Eski bir çalışanın siber intikamı

Ocak 22, 2019

İşten çıkarma çalışma hayatının doğasında vardır. Ancak bu, bazı durumlarda sancılı olabilir. Durumdan hoşnut olmayan eski çalışanlar, yöneticilerin sinirlerini yıpratmak dışında, şirketle hesaplaşmak için şirketin itibarını ve mali durumunu da zedeleyebilir.

Bu yazıda, işten çıkarma sonucu oluşan hoşnutsuzluğun nelere sebep olabileceğini ve siber intikama karşı nasıl önlem alınacağı konusunu ele alacağız.

200.000 dolarlık parola

Amerikan College of Education’ın çevrimiçi eğitimi, bu tarz problemlere önemli bir örnek oluşturuyor. Söz konusu okulun çevrimiçi eğitim yönetimi ile şirket için uzaktan çalışan sistem yöneticisi Triano Williams pek iyi geçinemiyordu.

2016’da Williams, ırk ayrımcılığı yaptığı gerekçesiyle kurum hakkında suç duyurusunda bulundu. Kısa bir süre sonra Williams’a, şirketin Indianapolis’teki yerel ofisinde çalışma teklifi sunuldu. Williams bu teklifi kabul etmedi; en önemli şartlarından biri evden çalışma isteğiydi. Sonuç olarak, Williams işten atıldı. Her ne kadar kıdem tazminatını almış olsa da, BT uzmanı Williams durumdan memnun değildi. Şirket hakkında suç duyurusunda bulunduğu için kendisine uydurma bir iş teklifi sunulduğu sonucuna vardı. Okuldan intikam almak için, okulun Google hesabının parolasını değiştirdi ve böylece eski iş arkadaşlarının, 2000’den fazla öğrenciye sunulan e-posta ve çalışma materyallerine erişmesini engelledi.

Williams, parolanın dizüstü bilgisayarında otomatik olarak kayıtlı olduğunu ve bu parolayı kovulduktan kısa bir süre sonra şirkete geri verdiğini iddia etti. Ancak üniversiteye göre, eski yönetici bilgisayarı geri vermeden önce tamamen temizlemişti.

Kurum, Google’a hesaba tekrar erişim sağlama talebinde bulundu ancak hesap profilinin şirkete değil, Williams’ın kişisel hesabına kayıtlı olduğu ortaya çıktı. Eski çalışan Williams’ın avukatı, müvekkilinin 200.000 $ ve şirketten pozitif tavsiye alması karşılığında kayıp parolayı hatırlayabileceği imasında bulundu.

Teşhir niteliğinde saldırı

Diğer bir örnek, çalışma süreci sonrası alınan daha etkin tedbirleri kapsıyor. Bilgi güvenliği şirketi Esselar’ın eş kurucusu ve eski BT direktörü Richard Neale şirketten tatsız bir şekilde ayrıldı ve altı ay boyunca intikam planını tasarladı.

Eski iş arkadaşlarının itibarını zedelemek için şirketin önemli bir müşterisi olan sigorta şirketi Aviva’ya sunacağı hizmetleri tanıtacağı günü bekledi. Tanıtımın hemen öncesinde Neale, 900 Aviva çalışanının cep telefonlarını hackledi ve cihazlarından bütün bilgileri sildi.

Olay sonrası Aviva, Esselar ile bağlarını kopardı ve 70.000 £ tazminat talebinde bulundu. Ancak Neale’nin eski partnerlerine göre, itibar kaybı ve potansiyel zarar 500.000 £ olarak tahmin ediliyordu. Şirkete göre, Neale’nin eylemleri şirketi öyle büyük bir zarara uğrattı ki, Esselar markanın ismini değiştirme fikrini değerlendirmeye başladı.

Hızlı ve oldukça maliyetli veri temizleme

İşten atılacağından şüphelenen çalışanlar da önemli bir tehlike oluşturuyor. Bir mimarlık şirketinde yönetici yardımcısı olarak çalışan Mary Lupe Cooley, bir gün gazete okurken kendi pozisyonu için eleman arandığını ve ilanın altında patronunun iletişim bilgileri bulunduğunu fark eder.

Yakında kovulacağını düşünen Cooley, yedi yıl öncesine dayanan proje verilerini silerek şirketi tahminen 2,5 milyon dolar zarara uğratmıştır. Söz konusu ilan ise, patronun eşinin şirketindeki pozisyon açığı için verilmişti.

Siber intikam kurbanı olmamak için ne yapmalı?

Eski çalışanların BT altyapınıza zarar vermesini önlemek için, çalışanların hak ve izinlerine ilk günden itibaren dikkat etmeye özen gösterin. Güvenliği sağlamak isteyen şirketler için aşağıda birkaç kural yer almaktadır:

  • Çalışanların BT haklarıyla beraber, erişebildikleri hesap ve kaynakları kayıt altına alın. Çalışanların bir hakka ihtiyacı olduğundan tamamen emin olmadıkça onlara ekstra haklar tanımayın. Ekstra hak tanındığı takdirde bu bilgiyi derhal kaydedin.
  • Hak listesini düzenli olarak gözden geçirin ve düzenleyin. Süresi dolmuş izinleri iptal etmeyin unutmayın.
  • Kurum kaynaklarını yalnızca kurum hesaplarına verin. Kişisel hesap kurmanın avantajları ne olursa olsun veya çalışan ne kadar güvenilir görünürse görünsün, çalışanlarla er ya da geç kendi doğal seyrini izleyecek bir iş ilişkisi içerisinde olduğunuzu unutmayın. Etki alanı adları, sosyal medya hesapları ve İnternet sitesi kontrol panoları nihayetinde birer şirket varlığı olup, bunların kontrolünü personele bırakmak uzun vadede tehlikeli olacaktır.
    Eski çalışanların bütün erişim haklarını ve hesaplarını mümkün olan en kısa süre içinde engelleyin; bunun için en ideal zaman, işten çıkarıldığını söz konusu çalışana ilettikten hemen sonradır.
  • Olası personel işten çıkarma ve yeniden yapılandırma düşüncelerini alenen dile getirmeyin, ayrıca belli bir pozisyonu doldurmak için iş ilanı verirken, bu ilanı sadece adayların değil çok daha geniş bir kitlenin görebileceğini unutmayın.
  • Tüm çalışanlarla iyi ilişkiler kurup iş yerinde samimi bir ortam oluşturmaya çalışın. Eski işverene karşı siber saldırılar, çoğu zaman açgözlülükten ziyade incinmiş duygular sebebiyle yapılmaktadır.