Bir kurumdaki çoğu çalışanın güvenilir ve dürüst olmasına rağmen, yanlış yapabilecek kurum içi yöneticiler, çalışanlar, bağımsız yükleniciler, geçici personel ve güvenilir üçüncü şahıslar olabilir. Tehdit; kasten yapılan bir kötülük, yani dolandırma veya ihmalkâr bir davranış, zayıf prosedürler ve eksik eğitim sonucu da tehlikeye dönüşebilir. Dolandırmalar her yıl firmalara binlerce liraya mal olmaktadır. Bilinen dolandırıcılıkların %85’i kurumun içerisindeki kişiler tarafından gerçekleştirilmektedir.
İçeriden gelebilecek tehditler geniş bir yelpazededir. Birkaç örneğe bakalım;
■ Kuruma karşı olabilecek tehditler genelde, “çalışan tehdidi”, “personel tehdidi” veya “iç tehdit” olarak tanımlanır. Örneğin bir çalışan bilinçli olarak yanlış ücretlendirme yapabilir.
■ Yine çalışanlardan biri şirket dışındaki kişilerle işbirliği yaparak kuruma karşı tehdit oluşturabilir. Örneğin, ödeme yetkisi bulunan bir finans müdürü gerçekleşmemiş bir iş için tedarikçiden sahte bir fatura kestirerek ödeme gerçekleştirebilir.
■ Dışarıdaki kişilere karşı oluşabilecek tehdit. Örneğin, bir çalışan müşterilerin hırsızlık çeteleri tarafından başka bir kurumdan yasadışı şekilde para, kredi, mülk çalabilmek için kullanılabilecekleri kişisel bilgilerini içeren, banka hesabı, borç senetleri ve imzalanan anlaşma evrakları gibi verileri çalabilir.
Geçtiğimiz yıl, dolandırıcılık kurbanı olduğunu söyleyen özel sektör kurumlarının % 22.6’sı en az bir kez içeriden birisinin sebep olduğu bir dolandırıcılıkla karşılaştıklarını raporlamışlardır.
Kurum içi tehdit,çalışan işe başlamadan önce, çalıştığı süre boyunca ve çalıştığı dönem sonrasında meydana gelebilir.
İşe başlamadan önce, iş bulmanın zor olduğu zaman söylenen yalanlar bu sınıfa girer:
■ Akademik kayıtların ve yeterliliklerin yanlış beyan edilmesi
■ Referans işlerin ve tarihlerinin değiştirilmesi
■ Belirtilmemiş eski yöneticiler
■ Beyan edilmemiş mahkeme kararları veya iflaslar
Çalışma süresince karşılaşılan dürüst olmayan hareketler:
■ Müşteri hesaplarında yapılan sahtecilik
■ Kişisel bilgilere ulaşılması ve ifşa edilmesi
■ Kişisel çıkarlar uğruna yapılan hırsızlık veya kandırma
Çalışma süresi sonrası kişiler rakip bir firma ile çalışabilir, kin besleyebilir ve sadık olmayabilirler ve en önemlisi eski firmasına zarar verebilecek nitelikteki bilgilere erişim sağlayabilirler:
■ Sistemlere yetkisiz giriş
■ Kişisel veya ticari bilgilerin ifşa edilmesi
Personel tarafından işlenen çoğu suç zamanında fark edilmediklerinden veya ortaya çıktığında şirket imajının riske atılmaması adına raporlanmamıştır.
Bir çalışanı tehdide dönüştüren nedir?
Düşük maaş, yüksek borç ve kişinin işini kaybetme korkusunun olduğu zamanlarında dolandırıcılığa yönelme potansiyeli artabilir. İşten çıkarılma veya düşük ödeme ve zam yapılmaması durumlarında duyulan kin, kişinin bilgi ağına olan erişimi engellenmediğinde özellikle tehlikeli olan intikam alma duygusunu kamçılayabilir. Artan bir iş baskısı da tehdide dönüşebilir. Çalışan tehdidinin en genel sebebi açgözlülük, başka yollarla elde edemeyecekleri bir yaşam tarzına sahip olma isteği, kumar veya ödenemeyen borçlardır. Çoğu durumda borçlarını ödedikten sonra bile dolandırıcılığı yürütmeye devam edeceklerdir.
En genel tehditler nelerdir?
Yapılan araştırmalara göre en yaygın tehdit, çalışanın yasadışı yollarla çalarak veya kandırarak çıkar elde etmeye çalışması olarak belirlenmiştir. Örnek olarak, bir banka kasiyerinin hesabına nakit para yatıran bir müşterinin parasını çalması gösterilebilir.Çoğu “çalışan dolandırıcılığı” olaylarında sebep açgözlülük ve hırs olsa da, çalışanlar 3 değişkene göre dolandırıcılığı gerçekleştiriyorlar:
■Fırsat – organize suçlular ve kişisel borçlardaki artış, önceden var olandan daha çok baskı ve dolandırıcılık eğilimi yaratır. Genellikle dolandırıcı çalışanlar, kişisel bağlantılar veya organize suçlularla işbirliği ile bağdaştırılan veya bağdaştırılmayan finansal çıkardan motive olurlar.
■Eğilim/baskı – Organize suçlular tarafından kullanılmak ve kişisel borçlardaki artış, önceden var olandan daha çok baskı ve dolandırıcılık eğilimi yaratır.
■Meşruluk/Mantıklılaştırma – suçluların kimliklerini gizleyerek şirketlere sızması, yüksek çalışan sirkülasyonu, azalan sadakat, milli gelire kıyasla daha düşük maaşlar ve düşük yakalanma ihtimali ile birleştiğinde, çalışanlar, işledikleri suçu kendi düşüncelerinde giderek mantıklılaştırır ve meşrulaştırırlar.
Araştırmalara göre, bu tip tehdit oluşturan çalışanların genel bir profili olmamakla beraber, çoğunun benzer olduğu belirlenmiştir:
■ 30 yaş civarındaki bay veya bayan çalışanlar
■ Ticaret veya finans departmanında çalışanlar
■ Şirkette 5 yıldan fazla çalışanlar
■ İş baskısı veya açgözlülük ile motive olanlar
Personel tehdidini şu unsurlar da kolaylaştırmaktadır:
■ Geçici ve/veya vekalaten çalışanlar
■ Çalışacak kişilere yeterli referans,geçmiş araştırma,vb.güvenlik kontrollerinin yapılmaması
■ Firmalar arası geçiş yapan kötü niyetli çalışanlar
Organize suçlular tarafından kullanılan çalışanlar
■ Diğer çalışanları zorlayan kötü niyetli çalışanlar
■ Eksik yönetim uygulamaları ve zayıf şirket kültürü
■ Güçlü ve etkili bir güvenlik kültürünün olmaması
■ İşe alım öncesi ve sonrasında yapılan personel kontrollerinde yeterli güvenlik uygulamalarının olmaması
Tehdidi nasıl tespit eder ve kurumunuzu koruyabilirsiniz?
Çoğu sahtecilik ve aldatma, teknik izleme, iç kontroller ve denetim ile ortaya çıkarılabilmesine rağmen, beraber çalıştığımız insanlarla ilgili yanlış giden bir şeyler olduğunda bunun işaretlerini fark edebilmeli ve dikkat etmeliyiz. Beraber çalışan iş arkadaşları genellikle birbirlerinin alışkanlıklarını bilirler ve kişinin tehdit oluşturabileceğini belli eden şüpheli davranışları ve/veya davranış değişikliklerini fark edebilmede daha hassas olurlar. “Bir şey görürseniz, bir şey söyleyin” kültürünün oluşması teşvik edilmelidir. Bu sayede,çalışma arkadaşlarının davranışlarındaki değişiklikler fark edilebilir ve yetkili kişiler haberdar edilebilir. Bunu bir koruma metodu olarak destekleyebilmek için, kolay ve anlaşılabilir gözlem ve raporlama uygulaması oluşturulmalıdır.
Kurumunuzu iç tehditten korumak için yapabilecekleriniz:
■ Etkili Gözetim ve Denetim (Supervision)
■ Kurumların ihtiyaçlarına uyan, sahtecilik karşıtı bir strateji
■ Personelin sorunlarını dinlemek ve onları dile getirmeleri için cesaretlendirmek
■ Kontrol ve sistemlerdeki zayıf noktaları bulmak
■ İşe alım öncesi etkili tarama
■ Çalışanların şirketten çıkış işlemleri sonrası şirket içi bilgilere ve sistemlere erişim ayrıcalıklarının devre dışı bırakılması
■ Dürüst olmak – dolandırıcılığın raporlanması, gerekliyse soruşturulması
Kaçınılması Gereken Noktalar
■ Rehavete kapılma
■ Sorumluluğu başkasına yükleme
■ Gözetim başarısızlığı
■ Eski çalışanların şirkete sadık kalacağı düşüncesi
Sunucu odası denetimlerinin takibi gibi teknik kontroller ve bilgi hırsızlığını engellemek için devredışı bırakılmış USB erişimi
Özetlemek gerekirse, sürekli gelişen teknolojilerin bulunduğu, iş bulmanın zor olduğu ve ekonomik olarak zor dönemlerin yaşandığı mücadeleci bir çevrede, bu tehditi ciddiye almayan kurumlar, finansal durumlarını, yasal olarak çalışma imkanlarını ve imajlarını korumak adına, karşılaşabilecekleri tehlikelerin büyük önem arz ettiğinin farkında olmalıdırlar.
Kaynak: Ruth Pooley, Bernadette Palmer http://www.thesecurityco.com/media/40631/Whitepaper-insider-threat_January2013.pdf & Nate Lord https://digitalguardian.com/blog/what-insider-threat-insider-threat-definition