Giriş
Kurumsal siber güvenlik politikaları, genellikle dış tehditlere odaklanır: phishing saldırıları, zararlı yazılımlar, veri sızıntıları… Ancak 2025 yılında asıl büyük zararlar, şirket içinden yani “insider threat” dediğimiz içeriden gelen tehditlerle yaşanıyor. Gönüllü ya da gönülsüz şekilde kurum verisini dışarı sızdıran, şirket kaynaklarını zimmetine geçiren veya sahte işlem yapan çalışanlar, bu yıl dolandırıcılığın görünmeyen yüzünü oluşturuyor.
Bu yazıda, içeriden dolandırıcılığın 2025’te nasıl şekillendiğini, hangi sektörlerde yoğunlaştığını ve bu riske karşı kurumların alması gereken önlemleri detaylıca inceliyoruz.
1. İçeriden Dolandırıcılık Nedir?
Bir kurum çalışanının:
- Yetkisini kötüye kullanarak sahte işlem yapması
- Şirketin finansal veya kişisel verilerini üçüncü taraflara sızdırması
- Tedarik zinciri, muhasebe ya da insan kaynaklarında hileli faaliyet yürütmesi
durumudur.
👥 İçeriden tehditler:
- Bilinçli (intikam, kazanç, rekabet için)
- Bilinçsiz (sosyal mühendisliğe maruz kalan çalışanlar)
2. 2025’te Öne Çıkan İçeriden Tehdit Senaryoları
💳 Finans Biriminde Sahte Ödeme Akışları:
Muhasebe personelinin sahte fatura şirketleri üzerinden para aktarımı yapması.
📤 Veri Sızdırma:
Satış ya da CRM çalışanının müşteri verilerini dışarıya satması veya rakibe iletmesi.
🧾 Prim ve Performans Dolandırıcılığı:
Satış ekibi çalışanının sahte müşteri girişi yaparak prim kazanması.
🛍️ Tedarikçi İlişkilerinde Rüşvet ve Yönlendirme:
Satın alma çalışanlarının belli tedarikçilere sistematik kazanç sağlaması.
💼 İşten Ayrılan Çalışanın Geri Dönüş Saldırısı:
Erişim yetkisi iptal edilmeden ayrılan eski personelin sisteme yeniden giriş yapması.
3. Hangi Sektörler Risk Altında?
- Bankacılık ve Finans: Yüksek para akışı, hassas bilgiler
- E-ticaret & Lojistik: Stok ve faturalandırma sistemleri manipülasyonu
- Sağlık: Hasta verilerinin satışı, reçete dolandırıcılığı
- Telekom: Müşteri kimlik bilgilerinin kopyalanması
- Kamu Kurumları & Belediyeler: Sahte ruhsat, ihale ve izin işlemleri
4. Kurumlar Ne Yapmalı?
🔐 Erişim Yönetimi:
- Her çalışana görev tanımına uygun minimum yetki verilmeli
- Yetki devri, pozisyon değişikliği ve işten ayrılma durumlarında erişimler anında kaldırılmalı
📈 Davranışsal Anomali Takibi (UEBA):
- Normal dışı işlem davranışlarını otomatik tespit eden yazılımlar kullanılmalı
- Aynı IP’den gece 03:00’te girilen 100 müşteri kaydı gibi olağan dışı örüntüler izlenmeli
📋 Zorunlu Tatil Politikası:
- Kritik pozisyonlardaki çalışanlara yılda en az 1 haftalık zorunlu tatil uygulanmalı
- Bu sürede işlemler kontrol edilir, devam eden bir suistimal olup olmadığı ortaya çıkar
🎓 Çalışan Farkındalığı Eğitimi:
- İç tehditlerin sadece kötü niyetle değil, sosyal mühendislik yoluyla da oluşabileceği öğretilmeli
- Dolandırıcılık örnekleriyle yapılan eğitimler daha kalıcıdır
🛡️ İhbar ve Ödüllendirme Mekanizması:
- Çalışanların şüpheli işlemleri anonim olarak bildirebileceği bir sistem kurulmalı
- Bu bildirimler teşvik edilmeli, ciddi vakalar ödüllendirilerek örnek olmalı
5. Dijital İz Takibi ve Loglama
Tüm sistemlerde yapılan her işlemin; kimin, ne zaman, nereden yaptığı detaylı şekilde loglanması, içeriden gelen tehditlerin tespiti açısından kritik önemdedir.
🧮 Loglama olmadan hiçbir içeriden tehdit ispatlanamaz.
Sonuç
2025’te şirketlerin en büyük düşmanı dışarıda değil, içeride olabilir. İçeriden dolandırıcılık; güvenlikten ödün veren şirketleri milyonlarca liralık zarara uğratabiliyor. Teknoloji, politika ve kültür üçgeninde alınacak önlemlerle bu tehdit en aza indirilebilir.
