Mesleki dolandırıcılık/hilekârlık önemli bir sorun olmaya devam etmektedir. “Association of Certified Fraud Examiners” (Sertifikalı Dolandırıcılık/Hilekârlık Denetçileri Derneği) tarafından mesleki dolandırıcılık (occupational fraud) üzerine hazırlanan 2023 tarihli bir rapora[1] göre, küresel kayıplar 42 milyar dolara ulaşmış olup ortalama kayıp 150 bin dolardı. Yöneticiler ve liderler hibrit veya uzaktan çalışanlarının bir dolandırıcılık riski vektörü olmadığını varsaymayı sevseler de mantık tam tersini söylüyor.
Uzaktan çalışma ile işyeri dolandırıcılığındaki artış arasında henüz kanıtlanmış doğrudan bir ilişki olmasa da, hibrit çalışma modelinde uzaktan çalışanların, ofis ortamının geleneksel fiziksel kontrolleri olmadan tüketici verilerini kullanma konusunda daha fazla fırsata sahip olduğu söylenebilir.
Buna ek olarak, kuruluşların “kendi cihazını getir”[2] (bring your own device) politikası uyguladığı yerlerde, cihazlar diğer şirkete ait cihazlar kadar sıkı bir şekilde izlenmeyebilir veya korunamayabilir. Sonuç olarak, hibrit çalışmanın bu yeniçağında, kuruluşların ilave risklerin farkında olmaları ve hibrit ve uzaktan çalışmanın hem işveren hem de çalışan için işe yaramasını sağlamak için yaklaşımlarını uyarlamaları gerekir.
Daha az bilindiği ve genellikle harici dolandırıcılık kadar büyük parasal kayıplara yol açmadığı için, çalışan dolandırıcılığı aynı ilgiyi görme eğiliminde değildir. Ancak, etki birden fazla biçimde olabilir ve geniş kapsamlı etkileri olabilir:
- Finansal etki (financial impact): Çalışan dolandırıcılığının en belirgin sonucu kaybedilen paradır. Bu gerçekleştiğinde, genellikle büyük bir miktardır çünkü çalışan sistemdeki açığı tespit etmiş ve tespit edilmeden olabildiğince çabuk bunu mümkün olduğunca çok kullanmıştır.
- Düzenleyici ihlaller (regulatory breaches): Kuruluşların, çalışan dolandırıcılığı sonucu olanlar da dâhil olmak üzere siber ihlallere karşı koruma sağlamak için önlemler alması gerekir. Hangi sektörde faaliyet gösterdiklerine bağlı olarak, ihlalleri tespit edip yanıtlayamayan kuruluşlar, para cezaları da dâhil olmak üzere önemli cezalarla karşılaşabilir.
- İtibar kaybı (reputational damage): Düzenleyici cezaların ardından kuruluşlar düzenleyici otoriteler tarafından isimlerinin açıklanması ve itibarlarının zedelenmesiyle karşı karşıya kalabilir ve bunun sonucunda markaları zarar görebilir.
Hibrit çalışma dolandırıcılığı nasıl görünüyor?
Karma bir iş gücünde çalışan dolandırıcılığının nasıl görünebileceğini inceleyelim. Bu, dolandırıcı çalışanlar olduğunda gerçekleşir:
- Sağlanan veya “kendi cihazını getir” cihazları aracılığıyla meşru erişimlerini kullanarak bir tüketicinin profilini düzenler ve sahip oldukları başka bir cihaz ve elektronik postayla (e-posta) ilişkilendirir. Bunlar daha sonra tüketici hesaplarına erişim sağlamak veya fon transferlerini kolaylaştırmak için kullanılır.
- Tüketici hesabı hakkında toplanan bilgiler kullanılır ve diğer çalışan hesaplarını kullanarak kendilerine yetkisiz ödemeler veya transferler yönlendirilir.
- Müşteri kayıtlarına erişmek ve ekranda görüntülenen hassas bilgilerin fotoğraflarını çekmek için “kendi cihazını getir” cihazları kullanılır ve verileri şifreli mesajlaşma uygulamaları veya kişisel e-posta hesapları vasıtasıyla iletilir.
Çoğu kuruluş, kuruluşlarını ağ saldırılarına karşı korumak için muhtemelen standart satıcı çözümlerine güvenecektir. Bu sistemler, bir kullanıcının verilere erişim düzeyini aştığını, kullanıcı kimliğine ve belirtilen politikalara ve izinlere bakarak tespit eder. Ancak, hibrit çalışma ve “kendi cihazını getir” dünyasında, bu artık yeterli değildir. Örneğin, bir kuruluşun çalışanı bir meslektaşının parolasını ve kimlik bilgilerini çalarsa, bu kimlik bilgilerini kullanarak kendi cihazından bir işlemi tamamlayabilir. Standart bir satıcı çözümü için, bu bir ihlal değildir çünkü görünüşte, kullanıcı bu eylemi gerçekleştirme iznine sahiptir.
Gelişmiş çözümler
Bu tür ihlallerin tespitine yardımcı olmak için daha sofistike teknikler ve teknolojiler mevcuttur. Bu daha geniş çözümler, sistemler genelinde paylaşılan kaynakları inceler ve birden fazla kimlik bilgisinin tehlikeye atıldığı izinsiz girişleri belirler.
Bu, uygulama sunucusu günlükleri, uç nokta telemetrisi, tüketici portalı erişim günlükleri, işlem verileri, cihaz verileri ve daha fazlası gibi çeşitli kaynaklardan gelen verilerin öncelikle birleştirilmesiyle gerçekleştirilir.
Veriler toplandıktan sonra, grafik analitiği çalışanlar, cihazlar, tüketici hesapları ve eylemler arasındaki ilişkileri haritalayabilir. Sıra dışı etkinlik veya bağlantılara sahip kümeleri belirleyebilir ve müşteri profili değişiklikleri veya çalışanlar tarafından ödeme başlatma gibi anormal erişimi veya sıra dışı etkileşimleri işaretleyebilirler. Kullanıcı kimlikleri, cihaz dijital sertifikaları, cihaz türleri (“kendi cihazını getir” ve sağlanan) ve IP adresleri ilişkilendirilebilir.
Benzer şekilde, çalışanlarla ilişkilendirilen IP (İnternet Protokolü) adresleriyle aynı veya yakın IP adreslerinden kaynaklanan bilinmeyen cihazlardaki tüketici işlemleri de tespit edilebilir.
Aynı zamanda, zamansal analiz, profil değişikliklerinin izinsiz erişimle takip edildiği yerleri belirlemek için olayların sırasını inceleyebilir. Sistemlere normal çalışma saatleri dışında erişilmesi, ağ bağlantılarının alışılmadık kullanım kalıpları, hesaplar genelinde tüketici bilgilerinde sık sık değişiklik yapılması ve bir çalışanla ilgili tüketici hesaplarında bilinmeyen cihazların kullanılması gibi anormallikler incelenebilir.
Bahsedilen birden fazla veri noktası bir araya getirilip analiz edilerek, analize dayalı uyarılar üretilebilir. Bunlar şunları içerir:
- Çalışanlar tarafından müşteri profilinde anormal değişiklikler yapılması veya normal çalışma düzenlerinden önemli sapmalar olması.
- Müşteriler arasında aynı hassas verilerde alışılmadık değişiklikler yapılması.
- Çalışanların müşteri profillerinde yaptığı değişiklikler sonrasında tüketici hesabıyla ilişkili olmayan IP adreslerinden tüketici hesaplarına yetkisiz erişim girişimleri; çalışanlarla ilişkili olduğu bilinen IP adreslerine sahip tüketici hesaplarına erişim için kullanılan IP adreslerinin yakınlığı.
- Çalışan değişiklikleri sonrasında tüketici hesaplarından gelen birden fazla şifre sıfırlama talebi.
- Alışılmadık IP adreslerine bağlı ticari faaliyetler için kullanılan cihazlar.
- Normal çalışma saatleri dışında çalışanların gerçekleştirdiği yüksek riskli faaliyetler.
- Çalışanlar tarafından erişimin artırılması veya ayrıcalıkların yükseltilmesi girişimleri.
- Kullanıcı, cihaz ve IP adresi düzeyinde rol temelli erişim denetimi (role-based access control) veya öznitelik temelli erişim denetimi (attribute-based access control) politika ihlalleri.
Daha sofistike bir tespit çözümüne sahip olmanın amacı her zaman aynıdır: dolandırıcılık gerçekleşmeden önce anormallikleri tespit etmek, böylece kuruluş potansiyel sorunlardan haberdar edilebilir ve buna göre araştırma yapılabilir. Teknoloji bu çok sayıda veri noktası ve tekniği kullanarak, ne olduğuna dair bir resim oluşturabilir ve kuruluşu bir sonraki adımları atmak için gereken tüm bilgilerle donatabilir. Dahası, kuruluşlar analizi ihtiyaç duydukları sıklıkta, sürekli olarak arka planda veya aralıklı olarak çalıştırabilirler.
Hibrit çalışma cihazı çeşitliliği, kuruluşların siber güvenliklerini nasıl yönettiklerini yeniden değerlendirmeleri gerektiği anlamına gelir. Fiziksel bir ofis alanı tarafından çalışanlar üzerinde oluşturulan kısıtlamalar ve kontroller artık geçerli olmadığından, yalnızca çalışanların izinlerine ve bunların aşılıp aşılmadığına odaklanan çözümler artık olası dolandırıcılık faaliyetlerine karşı koruma sağlamak için yeterince karmaşık değildir.
[1] <https://www.acfe.com/fraud-resources/global-fraud-survey>.
[2] Çevirenin Notu: “Kendi cihazını getir” (bring your own device), çalışanların iş yerinde kişisel cihazlarını (örneğin, akıllı telefonlar, tabletler, dizüstü bilgisayarlar) kullanmalarına izin veren bir iş politikasıdır. Bu ifade, aynı zamanda kendi teknolojini getir, kendi telefonunu getir ve kendi kişisel bilgisayarını getir (bring your own technology, bring your own phone, and bring your own personal computer) olarak da adlandırılır.
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.