Güvenlik Sistemlerinde İnsan Faktörü

Güvenlik sistemlerinin kalbinde kullanıcılar yer almaktadır. Özellikle bilgisayar güvenliğinde, birçok teknolojik denetim, kullanıcı tarafından devre dışı bırakılabilmektedir. Örneğin, bir bilgisayar sistemine bağlanıldığında, kullanıcıdan kendisine ait, başkası tarafından bilinmeyen gizli şifreyi girmesi beklenmektedir. Böylece sistem, o kullanıcının adıyla bir başkasının sisteme girmesine izin vermemekte, kimlik doğrulaması gerçekleştirilmektedir. Eğer kullanıcı, şifresini başka birine söylerse, gerçekte erişim yetkisi olmayan başka bir kullanıcı sisteme bağlanabilecektir. Sistemin bu kullanıcıyı saldırgan olarak algılaması mümkün olmayacaktır.

Bir kurumun sistemine saldırmak isteyen ve sisteme girme yetkisi olmayan kişiler sistem için ciddi bir tehdit oluşturmaktadırlar. Ancak, kurumun sistemine girme yetkisi olan, kurumun kendi çalışanları daha ciddi bir tehdit unsuru olmaktadırlar. Çünkü bu çalışanlar, sistemin çalışma prensiplerini bilen, sistemin belirli noktalarına erişim izni/hakkı olan, sistemin güvenlik kontrol noktalarını bilen kişilerdir. Bu kullanıcılar, bu kritik bilgileri kullanarak, sistemin birçok güvenlik kontrol noktasını atlatarak sisteme zarar verebilmektedirler.

Yeterince eğitim almamış personel, sistem güvenliğini tehdit eden bir diğer unsurdur. Örneğin, yedekleme sisteminde, bilgilerin yedeğini teyp ünitelerine alırken, yedeğin doğrulamasını yapmayan sistem kullanıcısı, herhangi bir saldırganın sistemdeki kritik dosyaları silmesi sonucu, yedek ünitelerinden ilgili dosyaların geri alınmasını sağlayamayabileceği için sistem zarar görmüş olacaktır.

Güvenlik mekanizmalarının sonuçlarını doğru değerlendiremeyen sistem yöneticileri, sisteme bir saldırının yapıldığını fark etmeyebilmektedirler. Bunun yanı sıra, güvenlik ayarlarında hata yapmaları durumunda, sistemin güvenliğini zayıflatmış olacaklardır. Ayrıca, kullanıcılar da, güvenlik mekanizmalarını doğru bir şekilde kullanmadıklarında, yine güvenliği zayıflatmış olacaklardır. Tahmin edilebilen basit kullanıcı şifreleri buna örnek olarak gösterilebilmektedir.

Sistem operatörlerinin, şifresini unutan kullanıcıların şifrelerini değiştirme isteklerini telefon çağrıları ile yapmaları başka bir güvenlik açığına sebep olacaktır. Böyle bir yöntem izlendiğinde, saldırganın tek yapması gereken, sistem operatörünü arayarak, sistemdeki bir kullanıcının adını vermesidir. Bu durumda operatör, ilgili kullanıcının şifresini telefonda saldırgana vermiş olacak, böylece saldırgan da normal sistem kullanıcısı olarak sisteme bağlanabilecek ve saldırısını gerçekleştirebilecektir.