top of page
Ara

Siber Güvenliğin Karanlık Yüzü: Karanlık Dörtlü ve İçeriden Gelen Tehditlerin Psikolojisi – Dark Tetrad

Merhaba değerli okurlar ve kurumsal güvenlik liderleri.


Ben davranışsal siber güvenlik uzmanı Dr. Alper KÜÇÜK.


Bu makalede, Davranışsal Siber Güvenlik disiplininin en karmaşık konularından birini, Karanlık Dörtlü (Dark Tetrad)kişilik özelliklerini ve bu özelliklerin içeriden gelen tehdit riskini nasıl artırdığını inceleyeceğiz. Daha önce alan yazında yer alan Karanlık Üçlü grubuna eklenen Sadizm kavramı literatürde Siber Sadizm olarak karşımıza bir çok makalede çıkacağı aşikâr olduğundan kavramı biraz irdelemek istedim.

Siber güvenliğin en büyük savaşları, artık kurumsal ağın sınırlarında değil, içeride, çalışanların zihinlerindeverilmektedir. Geleneksel güvenlik, dışarıdan gelen tehditlere odaklanırken, en maliyetli ve yıkıcı ihlallerin önemli bir kısmı, kendi sistemimize erişimi olan kişiler tarafından kasıtlı veya kasıtsız olarak gerçekleştirilmektedir: İçeriden Gelen Tehditler (Insider Threats).


I. Karanlık Dörtlü Nedir?

Karanlık Dörtlü, insan kişiliğinin antisosyal ve manipülatif yönlerini tanımlayan dört kişilik özelliğinden oluşur:

  1. Narsisizm: Büyüklenme, ayrıcalık hissi ve empati eksikliği.

  2. Makyavelizm: Manipülatif olma, duygusuzluk ve hedefe ulaşmak için her yolu mubah görme eğilimi.

  3. Psikopati: Yüksek dürtüsellik, duygusal soğukluk ve vicdan eksikliği.

  4. Günlük Sadizm (Everyday Sadism): Başkalarına acı çektirerek veya zarar vererek keyif alma eğilimi.

Bu dört özellik, yalnızca suçlularla ilişkilendirilmez; normal popülasyonda, özellikle kurumsal ortamlarda da belirli derecelerde mevcuttur. Siber güvenlik bağlamında, bu özellikler, güvenlik protokollerini ihlal etme, kural tanımama ve kuruma zarar verme davranışlarına yönelik bir yatkınlık sinyali verebilir.

II. Dört Karanlık Özelliğin Siber Güvenlik Davranışına Yansıması

Karanlık Dörtlü özellikleri, içeriden gelen tehditleri farklı boyutlarda tetikler:

  • Narsisizm ve Kuralları İhlal: Yüksek Narsisizm puanına sahip bir çalışan, kurumsal güvenlik protokollerini kendi ayrıcalıklı statüsüne bir engel olarak görebilir. Kendini sistemin üzerinde görerek, MFA’yı kapatma veya güçlü parola kullanmama gibi ihmalkar davranışları meşrulaştırır. İhmalkar İçeriden Tehdit (Negligent Insider) riski burada yükselir.

  • Makyavelizm ve Bilgi Sızdırma: Makyavelist bireyler, kişisel çıkar (terfi, finansal kazanç) uğruna manipülasyon ve etik dışı davranış sergilemekten çekinmez. Bu kişiler, hassas verileri rakip firmaya satma veya içeriden bilgi sızdırma konusunda daha yüksek eğilim gösterebilirler.

  • Psikopati ve Kasıtlı Saldırı: Duygusal soğukluk ve dürtüsellik, bir kriz veya işten çıkarma durumunda anlık intikam güdüsüyle hareket edebilen, kötü niyetli içeriden tehdit (Malicious Insider) profilini güçlendirir. Bu kişiler, eylemlerinin kuruma veya meslektaşlarına vereceği zarara karşı duygusal bir bağ kuramazlar.

  • Sadizm ve Siber Zorbalık/Sabotaj: Günlük Sadizm, doğrudan siber sabotaj (sistemi kasıtlı olarak bozma) veya siber zorbalık (meslektaşlarının işini engelleme) gibi davranışlara motivasyon kaynağı olabilir. Bu eylemler, kişiye zarar verme sürecinden psikolojik tatmin sağlar.

Bu yeni başlığı biraz daha irdeleyecek olursak;

Günlük Sadizm ve Kasıtlı Siber Sabotaj Motivasyonu

Karanlık Dörtlü’nün nispeten yeni eklenen bileşeni olan Günlük Sadizm (Everyday Sadism), bireyin başkalarına fiziksel veya psikolojik zarar vermekten, onları küçük düşürmekten veya acı çektirmekten zevk alma eğilimini ifade eder. Siber güvenlik bağlamında bu özellik, en sinsi ve en zor tespit edilen tehdit motivasyonlarından birini oluşturur.

Günlük Sadizm, tehdit davranışını finansal veya intikam güdüsünden (Makyavelizm/Psikopati) ayırarak, “Salt Haz”motivasyonuna taşır.

  • Siber Zorbalık ve Taciz: Sadist eğilimler, çalışanlar arasında siber zorbalık, e-posta tacizi veya meslektaşlarının iş süreçlerini dijital yollarla kasıtlı olarak engelleme (sabotaj) davranışlarına yol açabilir. Amaç, somut bir kazanç elde etmek değil, mağdurun yaşadığı sıkıntıdan psikolojik tatmin sağlamaktır.

  • Sistem Sabotajı: En tehlikeli yansıması ise sistem sabotajıdır. Sadist bir içeriden tehdit, kuruma ait kritik verileri silme, sistem yapılandırmalarını bozma veya ağı devre dışı bırakma gibi eylemleri, sadece oluşan kaosu ve çaresizliği izlemekten aldığı keyif için gerçekleştirebilir. Bu eylemler, genellikle dışarıdan gelen bir tehdidin yaratacağı hasardan daha büyük olabilir, zira saldırganın sistem hakkında derin bilgisi vardır.

  • İzleme ve Manipülasyon: Sadist bireyler, sadece eylemi gerçekleştirmekle kalmaz, eylemin kurban (kurum veya çalışanlar) üzerindeki etkisini yakından izleme eğilimindedir. Bu durum, olay sonrası adli bilişim (forensics) süreçlerinde elde edilen verilerin analizini karmaşıklaştırabilir.

Bu nedenle, kurumların Davranışsal Siber Güvenlik stratejileri, çalışanların sadece finansal sorunlarını veya iş memnuniyetsizliklerini değil, aynı zamanda psikolojik manipülasyon ve zarar verme eğilimlerini de içeren kişilik profilini göz önünde bulundurmak zorundadır.

III. Davranışsal Siber Güvenlik ile Risk Yönetimi

İçeriden gelen tehditleri yönetmek için klasik izleme yazılımları yeterli değildir; davranış bilimine dayalı, çok katmanlı bir strateji gereklidir:

  1. Davranışsal Temel Çizgisi (Baseline) Oluşturma: Kullanıcı Davranışı Analitiği (UBA/UEBA) araçlarıyla, bir çalışanın “normal” davranış kalıplarını (alışılmadık saatlerde/konumlardan giriş, normalde erişmediği dosyalara erişim) tespit etmek esastır. Karanlık özelliklere sahip bireylerin bu temel çizginin dışına çıkma eğilimi daha yüksektir.

  2. Psikolojik Güvenlik Kültürü: Yönetim, siber güvenlik hatalarını bir suçlama oyunu olmaktan çıkarmalıdır. Çalışanlar, ihlalleri veya hatalarını bildirdiklerinde cezalandırılmayacaklarını bilmelidir. Yüksek psikolojik güvenlik, çalışanların dürüstlüğünü ve işbirliğini teşvik ederek, potansiyel kasıtlı tehditleri bile erken aşamada tespit etmeye yardımcı olabilir.

  3. Kişilik Temelli Risk Değerlendirmesi: Kritik pozisyonlara atama yapılırken (özellikle sistem yöneticileri, finans ve Ar-Ge departmanları), kişilik envanterleri ve davranışsal mülakat teknikleri kullanılmalıdır. Özellikle Sadizm ve Psikopati eğilimlerinin erken tespiti, kasıtlı sabotaj ve veri manipülasyonu riskini minimize etmek için hayati öneme sahiptir.

Karanlık Dörtlü, kurumsal güvenlik duvarlarının ötesine geçen, göz ardı edilemez bir gerçektir. Siber güvenliği güçlendirmek, sadece yazılımları güncellemek değil, aynı zamanda insan psikolojisinin karanlık labirentlerini anlamayı ve yönetmeyi gerektirir.


Dr. Alper Küçük 

Bilgisayar Mühendisi, Eğitim ve Teknoloji Girişimcisi

 
 
 

Yorumlar

bottom of page