Şirket İçi BT Suistimalleri: Uygunsuz Erişim Hakları
Şirket İçi BT Suistimalleri: Uygunsuz Erişim Hakları
ACFE’nin Suistimal Soruşturmacısı El Kitabı (Fraud Examiners Manual)’na göre bilgi sistemleri suistimalleri (cyberfraud) tanımı şu şekilde yapılmıştır:
“Bir kişi veya kuruluş için mali bir kayba neden olan değerli bir şey elde etmek veya almak için gerçeğin kasıtlı olarak yanlış beyan edilmesini veya verilerin değiştirilmesini içeren bilgisayar destekli faaliyet”.
Bilgi sistemleri suistimallerinin diğer suistimal türlerinden en önemli farkı suistimalcilerin eylemlerini gerçekleştirmek için bilgisayar araçlarını kullanmasıdır. Şirket bilgisayarlarını tehdit eden yetkisiz erişim elde etme yollarını ele aldığımızda tehditlerin şirket içinden de gelebileceği unutulmamalıdır. Şirket içindeki kişiler bazen pozisyonları gereği kendilerine verilen fazla yetkileri uygunsuz bir şekilde kullanabilir ve bilgi erişimini istismar edebilir.
Suistimalciler genellikle şirketlerinin iç kontrol sistemlerindeki zayıflıkların farkındadır ve suistimal eylemlerinin üzerini kapatmak için bu zayıflıklardan faydalanır. Özellikle orta ölçekli ve kurumsal olgunluk seviyesi düşük şirketlerde çalışanların erişim hakları kısıtlanmamaktadır. Bu durum bilgi sistemlerinde çok geniş yetkilere sahip olan kullanıcıların doğmasına ve zamanla artmasına sebep olur.
Çalışanların sahip olduğu aşırı erişim hakları suistimal fırsatlarını beraberinde getirebilir. Suistimal soruşturmalarını yürüttüğümüz bazı projelerde karşılaştığımız örnekleri aşağıda sıralayacak olursak;
- Bir şirkette uzun yıllardan beri çalışan muhasebe personelinin yeni tedarikçi ekleme, tedarikçi bilgilerinde değişiklik yapma ve tedarikçi faturalarını kaydetme yetkilerine sahip olduğu bir ortamda bu kişi paravan şirketi tedarikçi veri tabanına tanımlayabilir. Bu örnekten yola çıkarak fatura suistimalini gerçekleştiren çalışan, hayali veya içeriği değiştirilmiş faturayı şirket kayıtlarına almak için paravan şirketi kullanacaktır.
- Bir şirketin en yüksek satış performansına sahip mağazası kampanyalı (örneğin bir alana bir bedava) satışlarda hileli işlemler aracılığıyla ortalama satışlarını artırabilir. Yazar kasalarda satır iptal, fiş iptal, iade ve ürün transferine yönelik yetkilerin kısıtlanmadığı durumlarda şirketler, yazar kasa suistimalleriyle karşı karşıya kalacaktır.
- Bir şirketin en kritik çalışanlarından olan insan kaynakları müdürü bordro sistemine personel ekleme, ücret ekranlarında değişiklik yapma yetkilerine sahip olduğu bir ortamda sisteme hayali personel ekleyebilir. Şirket bu durumdan hiç şüphelenmeyecek, hayali personelin tespiti ise uzun zaman alacaktır.
Bilgi sistemlerine yönelik erişim haklarının yapılandırılması için Kimlik ve Erişim Yönetimi (IAM) kontrolleri kullanılmaktadır. Kimlik ve Erişim Yönetimi, kullanıcıların bilgisayar sistemlerini ve ağlarını kullanmalarına yönelik onay sürecini ifade eder ve kimin hangi bilgilere erişebildiğini yönetme sürecidir.
IAM, şirket içerisinde birçok birimi ilgilendiren, yalnızca Bilgi Teknolojileri (BT) departmanından ibaret olmayan, çeşitli politika, prosedür, faaliyet ve teknolojileri içeren bir süreçtir. IAM süreçleri temel olarak şu üç soruya cevap vermektedir:
1. Kim, hangi bilgilere erişebilmektedir?
2. Sağlanan erişim, görevin yapılması için uygun düzeyde midir?
3. Erişim ve faaliyetler uygun bir şekilde izleniyor, günlüğe (log) kaydediliyor ve raporlanıyor mu?
Erişim kuralları kimin neye erişebileceğini belirtir. Örneğin, erişim kontrolü (Access Control) genellikle kullanıcılara yalnızca görevlerini yerine getirmeleri için gereken erişimlerin verilmesi anlamına gelen en az ayrıcalığa (Least Privilege) dayanır.
İç denetçiler bilgi sistemleri erişilebilirliğini gözden geçirdiğinde, erişimle neler yapılabileceğini ve nelerin kısıtlandığını bilmelidir. Rotasyon ve terfi sonucunda önceden personele tanımlanmış haklar ve uygun olmayan yetkilere sahip durumları tespit etmek için şirket, erişim haklarını periyodik aralıklarla gözden geçirmelidir. Erişim haklarının gözden geçirilmesi için iş birimlerinin erişim hakları raporlarını talep etmesi ve gerekli değişiklikleri uygun IAM mekanizmaları aracılığıyla BT departmanına iletmesi gerekir. Diğer taraftan IAM süreci kapsamında görevler ayrılığı analizi ise kritik bir öneme sahiptir. Analiz sonucunda alınacak aksiyonlar, bir iş süreci boyunca bir personele uygun olmayan erişim imkânı sağlayan hakların verilmesini engelleyecektir.
Bir kimlik oluşturulması ve erişim haklarında değişiklik süreçleri, yönetici onayı ile BT departmanının erişim talebini incelemesini kapsamalıdır. BT departmanı, kullanıcı kimliklerinin onaylanmasından sorumlu tutulmamakla birlikte, çeşitli BT sistemlerinde verilen erişim haklarının birbirleriyle nasıl etkileşime girdiğini daha iyi anladıkları için sürece dahil olmalıdır.
Ayrıcalıklı hesaplar (privileged accounts), normalde, BT sistemlerinin ve genel BT altyapısının yönetiminden sorumlu BT departmanı içindeki kişiye atanır. Bu kullanıcılara, BT ortamında üst düzey ve bazen belgelenmemiş değişiklikler yapmalarına izin veren bir erişim düzeyi emanet edilir. Bu hesaplara gereksiz veya uygunsuz erişimi önlemek için IAM politika beyanına bu hesapların uygun şekilde sağlanması, yönetilmesi ve uygulanmasına ilişkin bir bölüm eklenir.
Sonuç olarak; suistimal eylemleri kurumun ağır maddi kayıplar yaşamasına sebep olan, tespit edilmesi oldukça zor riskleri barındırmaktadır. IAM süreci bilgi sistemlerine veya bir bilgisayar sistemine yetkisiz erişimi engellediği için ilk savunma hattıdır. Doğru yapılandırılmış IAM kontrolleri, suistimalcilerin hileli işlemleri şirket bilgi sistemleri içinde saklamasını engelleyeceği gibi suistimal fırsatlarının azaltılmasında da caydırıcı olacaktır.
Kaynaklar:
- Fraud Examiners Manual 2021 Edition
- GTAG 9 Identity and Access Management
- CISA Review Manual 27th Edition
