İçerideki kişiler sırları bilgisayar korsanlarından daha şiddetli bir şekilde sızdırıyor, dünyayı güvenlik duvarı içinde nasıl koruyabiliriz?
Bir duvar inşa edebilir, kapsamlı savunma önlemleri oluşturabilir ve tehditlere direnmek için onu korumak için çok fazla insan gücü ve malzeme kaynağı harcayabilirsiniz. Ancak düşmanınız içeriden gelirse, bu duvar işe yaramaz. İç düşmana karşı mücadele barutsuz ama yine de ciddidir.
Nisan sonunda Meituan, Ele.me, Baidu Waimai gibi gıda dağıtım platformlarında kullanıcı bilgilerinin sızması bir kez daha kamuoyunda tartışma yarattı. Bilgi sızıntısı ilk başta yeni bir şey değil, ancak bu sefer bilgiyi sızdıran hackerlar değil, zamanında düzeltilemeyen güvenlik açıkları yüzünden değil, ancak kuruluş buna yeterince dikkat etmemiş ancak ciddi zararlara neden olabilir. Hayaletin içinde (Insider).
Aşırı iç hayalet
Yurtiçi ve yurtdışında mevzuat ve tanıtımın giderek artmasıyla, birçok şirket bilgi güvenliği ve veri koruma konusunda ön bir anlayış kazanmış, dış tehdit ve saldırıları önlemek için uygun güvenlik ürün ve hizmetlerini benimsemiştir. Bununla birlikte, açık silahlardan kaçmak kolaydır ve koyu okları korumak zordur. Dış tehditlere dikkat ederken, iç tehditlerin de aynı derecede ciddi olduğunu ve ilgili önlemlere ihtiyaç duyulduğunu görmezden geliyorlar.
Aslında yurtiçinde ve yurtdışında bilgi sızdıran birçok iç hayalet vakası var. Soruşturmanın sonuçlarını henüz bulamayan Meituan, Ele.me ve Baidu Waimai hariç, bir süre önce ABD tarafından yaptırıma tabi tutulduğu söyleniyor. ZTE, ayrıca şirketin kendi dikkatsizliğinden dolayı, gizli belgeler elde etmek için "hayalet casusların içindeydi" ve nihayetinde mahkemede dezavantajlı durumdaydı. Amerika Birleşik Devletleri'nin ZTE'yi araştırmak ve delil toplamak amacıyla gizli avukatları ZTE'ye gönderdiği, bunun sonucunda ZTE'nin intranete şirket çalışanları tarafından halka açık olarak erişilebilen sözleşmeler ve stratejiler dahil son derece gizli belgeler yerleştirdiği ortaya çıktı. Bu nedenle avukat, herhangi bir çaba harcamadan ZTE'yi alt eden ölümcül kanıtlar elde etti. Daha sonra, ABD Ticaret Bakanlığı da özel bir ZTE negatif ders kitabı PPT yaptı ve geç gelenlere dikkat etmelerini hatırlatmak için çevrimiçi olarak yayınladı.
2016 yılında Zhaopin İşe Alım Beijing Wangpin Consulting Co., Ltd. (bundan böyle "Zhilian Recruitment" olarak anılacaktır) operatörü, Şirket çalışanı Shen, kullanıcının özgeçmiş veritabanı hesabını ve parolasını yasa dışı bir şekilde almak için şirketin iş mantığından yararlandı ve kullanıcının özgeçmişini dışarıya sattı. İlgili bilgi miktarı 150.000'i aştı. Bu özgeçmişler isim, kimlik numarası, adres, telefon numarası, eğitim seviyesi, çalışma birimi, maaş geliri vb. Gibi çok sayıda ayrıntılı kişisel bilgiyi içerir ve Zhaopin işe alımında yaklaşık 25 milyon yuan kayıpla sonuçlanır. Sonunda mahkeme, çalışanı üç yıl altı ay hapis cezasına çarptırdı.
2017 yılında Eski Google yöneticileri, Uber'e katılmak için ayrıldı ve başlangıçta Google'a ait olan otonom sürüş teknolojisini elinden aldı. Yanıt olarak Google, yöneticiye ve Uber'e dava açtı ve nihayetinde 245 milyon dolarlık iş tazminatı aldı. Elbette, en temsili dahili hayalet sızıntısının Snowdenın "Prism Gate" olduğu tahmin ediliyor: Snowden, güvenlik yüklenicisinin çalışanlarının konumunu kritik sistemlere ve ardından Birleşik Devletler Ulusal Güvenlik'ten erişim elde etmek için kullandı. Büro, yüz binlerce gizli belgeyi kopyaladı. Bu materyalleri iki tanınmış medya kuruluşuna, İngiliz "Guardian" ve Amerikan "Washington Post" a sağladı ve ortaya çıktıktan sonra bir kargaşaya neden oldu. Bu olayın doğrudan sonucu, 2007 yılında Ulusal Güvenlik Teşkilatı ve FBI tarafından başlatılan Amerika Birleşik Devletleri tarihindeki en büyük gizli gözetim projesinin kamuoyuna açıklanmasıdır. Bu süreçte saldırgan (Snowden) ABD güvenlik departmanından geldi.Sadece resmi yetkisini kullanarak gizli bilgileri çalmak için bilgisayar korsanlığı yöntemlerini kullanmaya gerek yoktu. Saldırı, ulusal güvenlik savunma sisteminin tehlikeye atılmasına neden olan ABD ulusal güvenlik kurumuydu. Yıkım için ABD hükümeti kamuoyunun baskısı altında.
İç hayaletin yarattığı tehdit
İç hayaletler, bilgi alanında topluca "İçeriden" olarak adlandırılır ve oluşturdukları tehditler, dış tehditlere karşılık gelen İç Tehditler olarak adlandırılır. Kesin olmak gerekirse, içeriden gelen tehditler, içerideki kişilerin bir işletmenin veya kuruluşun güvenliğini tehdit ettiği davranışlardır. ABD CERT tarafından 2012 yılında önerilen tanıma göre:
İçeriden gelen tehditler genellikle çalışanlar (iş başında veya istifa), yükleniciler ve kuruluşların veya kuruluşların iş ortaklarıdır ve kuruluşun sistemlerine, ağlarına ve verilerine erişebilmeleri gerekir; içeriden gelen tehditler, içeriden kişilerin yasal olarak elde edilen erişim haklarını kullandığı zamandır. Kuruluşun bilgi sistemindeki bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini olumsuz etkileyen davranış.
Amerika Birleşik Devletleri CERT Merkezi, içeriden gelen tehditlerin temel olarak üç temel saldırı türüne ayrıldığına inanıyor: sistem hasarı, fikri mülkiyet hırsızlığı ve bileşik saldırılar ve ticari casusluk saldırıları oluşturmak için bir araya gelen elektronik dolandırıcılık. Bu yazıda bahsedilen sızıntının iç hayaleti, aralarında fikri mülkiyet hırsızlığı saldırısını gerçekleştiriyor.
Güvenlik şirketi McAfee tarafından yapılan yakın tarihli bir araştırma şunu gösterdi: Veri ihlallerinin% 43'ü içeriden geliyor Bilgi Güvenliği Forumu'nun anket sonuçları, % 54 . Bu, iç hayalet sızıntılarının aslında bilgi sızıntılarının ana nedeni haline geldiğini gösteriyor. Çin Halk Güvenliği Bakanlığı Ağ Teknolojisi Araştırma ve Geliştirme Merkezi direktörü Xu Jianzhuo, bir keresinde kamuoyuna açık bir şekilde şunları söyledi: Şu anda, vatandaşların kişisel bilgi sızıntısına en çok zarar veren endüstriler başlıca bankacılık, eğitim, endüstri ve ticaret, telekomünikasyon, ekspres teslimat, menkul kıymetler, e-ticaret ve diğer endüstrilerdir çünkü bu endüstriler çok fazla kişisel bilgiye sahiptir. , İçeriden bilgi sızdırma olasılığı daha yüksektir.
Şirketler iç hayaletleri nasıl önlemeli?
Dahili hayaletler, işletmenin güvenlik sınırları içerisinden gelir ve güvenlik duvarları gibi güvenlik cihazlarının algılanmasını engelleyebilir.Bu nedenle, kurumun dahili bilgilerini ve mülklerini elde etmek kolaydır ve işletme hakkında gerekli bilgiye sahip oldukları için saldırıları gerçekleştirmek daha kolaydır. İç hayaletin yüksek derecede gizliliği vardır ve işletmeye daha ciddi zararlar verir.
İç hayaletin genellikle suçu tek başına işlemediği, ancak bilgi işlem endüstrisi zincirindeki yukarı ve aşağı personel ile temas kuracağı unutulmamalıdır. Mektup çalma sürecini kendi başlarına tamamlasalar bile, bilgileri ellerinde işlemek için sonunda başkaları veya diğer kuruluşlarla iletişime geçmeleri gerekecektir. Dahili personelin yukarıda bahsedilen yiyecek dağıtım platformu hakkında bilgi sızdırması durumunda, tele-pazarlama grupları, ağ işletim şirketleri, tüccarlar ve biniciler dahil oldu.Yeraltı karaborsadaki insanlarla işbirliği yaptılar, büyük miktarda kullanıcı verisini işlemlere ve komploya dönüştürdüler. İlgi nesnesi.
İç tehdit araştırmalarında çok fazla sistematik sonuç yoktur.ABD CERT'nin iç tehditler konusundaki politikasına başvurabilir ve yerel şirketler tarafından referans için bazı yöntemleri özetleyebiliriz.
Kurumsal yönetim personelinin alabileceği önlemler:
Dijital varlık tanımlama
Kurumsal güvenlik işiyle ilgili yöneticiler veya personel olarak, kurumsal dijital varlıkları ISO 55000 uluslararası standardına uygun olarak tanımlamak en iyisidir. ISO standardı şunları şart koşar:
Varlıklar, kuruluş için gerçek veya potansiyel değeri olan nesneler, şeyler veya varlıklardır. Varlık yönetimi, kuruluşların hedeflere ulaşırken varlık değerini gerçekleştirmelerini sağlar.
ISO 55000 fiziksel varlık yönetimine odaklansa da, tanımı dijital varlıklar (veriler dahil) için de geçerlidir. "Kritik varlıkların" değerinin ötesinde olan şey, kritik varlıklar ciddi şekilde hasar görürse, kuruluşun devam eden operasyonlarını etkileyeceğidir.
Hiç şüphe yok ki veriler bugün dünyadaki herhangi bir kuruluşun en önemli varlıklarından biridir ve bu nedenle güvenli ve verimli bir yönetim gerektirir. Ancak, tüm veriler iş dünyasında eşit değildir. Her şirket, müşterilerinin, ortaklarının, envanterinin, tedarikçilerinin ve kendi işinin verilerinden sorumlu olmalıdır. Organizasyon içinde dolaşan veriler genellikle şirketin finansal verilerini, operasyonel verileri, müşterinin kişisel olarak tanımlanabilen verilerini ve bazı sınıflandırılmış verileri içerir.
Veri sızıntısını önlemenin ilk adımı, verileri tanımlamak ve sınıflandırmaktır. Kurumsal BT uzmanları kurumsal bilgi sistemlerinin işleyişine aşina olsalar da, tüm işletmenin operasyonlarını ve süreçlerini tam olarak anlamazlar. Şu anda, işletmenin yönetim personeli, ilgili profesyonellerin makul tanımlama ve sınıflandırma yapmalarına yardımcı olmalıdır.
Kurumsal veriler genellikle aşağıdaki kategorilere ayrılır: Herkese açık veriler, dahili veriler, sınıflandırılmış veriler ve uyum için gerekli veriler. Kuruluştaki her işlemle ilişkili veri türünün çok önemli olduğunu unutmayın, çünkü saldırganlar genellikle her tür veriyi çalmaz, ancak onları hedef alır. Çoğu durumda, saldırganlar ve içerideki kişiler çok özel veriler elde ederler.Bu nedenle, veriler uygun şekilde sınıflandırıldıktan sonra, hedefe yönelik koruma tehditleri önlemek için etkili olabilir.
İçeriden Öğrenen Tehdit Projesi
İçeriden gelen tehditler, her kuruluşun karşılaştığı çok özel bir güvenlik sorunudur, bu nedenle bu sorunu çözmek için özel kaynakların tahsis edilmesi gerekir. Yetkili şirketler, kuruluş çapında bir iç tehdit projesi oluşturmak için en iyisidir, bu proje birden fazla rol, farklı sorumluluklar ve profesyonel eğitim dahil olmak üzere birleşik bir vizyon ve misyona sahiptir. İç tehdit projesine katılanlar tercihen insan kaynakları, hukuk, BT, mühendislik, veri sahipleri ve departman başkanlarını içerir. En önemlisi, bu tür programlar yalnızca şirketteki en güvendiği çalışanlara açık olmalıdır.
İç tehdit projesinin temel amacı, iç tehditleri tespit etmek, önlemek ve bunlara yanıt vermek için ilgili bilgileri, anlaşmaları ve mekanizmaları oluşturmaktır. İçeriden gelen tehdit öğeleri şunları içermelidir: görevler, ayrıntılı bütçeler, yönetim yapıları ve paylaşım platformları.
İç tehdit projesinin ana içerikleri aşağıdaki gibidir:
Uyum ve Süreç İzleme Komitesi: Bir veri ihlali meydana gelmeden önce kuruluşun mevcut iş süreçlerini gözden geçirmekten ve değişiklikleri önermekten sorumlu;
Raporlama mekanizması: Ofis politikaları, grup davranışı ve diğer birçok faktör, çalışanların şüpheli davranışları bildirmesini engelleyebilir. Bu nedenle, şüpheli kişileri ihbar eden çalışanları korumak ve muhabirin misilleme ile karşılaşmasını önlemek için bir gizlilik mekanizmasının oluşturulması gerekmektedir;
Olay müdahale planı: İçeriden tehditler meydana gelmişse ve veriler sızdırılmışsa, çalışanları işten çıkarmak ve yetkililere rapor etmek yeterli değildir. Dahili bir olay müdahale planı geliştirilirse, yöneticiler alarmların nasıl tanımlandığı, yönetildiği ve yükseltildiği konusunda daha net bir anlayışa sahip olabilir. Ek olarak, iç tehditlerin davranışının ve işleminin belirli zaman aralığı da dahili olaylar için ilgili plana yansıtılabilir.
Mesleki Eğitim: İçeriden gelen tehdit eğitimi, kuruluştaki tüm personel için güvenlik bilinci eğitim programının ayrıntılarını verir. Ancak, içeriden gelen tehdit projelerine doğrudan dahil olan personelin, içeriden gelen tehditleri daha iyi tespit etmek ve azaltmak için daha özel eğitim alması gerekir;
altyapı: Bu bölüm esas olarak, yönetime misyonunu gerçekleştirmede yardımcı olacak teknolojiler dahil olmak üzere iç tehditleri tespit etmek, önlemek ve bunlara yanıt vermek için altyapıdır. En iyi seçeneği elde etmek için kullanılan teknoloji periyodik olarak gözden geçirilmelidir.
Tipik bir içeriden gelen tehdit projesi toplam on üç bileşen içerir. Yukarıda belirtilen önemli bağlantılara ek olarak, diğerleri şunları da içerir: Sivil özgürlükler koruması, iletişim çerçevesi, dahili tehdit programı destek politikası, veri toplama araçları, tedarikçi yönetimi ve risk yönetimi entegrasyonu vb.
Güvenlik incelemesi ve denetimi (İK)
Personeli işe alırken, en iyisi aday hakkında ayrıntılı bir geçmiş kontrolü yapmaktır. Şirketler işe alırken de geriye dönük kontroller yapsa da, ağ güvenliğini içeriyorsa, işe alma sürecinin incelenmesi personel incelemesinin yalnızca ilk adımıdır. Dikkat edilmesi gereken en önemli şey, suç geçmişi ve istihdam geçmişidir. Bazen içeriden tehdit oluşturan kişiler ticari veya siyasi amaçlı casus olabilirler, çeşitli kanallardan güven kazanabilir ve işletmeye girebilirler.
NIST Siber Güvenlik Çerçevesi, kuruluşların her pozisyon için risk seviyeleri belirlemesini tavsiye eder. Risk seviyesi ne kadar yüksekse, iş için daha fazla güven ve güvenlik önkoşulu gerekir. Yeni kişileri yüksek riskli pozisyonlara alırken, amirler onları yüksek riskli davranışlar açısından denetlemelidir. Ek olarak, tüm anormal olayları kaydetmek ve davranış eğilimlerini analiz etmek en iyisidir. Davranış analizi ve risk analizi teknikleri, bu süreçte kullanılması gereken önemli tekniklerdir.
İnsan kaynakları departmanı, çalışanların şüpheli davranışları olması durumunda her an işten çıkarılabilmeleri için bir fesih sözleşmesi de hazırlamalıdır. Bu anlaşma, yöneticilerin çıkış görüşmeleri yapmasını, nihai performans değerlendirmelerini sağlamasını ve son maaş düzenlemelerini tartışmasını gerektirmelidir. Şirketin BT uzmanları, ayrılan tüm çalışanların hesaplarını silmelidir. Ayrılmadan önce ayrıcalıklı kullanıcı olan çalışanlar için tüm paylaşılan şifreler ayrıldıktan sonra değiştirilmelidir. İnsan kaynakları departmanının, ayrılan çalışanlara fikri mülkiyet haklarıyla ilgili düzenlemeleri yeniden netleştirmesi gerekiyor.
Sağlıklı bir kurum kültürü oluşturun
Bu bölümün içeriden gelen tehditlerle pek ilgisi yok gibi görünüyor, ancak yüksek basınçlı bir ortamda çalışmanın çalışanların olumsuz bir tutum sergileyerek onları hata yapmaya daha yatkın hale getirebileceğine dair kanıtlar var. Yöneticiler bu olumsuz duyguları ve etkileri fark etmezler ve hafifletici önlemler almazlarsa, çalışanlar göz ardı edildiğini hissedecek ve hatta şirkete olan bağlılıklarını azaltacaktır. Bu durumda, şirketin gelişmesine yardımcı olmayan şeyler yapma ve hatta şirketi tehdit eden eylemleri uygulama olasılıkları daha yüksektir. Bu nedenle, makul iş değerlendirme standartları belirlemek, iyi bir çalışma ortamı ve sağlıklı bir programa sahip bir kurumsal kültür oluşturmak da çalışanların güvenini artırmaya ve şirketlerin karşılaşabileceği iç tehditleri azaltmaya yardımcı olacaktır.
Tedarikçi yönetim süreci ve politikası
Karmaşık iç tehditlerle başa çıkabilmek için işletme içinde önleyici tedbirlerin alınmasının yanı sıra tedarikçilerin ve iş ortaklarının güvenlik yönetimi de önemli bir bölümdür. Paket servisi olan restoran platformunun bilgi sızıntısını örnek olarak ele alalım ve ağ işletim şirketi, tedarikçi bağlantısının sızıntısıdır. Bu nedenle, şirketlerin ayrıca tedarikçi yönetimi prosedürlerini ve kurallarını oluşturması ve şirket ile tedarikçiler arasındaki işbirliği sürecinde hesap verebilirlik ve denetim için bir dizi anlaşma yapmaları gerekir. Tedarikçi yönetim süreçleri ve kuralları esas olarak şirket yönetiminin formülasyonuna dayanır. İlgili ayrıntılı bir plan yoksa, şirketin güvenlik personeli yangınla ancak tehdit oluştuktan sonra müdahale edebilir ve gerçekleşmeden önce engelleyemez.
Tedarikçi yönetimi süreci temel olarak dört aşamadan oluşur: Tanımlayın, düzenleyin, kontrol edin ve entegre edin. Tanımlama aşaması esas olarak organizasyondaki en kritik tedarikçiyi belirlemek için kullanılır.Buradaki temel kriter, tedarikçi ile ilişki bir kez ters gittiğinde, şirketin operasyonları ve gelirinin olumsuz etkileneceğidir. Şartname, sorumlulukları uyumluluk bilgisini sürdürmek, denetim süreçlerini gerçekleştirmek, güvenli iletişimi teşvik etmek, eğitim sağlamak, sözleşmeleri ve tüm belgeleri izlemek ve denetimi uygulamak olan her işbirliği yapan tedarikçi için bir güvenlik irtibat kişisinin atanmasını içerir.
Tedarikçinin politikasının içermesi gereken temel içerik şunlardır: güvenlik kontrollerini gözden geçirme hakkı, tedarikçinin yasal gerekliliklere uyumu, güvenlik performansı raporları ve herhangi bir veri ihlalinin zamanında bildirilmesi. Son aşama, veri toplama, analiz ve doğrulamaya odaklanan entegrasyondur. Toplanan bilgilerin daha iyi çalışması için şirketin mevcut güvenlik uygulamaları ve denetim prosedürleriyle birleştirilmesi gerekir.
Güvenlik bilinci eğitimi
Günümüzde yerli şirketler, güvenlik bilinci eğitiminin önemini yavaş yavaş fark etmişlerdir. Sıradan güvenlik bilinci eğitimine ek olarak, şirketler, en iyi sonuçları elde etmek için farklı gruplar için hedefli eğitim de yürütmelidir.
Birincisi, liderlik ve yönetim eğitimi, Yukarıda bahsedilen yöntem, yönetimin katılımı olmadan uygulanamaz. Ancak yönetim iç tehditlerin ciddiyetinin farkına vardığında ve önleme hissine sahip olduğunda, işletmenin iç savunması sorunsuz bir şekilde uygulanabilir. Güvenlik uzmanlarının, tehdit istihbaratını düzenli olarak özetlemesi ve bu tehditlerin şirketin mali durumu ve itibarı üzerindeki ciddi etkisini anlayabilmeleri ve ardından dikkatlerini çekebilmeleri için yönetime geri bildirmeleri en iyisidir.
İkincisi, kuruluştaki güvenlik uzmanları için eğitimdir , Güvenlik işinden doğrudan sorumludurlar, ancak bazı yanlış anlaşılmalar olabilir. Güvenlik araçlarının her şey olmadığının ve iç tehditleri önlemenin daha da zor olduğunun farkında olmaları gerekir. Güvenlik araçları, dinamik sorunlara yalnızca statik çözümlerdir. Ancak insanlar her zaman değişkendir ve her zaman aracı kırmanın veya atlamanın bir yolunu bulabilirler. Bu nedenle, güvenlik uzmanları araçlara güvenemez ve arkalarına yaslanıp rahatlayamazlar; her zaman değişikliklerle yüzleşmeye hazır olmalıdırlar. Buna ek olarak, bir sorun oluştuğunda, en iyi yolun kasıtlı olarak örtbas etmek yerine zamanında bildirmek olduğunu da anlamalıdırlar. Yönetim buna dikkat etmese bile güvenlik uzmanı olma sorumluluğunu üstlenmeli, sorunla yüzleşmeli ve sorunu çözmeye çalışmalıdır.
Son olarak, sıradan çalışanlar için düzenli eğitim ve değerlendirme Çalışanların güvenlik bilincini ve güvenlik alışkanlıklarını ince bir şekilde geliştirmek için şirketin göze çarpan bir konumunda bir slogan yayınlamanın veya bir tanıtım videosu oynamanın iyi bir yoludur.
Teknik önleme
Yukarıdaki teorik düzeye ek olarak, dahili tehditleri önlemek için teknik düzeyde de bazı önlemler alınabilir.Aşağıdakiler bazı yaygın yöntemlerdir:
Şifreli depolama ve verilerin iş yönetimi: belirli bir işten sorumlu kişi, yalnızca belirli bir aralıktaki verilerin bir kısmını görebilir;
Veri hiyerarşik yönetimi: Alt düzey iş personeli belirli verileri sorgulamak isterse, amirlerinden veya ilgili iş yöneticilerinden geçici yetkilendirme almalıdır;
Veri işbirliğine dayalı yönetim, iç akış kontrolü;
Honeypot ve honeymark tabanlı dahili tehdit tespiti;
Kimlik doğrulama ve tanımayı geliştirmek için BYOD politikaları uygulayın;
Kullanıcı davranışı analizini (UBA) güçlendirin
Düzenleyiciler aynı zamanda bir kılıç olmalıdır
Kurumsal güvenlik bilinci ve gevşek denetim eksikliğine ek olarak, yaygın yerli hayaletlerin en önemli nedeni, büyük kârların cazibesi ve düşük suç maliyetidir. Bu nedenle, son yıllarda, düzenleyici makamlar, iç hayaletlerin yayılmasını hukuk ve denetim açısından engellemek için yasama ve uygulama çabalarını kademeli olarak artırmıştır.
"Two Highs" da yayınlandı "Vatandaşların Kişisel Bilgilerinin İhlal Edildiği Suç Davalarının Ele Alınmasında Kanunun Uygulanmasına İlişkin Çeşitli Konular Üzerine Yorum" 50'den fazla öğenin yasa dışı olarak elde edildiği, satıldığı veya vatandaşların takip bilgileri, iletişim içeriği, kredi bilgileri ve mülkiyet bilgileri için sağlandığı sürece, bunun "ciddi bir durum" teşkil ettiğini açıkça belirtmektedir. Vatandaşların konaklama bilgileri, iletişim kayıtları, sağlık ve fizyolojik bilgiler, işlem bilgileri gibi kişisel ve mülk güvenliğini etkileyebilecek diğer kişisel bilgileri için standart 500'ün üzerindedir. Diğer vatandaşların kişisel bilgileri için standart 5.000'den fazladır.
Sektördeki "iç hayaletler" e gelince, "Yorum" suçlama standardını düşürür. "Yorum", vatandaşların görevlerini yerine getirirken veya hizmet verirken elde ettikleri kişisel bilgilerinin satılması veya başkalarına verilmesi ve miktar veya miktarın adli yorumda öngörülen ilgili standartların yarısından fazlasına ulaşması halinde ceza hukukunda öngörülen "ciddi durumlar" olarak belirlenebileceğini hükme bağlamaktadır. Suç teşkil ediyor.
Ayrıca, vatandaşların kişisel bilgilerini sızdırmanın cezai bir suç olduğunu da bilin. "Ceza Hukukunda Değişiklik (7)" Hükümler:
Mali, telekomünikasyon, ulaşım, eğitim, tıp ve diğer birimlerin personeli, vatandaşların görevlerini yerine getirirken elde ettikleri kişisel bilgileri satarak veya yasadışı yollarla vererek veya başkalarına hizmet sunarak ulusal mevzuatı ihlal etmişlerdir. Koşullar ciddi ise, suç. Satıcılar, yemek sipariş eden ve onları, vatandaşların haklarını ciddi şekilde ihlal eden ve kanunen kovuşturulması ve cezalandırılması gereken "emtia" olarak satan müşteriler hakkında yasadışı bir şekilde bilgi toplar.
Elbette ülkemizde de işletmelerin uyması gereken bilgi güvenliği düzenlemelerine ilişkin düzenlemeler bulunmaktadır. Siber Güvenlik Yasası, ağ operatörlerinin topladıkları kullanıcı bilgilerini kesinlikle gizli tutmalarını ve kullanıcı bilgilerini koruma sistemlerini kurmalarını ve geliştirmelerini, topladıkları ve engelledikleri kişisel bilgilerin güvenliğini sağlamak için teknik önlemleri ve diğer gerekli önlemleri almalarını açıkça şart koşmaktadır. Bilgi sızıntısı, hasarı ve kaybı ". Aksi takdirde uyarı, para cezası, işletme ruhsatının iptali gibi cezalar verilebilir. Müşterilerin özel bilgilerini kesinlikle saklamak operatörün yasal sorumluluğudur.
Vatandaşların ve işletmelerin güvenlik bilincinin artırılması, mevzuatın sürekli iyileştirilmesi ve çeşitli önlemlerin ve prosedürlerin sürekli iyileştirilmesiyle, iç hayalet sızıntılarının durumu hafifletilebilir. Ancak, "insanlar her zaman en zayıf halkadır." Hücum ve savunma savaşında, ancak durmadan ilerleyebiliriz.
(Not: Bu makaledeki resimlerin tamamı internetten ve kaynak kaynak makaledeki resimlerden alınmıştır)
* Yazar: AngelaY, yeniden yazdırın lütfen yazarı belirtin ve FreeBuf.COM'dan
