüm çalışanlar arasında siber olaylara neden olabilecek en tehlikeli gruplar olarak tanımlanıyor. Bu kişilerin eylemlerinden kaynaklanan tehditler aşağıdaki faktörler nedeniyle daha da karmaşık hale geliyor:
- Kullandığı bilgi güvenliği araçlarının detayları da dahil olmak üzere bir kuruluşun altyapısı ve süreçleri hakkında özel bilgiye sahipler.
- Şirket ağının içindedirler ve kimlik avı, güvenlik duvarı saldırıları gibi yollarla dışarıdan şirkete nüfuz etmeleri gerekmez.
- Kurum içinde meslektaşları ve arkadaşları vardır. Bu nedenle sosyal mühendislik tekniklerini kullanmaları çok daha kolaydır.
- Kuruma zarar vermek adına yüksek motivasyona sahiptir.
İç tehditler ve işletmelerin savunma stratejileri
Çalışanların işverene karşı kötü niyetli eylemlerde bulunmasının ana nedenlerinden biri finansal kazanç elde etmek. Genellikle bu, hassas bilgileri üçüncü bir tarafa satmak amacıyla çalmak anlamına geliyor. Rakipler veya hatta siber suçluların işletmelere saldırmak için veri satın aldığı karanlık ağda bunları açık artırmaya koyabiliyor.
Çalışanlar işten çıkarıldığında da intikam amacıyla kötü niyetli davranışlar sergilenebiliyor. Bunu da diğer çalışanlarla olan bağlantıları aracılığıyla kolaylıkla gerçekleştirilebiliyor. Ancak yaşanacak en kötü senaryo, kurumun kurumsal sistemlere erişim yetkisini kaldırmamış olması nedeniyle eski çalışanın hala iş hesabına uzaktan giriş yapabilmesi durumunda gerçekleşiyor.
Çalışanlar, işlerinden memnun olmadıklarında veya kendilerine bekledikleri adil zammı veya hak ettikleri terfiyi vermeyen bir işverenden öç almak için de kasıtlı ve zarar verici kötü niyetli davranışlar ortaya koyabiliyor.
Bir diğer farklı kötü niyetli eylem türü, içerden bir veya daha fazla kişinin, organizasyonun güvenliğini veya istikrarını tehlikeye atmak amacıyla harici bir aktörle bilinçli olarak iş birliği yapması durumunda ortaya çıkıyor. Bu vakalar sıklıkla, özellikle siber suçluların, farklı türde saldırılar gerçekleştirmek üzere bir veya daha fazla içeriden kişiyi kandırma veya işe alma yoluyla anlaşmasını temel alıyor. Saldırganlar, rakip firmalar veya diğer ilgili taraflar gibi üçüncü tarafların, örgütün hassas, gizli veya kritik verilerini elde etmek, manipüle etmek veya sızdırmak için içeriden personelle gizlice işbirliği yaptığı durumlar da söz konusu olabiliyor. Bu tür eylemler, genellikle organizasyonun itibarına, finansal durumuna veya operasyonel etkinliğine ciddi zararlar vererek, uzun vadeli olumsuz sonuçlara yol açabiliyor.