İş dünyasının ve yönetim aygıtlarının 21. yüzyılda karşılaştığı sorunların başında gelen veri ihlalleri, her yıl milyonlarca dolarlık kayba ve kurumsal imajın zedelenmesine yol açıyor. Yapılan araştırmalardaki sonuçlar da söz konusu kaybı doğrular durumda. IBM tarafından yapılan araştırmaya göre 2021’de bir veri ihlalinin ortalama maliyeti 4,24 milyon doları bulurken, 4,24 milyon dolar veri ihlali maliyeti, son 17 yılın zirve değeri olarak öne çıkıyor. Bu ihlalleri önleyerek kayıpları ortadan kaldırmanın veya azaltmanın en işlevsel yollarından biri ise veri maskeleme (data masking).
Siber güvenlik protokollerinin alt başlıklarından biri olan erişim güvenliği tahsisinde çok önemli rol oynayan veri maskeleme, aynı zamanda 6698 sayılı KVKK (Kişisel Verileri Koruma Kurumu) kanununun talep ettiği veri güvenliği gereklilikleri arasında yer alıyor.
Bu yazıda veri ihlali olaylarının meydana gelmesini engellemek için oluşturulacak yetkili hesap erişim güvenliği sisteminin temel parçalarından biri olan veri maskeleme yöntemini tanım, tür ve işlev açısından ele alıp ilgili yöntemin kuruluşlar açısından yarattığı faydaları irdeleyeceğiz.
Ayrıcalıklı erişim sistemlerinin yapı taşlarından biri olan veri maskeleme; veri gizleme, veri anonimleştirme ve takma isimlendirme şeklinde de adlandırılıyor. Data masking, karakterler ve sayılar gibi değiştirilmiş, işlevsel, hayali veriler kullanarak gerçek verilerin gizlenmesini sağlayan bir siber güvenlik yöntemini ifade ediyor.
Veri maskeleme, kritik veri sınıfındaki verileri koruyup bir siber saldırgan tarafından kolayca tanımlanamayacak hâle getirmeye yarıyor. Tersine mühendislik uygulamaları aracılığıyla ele geçirilemeyecek bir veri sürümü oluşturmayı amaçlayan data masking yöntemi, verilerin birden fazla veri tabanında tutarlı olmasını ve kullanılabilirliğinin değişmemesini sağlıyor.
Öte yandan ilgili yöntemin bir siber saldırı karşısında sağladığı temel avantajın kritik verilerin başında gelen kimlik bilgileri ve parolaları, iş modelinize dahil olan üçüncü taraflarla veri paylaşımında bulunurken bile korumak olduğunu belirtmekte yarar var.
Veri maskeleme, kuruluşlar için birçok farklı nedenle son derece önemli. Öncelikle data masking yöntemi hassas verilerin ele geçirilme ihtimalini azaltarak kuruluşların GDPR ve KVKK yönetmeliklerine uyum sağlamasını kolaylaştırıyor. Bahsi geçen yönetmeliklere uyum sağlamak ise kuruluşlar açısından önemli ölçüde rekabet avantajı yaratıyor.
Bu yöntem verilerin kullanılabilirliğinin ve tutarlılığının muhafaza edilmesini mümkün kılıyor. Data masking bir yandan verilerin işlevsel yapısını korurken bir yandan da onları siber saldırganların erişimi ve kullanımı açısından işe yaramaz hâle getiriyor. Ayrıca veri maskeleme, dijital iş akışlarının doğal bir parçası olan üçüncü taraf uygulamalar ve bulut bilişim aracılığıyla yapılan veri paylaşımlarındaki ihlal riskini azaltıyor.
Tüm bunlara ek olarak data masking, yürüttüğünüz projelerde dış kaynak kullanımı ile ilgili tehditleri minimize ediyor. Kuruluşlar dış kaynak kullanımına ilişkin iş ilişkilerini genelde karşılıklı güven üzerine inşa ettiği için veri güvenliği denetiminin yetersiz kaldığı durumlar ortaya çıkabiliyor. Veri maskeleme, en az ayrıcalık (least privilege) ilkesinden beslendiği için söz konusu iş sürecinde de verilerin kötüye kullanılmasının önüne geçmeyi başarıyor.
Veri maskelemenin önemini kuruluşlar açısından büyük öneme sahip iş kolları ve faaliyet alanlarında ortaya çıkarılan güncel verilerle de desteklemek yararlı olabilir.
İş dünyasında ve yönetim aygıtlarında gerçekleşen veri ihlallerinin sayısı ve ihlallerinin neden olduğu maliyet her yıl artıyor. IBM’in son hazırladığı raporda, artan ihlal maliyetleri ile ilgili çarpıcı veriler ortaya koyuyor. Örneğin 2020’de bir veri ihlalinin ortalama maliyeti 146 dolar iken 2021 itibarıyla bu maliyet 161 dolara ulaştı. Yine aynı raporda yer alan başka bir veri de ihlallerin tespit edilip kontrol altına alınma sürecinin uzadığını gösteriyor. 2020’de bir veri ihlalini belirlemek ve kontrol altına almak için kuruluşlar 280 güne ihtiyaç duyarken 2021’de 287 güne ihtiyaç duyuyor. Tespit ve kontrol için gereksinim duyulan sürenin uzaması, veri maskeleme yöntemini kullanmayı daha da mühim kılıyor.
Verizon’un hazırladığı DBIR-2021 Data Breach Investigation Report’ta yer alan veriye göreyse ihlallerin %85’inde insan dahli bulunuyor. IBM raporu da ihlallere insan katkısını ortaya koyan bu veriyi maliyet açısından destekliyor. Raporda kötü niyetli kişilerin neden olduğu ihlallerin 4,61 milyon dolar maliyete neden olduğu ifade edilirken iş e-postası ihlallerinin de 5,01 milyon dolar maliyete sahip olduğu ortaya konuyor.
IBM ve Verizon’un hazırladığı raporlardaki istatistikler gösteriyor ki siber saldırganlar ya da iç tehditler kritik veri türlerini hedefleyerek kötü niyetli işlemler yapabiliyor veya siber saldırılara neden olabiliyor. Peki bu veri türleri neler? Siber saldırganların hedef aldığı kritik veri türleri şöyle sıralanabilir:
Kendi içlerinde alt başlıklara ayrılmakla birlikte veri maskelemenin temel türleri statik veri maskeleme, dinamik veri maskeleme, deterministic veri maskeleme ve on-the-fly veri maskeleme olarak isimlendirilendiriliyor. Kendi içlerinde ise şifreleme, gizleme, karıştırma, iptal, ikame, sayı ve tarih farkı, yaşlandırma tarihi metodolojilerini barındırıyor. Şimdi biraz da bu veri maskeleme türlerini detaylandıralım dilerseniz.
Statik Veri Maskeleme
Statik veri maskeleme yönteminde veri yığınları orijinal veri tabanında maskeleniyor. Bu yöntemde daha sonra ise test verileri ortamı, kuruluşların söz konusu verileri üçüncü taraflarla paylaşabilmelerini kolaylaştırmak amacıyla yeni bir test ortamına kopyalanıyor.
Dinamik Veri Maskeleme
Dinamik veri maskelemede, statik yöntemden farklı olarak, maskelenen verileri depolamak için yeni bir test ortamına gereksinim duyulmuyor. Dinamik veri maskeleme yönteminde veriler orijinal havuzda kaldığı için sadece sizin BT ağınızdaki yetkili kişiler tarafından kullanılabiliyor. Böylece veriler hiçbir şekilde ayrıcalıklı erişim hakkı olmayan kullanıcılara gösterilmiyor.
Ayrıca ilgili yöntemde verilerin maskelenmesi için karıştırma işlemi gerçek zamanlı yapılıyor. Sadece ayrıcalıklı hesaplar gerçek verileri görebiliyor. Dinamik veri maskeleme elde etmek amacıyla genelde ters proxy yöntemi kullanılıyor. Bu yöntemi elde etmek için kullanılan diğer yönteme ise anında veri maskeleme ismi veriliyor.
Deterministic Veri Maskeleme
Deterministic veri maskeleme türü sütunlarda yer alan verilerin aynı değerle değiştirilmesiyle oluşuyor. Örneğin, veritabanlarınızda birden çok tablodan oluşan bir isim sütunu varsa, isme içeren birçok tablo oluştulabiliyor. Mesela ‘Ali’yi ‘Veli’ olarak maskelemeniz durumunda, ‘Ali’ bundan sonra yalnızca maskeli tabloda değil, tüm ilişkili tablolarda da 'Veli' olarak gösteriliyor. Daha sonra bu maskelemeyi her çalıştırdığınızda ise tablolarda ‘Ali’ yerine ‘Veli’yi görmeye devam ediyorsunuz.
On-the-fly Veri Maskeleme
On-the-fly veri maskeleme, üretim ortamlarından test veya geliştirme gibi başka bir ortama veri aktarıldığı durumlarda gerçekleştirilebiliyor. Bu gibi ortamlarda maskelenmiş verilerin sürekli olarak yedek bir kopyasını tutmanın zor olmasından ötürü on-the-fly veri maskeleme daha çok kesintisiz yazılım kurulumu ve veri akışı olan ya da geniş ve iç içe geçmiş entegrasyonları bulunan ortamlarda karşımıza çıkabiliyor.
Bu veri maskeleme türlerinden dinamik veri maskeleme çözümünü içeren Ayrıcalıklı Erişim Yönetimi (PAM) ürünümüz Single Connect, Database Access Manager & Dynamic Data Masking modülüyle veri tabanındaki tüm yönetici hareketlerini kaydedebiliyor ve BT ağınızda yapılan işlemlerle ilgili şüphe duymamanızı sağlayacak şekilde maskeleyebiliyor. Dinamik Veri Maskeleme modülü ile veritabanı sorgu sonuç kümelerindeki hassas veriler gizlenebilirken, Redaction/Nulling (Redaksiyon/Sıfırlama), Shuffling (Karıştırma), Blurring (Bulanıklaştırma), Tokenization, Substitution (Değiştirme) ve bazı özel tanımlamalar yapılabiliyor.
Küresel çapta en başarılı Privileged Access Management çözümleri arasında yer alan Single Connect, Dinamik Veri Maskeleme (Dynamic Data Masking) modülü sayesinde şirketlerin ve kurumların kritik verilerinin açığı çıkmasını önlüyor. Gartner’ın hazırladığı Gartner Magic Quadrant for PAM ve Omdia tarafından hazırlanan Omdia Universe: Selecting a Privileged Access Management Solution, 2021–22 raporlarına girerek Ayrıcalıklı Erişim Yönetimi konusundaki başarısını kanıtlayan Single Connect, gelişmiş modülleri ve en az ayrıcalık ilkesine dayanan çalışma prensibi ile dijital dünyadaki varlığınızı korumanıza ve iş akışlarınızı sürdürülebilir kılmanıza yardım ediyor.
Siz de Single Connect hakkında daha fazla bilgi sahibi olmak ve merak ettiğiniz konuları uzman ekip arkadaşlarımıza sormak için bizimle iletişime geçebilir, PAM çözümümüz ile ilgili tüm sorularınızın yanıtlarını bulabilirsiniz.