Siber Güvenlikte Görünmeyen Risk: Kitle Psikolojisi

İnsanlar sosyal varlıklardır; bağlılık, onaylanma ve kabul görme gibi ihtiyaçları bulunmaktadır. Bu nedenle bir gruba ait olma ihtiyacı doğar ve zorluklarla baş etmek kolektif olarak daha kolay hissedilir. Bu noktada kitle psikolojisi devreye girer. Kitle psikolojisi bireysel psikolojinin aksine, insanların gruplar halindeki davranışlarını inceleyen bir disiplin alanıdır. İnsanlar grup içindeyken bireysel davranışlarından farklı şekilde davranma eğilimindedirler. Grup içinde kişinin eleştirel düşünme yetisi geri planda kalır ve bireysel kimlik silikleşir.

Böylece kitle içindeki bireyler, kendi davranışlarının sonuçlarından daha az sorumlu hisseder, çünkü başkasının bunu fark edip müdahale edeceğini varsayar.  Siber güvenlik bağlamında bu durum, çalışanların e-posta, dosya paylaşımı ve kurumsal uygulamalarda verdikleri kararları doğrudan etkileyen bir risk katmanı yaratır.

İnternet, bireyleri bir kitle gibi birleştirme gücüne sahiptir. Kitleler, aynı olaylara gerçek dünyada olduğundan farklı tepkiler verebilir. Sosyal medya, forumlar, çevrimiçi topluluklar, bilgi paylaşımı ve dijital kampanyalar gibi unsurlar, kitle psikolojisinin dijital yansımasıdır. Bu bağlamda, siber güvenlik tehditlerine karşı da bir kitle yaklaşımı söz konusu olabilir. İnsanların topluluklar içinde nasıl davrandığı ve karar aldığı, siber güvenlik stratejilerinin etkinliğini doğrudan belirleyebilir. Bu kitle davranışları yalnızca sosyal medyada değil, şirket içi e-posta, mesajlaşma ve dosya paylaşım sistemlerinde de ortaya çıkabilir.

Sosyal Kanıt Teorisi: Bu teoriye göre, bireyler diğerlerinin davranışlarını gözlemleyerek kendi davranışlarını şekillendirir. Bu durum, internet ortamında yaygın bir davranışın diğer insanları da aynı şekilde yaygın olanı yapmasına itebilir. Bir kişi zayıf bir şifre kullanıyorsa ve bundan dolayı bir sorun çıkmıyorsa veya bu durum normal olarak görülüyorsa, “Herkes aynı şeyi yapıyor, o zaman bu doğru olmalı.” inancıyla birlikte kişiler, zayıf güvenlik anlayışlarını pekiştirebilir. Bu durum, daha büyük bir güvenlik açığına neden olabilir.

Otoriteye inanma: Kitleler, genellikle otorite figürlerine itaat etme eğilimindedir. Bu eğilim, saldırganlar tarafından resmi görünen e-postalar veya sahte kurum logoları kullanılarak sömürülebilir. Bu tür saldırılar kurumsal e-posta sistemlerinde sıkça görülür.

Sistem bizi korur inancı: İnsanlar veya kitleler, devletlerin, şirketlerin veya sosyal medya platformlarının güvenlikten tamamen sorumlu olduğunu düşünerek kendi sorumluluklarını küçümseyebilir. Örneğin, “Amazon'un sistemleri zaten çok güçlü, benim bilgilerim güvendedir.” şeklindeki bir düşünce, kullanıcıların kendi güvenlik önlemlerini almamalarına neden olabilir. Bu bakış açısı, çalışanların şüpheli bağlantılara veya dosyalara karşı daha az dikkatli olmasına yol açabilir.

Grup içindeki anonimlik: Kitle psikolojisinin bir diğer unsuru, bireylerin bir grup içindeyken anonimlik hissetmesidir. Kolektif bir sorumluluk algısı olduğu için grup içindeki bireyler, hatalarının kitle tarafından telafi edileceğini düşünür. Böylece güvenlik protokolleri göz ardı edilebilir. Bu durum, kurumsal erişim kontrollerinin zayıflamasına neden olabilir.

Tehditlerin Küçümsenmesi: Gustave Le Bon’a göre, bir kitle içinde bireylerin akılcı düşünce kapasiteleri azalır ve duygusal tepkiler ön plana çıkar. Bu durum, siber güvenlikte tehditlerin küçümsenmesine ve hızlı, düşünmeden karar alınmasına yol açabilir. Bu refleksif kararlar özellikle sosyal mühendislik saldırılarında istismar edilir.

Sosyal mühendislik, teknik bir saldırının ötesinde, insan duygularını ve psikolojisini hedef alan bir saldırı türüdür. Saldırganlar, kitlelerin psikolojik eğilimlerinden faydalanırlar ve seçtikleri kişi üzerinde manipülasyon yaparlar. Özellikle otoriteye inanma, aciliyet duygusu yaratma, sosyal kanıt kullanma gibi unsurlar, siber saldırganların en sık kullandığı psikolojik stratejilerdir. İnsanlar bazen gruplar halinde daha fazla güvenlik açığına sahiptir çünkü kolektif bir şekilde yanlış bilgilendirilmiş olabilirler veya grup düşüncesi nedeniyle yanlış kararlar alabilirler. Bu saldırılar teknik sistemlerden çok insan davranışlarını hedef alır.

Kurumsal sistemler ne kadar güçlü olursa olsun, bu sistemleri kullanan insanların kolektif davranışları siber güvenliğin gerçek sınırlarını belirler. Kitle psikolojisi, saldırganların yalnızca teknolojiyi değil, kurum içi karar mekanizmalarını da hedef alabilmesini sağlar. Bu nedenle modern siber güvenlik stratejileri, teknik önlemlerin yanında insan davranışlarını da hesaba katmak zorundadır.

Bu noktada kurumlar için kritik soru, çalışanların hata yapıp yapmadığı değil, bu hataların nerede, hangi erişimle ve hangi sistemleri etkileyerek gerçekleştiğinin ne kadar hızlı görülebildiğidir. Çünkü kolektif davranıştan doğan riskler, bireysel bir güvenlik açığından çok daha hızlı yayılır.

Bu nedenle modern güvenlik mimarileri; e-posta güvenliği, kimlik ve erişim kontrolleri, ayrıcalıklı erişim yönetimi (PAM), Zero Trust ve sürekli maruziyet izleme (CTEM) gibi yaklaşımlarla, insan kaynaklı riskleri anlık olarak izlenebilir ve sınırlandırılabilir hâle getirmeyi amaçlar. Bu yaklaşımların ortak noktası, insan davranışını düzeltmeye çalışmak yerine, hatanın etkisini mimari olarak sınırlandırmalarıdır. Amaç, kullanıcıları kusursuz yapmak değil, kaçınılmaz hataların kurumsal bir ihlale dönüşmesini engelleyen bir kontrol katmanı oluşturmaktır.

Sonuç olarak siber güvenlik, sadece yazılım ve donanım meselesi değil, aynı zamanda insanların nasıl düşündüğü, nasıl karar verdiği ve grup içinde nasıl davrandığıyla ilgilidir. Bu bakış açısı, Natica’nın kurumsal güvenliği yalnızca teknik kontrollerle değil, davranış kaynaklı riskleri de kapsayan bir çerçevede değerlendirmesiyle örtüşür.