Can Şişman / milliyet.com.tr - Veri trafiğinin artmasıyla birlikte siber saldırı riski de önemli ölçüde artarken, özellikle pandemi döneminde akıllı cihaz kullanımındaki artış ve evden çalışma modelinin benimsenmesi, kurbanların sayısında da ciddi artışa yol açtı. Yapılan son araştırmalar, 2021 yılında şirketlerin yüzde 86.2'sinin en az bir kez siber saldırıya maruz kaldığını ortaya koyuyor.
Peki siber saldırı tehlikesine karşı ülkemizi ve dünyayı gelecekte neler bekliyor? Siber güvenlik uzmanları Alper Onarangil, Osman Demircan ve Mehmet Caner Köroğlu, her geçen gün artan tehlikeye dikkat çekti.
'SİBER SALDIRILAR SON 5 YILDIR ARTIŞTA'
Yapılan son araştırmalara göre 2021 yılında şirketlerin yüzde 86.2'sinin en az bir siber saldırıya maruz kaldığını ortaya çıkardı. Peki bu ne anlama geliyor? Korkutucu bir durumla mı karşı karşıyayız?
Alper Onarangil: Hem siber saldırılar hem de zararlı yazılımlar maalesef son 5 yıldır düzenli olarak artış gösteriyor. 2020 yılında bildirilen zararlı yazılım sayısı 110 milyon civarındayken, 2021 yılı için bugüne kadar bildirilmiş zararlı yazılım sayısı 113 milyona ulaşarak geçen yılı daha bugünden geride bıraktı. Gelişen teknolojiyle internete erişen cihaz sayısının artması, hızlı ve her yerde internet erişiminin sağlanması ve IoT cihazları, saldırı atak yüzeyinin artmasına sebep oluyor. Ayrıca siber saldırıların gün geçtikçe daha karmaşık hale gelmesi ve tespit edilmesinin zorlaşması da bu riski giderek artırmaya devam ediyor. 2020 yılı için hazırlanan raporda, saldırıların yüzde 86’sı finansal motivasyon nedeniyle yapıldığını bizlere gösteriyor.
Osman Demircan: Bu durum çok korkutucu görünse de asıl sorgulanması gerek durum başarıya ulaşan saldırı miktarı. Online her türlü platform, her kurum siber saldırıya uğrayabilir. Önemli olan alınan önlemlerin kalitesi. Siber güvenlik yaklaşımlarıyla ilgili bilinen en büyük hata, bir siber güvenlik standardının ve uygulama modelinin olması durumu. Bu çok yanlış. Hatta standart bir siber güvenlik tanımı bile olamaz. Çünkü siber güvenlik ve yaklaşımları ihtiyaçlara özel dizayn edilmesi gereken yapılardır. F35 uçaklarının maruz kaldığı siber tehditler, elektrik santrallerinin scada (kapalı devre) sistemlerinin maruz kaldığı tehditler, bir e-ticaret sitesinin maruz kaldığı siber tehditler ve ev kullanıcılarının maruz kaldığı siber tehditler birbirinden çok farklı. Doğru siber güvenlik önlemleri alınırsa bu saldırılar hızlı bir şekilde bertaraf edilebilir. Kesinlikle önlemler alınmalı ama alınan önlemlerin sürekliliği ve yönetimi de ayrıca planlanmalı.
Mehmet Caner Köroğlu: Gelinen nokta korkutucu mu evet, hem de fazlasıyla. Bugün saldırgan profilinde olan ve okuduğu basit seviye makalelerle önüne gelen şirkete siber saldırı düzenleyen 13-14 yaşında bir genç bile şirketinizin imajını yerle bir edebilir. Hatta sizi iflasa bile sürükleyebilir. Bu noktada yapılabilecek en akıllı hareket, doğru bir güvenlik stratejisi tasarlamak ve bunu icra edecek çalışan veya danışmanları çevrenizde barındırmak olacaktır.
'ESKİ TELEFONLARINIZI ANNE VE BABANIZA VERMEYİN'
Pandemiyle beraber birçok şirket evden çalışma modeline geçiş yaptı. Peki, evden çalışma sisteminin son dönemde artan siber saldırılardaki payı ne kadar? Pandemi süreci bittikten sonra siber saldırıların düşüşe geçeceği yönünde bir tahminde bulunabilir miyiz?
Alper Onarangil: 'Home office' çalışma düzeni, özellikle plansız ve hazırlıksız geçiş yapan şirketler için ciddi riskler ortaya çıkarttı. Evden çalışan kullanıcıların şirket kaynaklarına erişimleri için gerekli güvenlik tedbirleri alınmadan, güvenli ağlara bağlanmalarına imkân vermenin sonucunda maalesef saldırılar ve güvenlik ihlalleri arttı. Bununla birlikte uzaktan çalışan kullanıcıların güvenliği için ekstra bir planı olmayıp geleneksek yöntemlerle hareket etmeye çalışan şirketler ciddi saldırılar ile karşı karşıya kaldılar. Pandemi bitiminde ise bir miktar düşüş olması ihtimal dahilinde. Ancak bu kez de plansız geri dönüşler bilgisayarlarda uzun süre yapılmayan güncelleştirmeler veya farkına varılmamış güvenlik zafiyetleri sorun çıkartmaya müsait olacak. Mutlaka şirketlerin bir geri dönüş için planı olmalı.
Osman Demircan: Pandemi döneminde siber saldırıların artmasının 3 temel nedeni var. Güvensiz ortamlardan oluşan evlerimizden güvenli ofislerimize bağlanmaya başladık. Ev ortamları maalesef siber hijyenden çok uzak ortamlar. Siber saldırılarda bu ev kullanıcıları ağırlıklı olarak hedef alındı. Hacker'lar bu bilgisayarlar üzerinden her ne kadar güvenli bir şekilde VPN erişimi sağlansa da işletim sistemi ve üzerindeki kaçak programlardan oluşan zaafiyetlerden yararlanarak şirket network'lerine erişmeye çalıştılar.
İkinci durum, anne ve babalarımızın online işlemlerle ilk defa tanışmış olmasıydı. Sahte bir e-devlet ya da banka sitesini orjinalinden ayırt etmek konusunda bilgi sahibi değiller ya da ilk defa girdikleri sosyal medya dünyasında bir sponsorlu reklamın dolandırıcılık mı yoksa değil ayırımını maalesef yapamıyorlar. Özellikle eski telefonlar konusu önemli. Genellikle çocuklar yeni telefon aldıklarında eski telefonlarını anne ya da babalarına verme eğiliminde oluyorlar. Eğer bu eski telefonlar güncelleme almayacak kadar eski ise sadece tek bir tıklama ile bu telefonlar hack'lenebilecek cihazlara dönüşüyor. Değer verdiğiniz insanlara artık değer vermediğiniz cihazları vermemelisiniz.
Bir diğer temel neden de sanal dünyada çok fazla vakit geçirerek güvenliği göz ardı etmeye başlamış olmamız ve Sağlık Bakanlığı'nın adı kullanılan 'tıklayın' mesajlarına bile sorgusuz sualsiz tıklamamız. Pandemi süreci bittikten sonra siber saldırıların düşüşe geçeceğine maalesef inanmıyorum. Hacker'lar tarafından sömürülen açıklar sanal dünya var olduğu sürece devam edecek.
'BUGÜNE KADAR TÜRKİYE ÖZELİNDE 450 BİN SALDIRI TESPİT EDİLDİ'
Türkiye'de yılda ne kadar siber saldırı meydana geliyor? Siber saldırılardan en çok etkilenen sektörler hangileri?
Alper Onarangil: Saldırıların hepsi tespit edilemediğinden ve bildirilmediğinden burada kesin bir rakam vermek zor oluyor. WatchGuard Tehdit Laboratuvarı analizlerine göre bugüne kadar Türkiye özelinde yaklaşık 450 bin saldırı tespit edilmiştir. Bu da yaklaşık her dakikada bir saldırıya denk geliyor. 2020 yılı için ise bu rakam yaklaşık olarak 1.8 milyon seviyesindeydi. Ortalama bir veri ihlalinin tespit süresini yaklaşık 200 gün olduğunu düşünecek olursak bulunduğumuz yıl içinde başlayan bir veri ihlalinin bir sonraki yılda tespit edilip raporlandığını düşünebiliriz. Sektör olarak bakacak olursak küçük ve orta ölçekli işletmelerin siber saldırılardan en çok etkilenen grup olduğunu söyleyebiliriz. Üretim ve e-ticaret sektörleri de 2021 yılında en çok etkilenen sektörlerden oldu.
Osman Demircan: Türkiye'de siber saldırı konusunda ne çok karşımıza çıkan konu, fidye yazılımları oluyor. Bu saldırılardan da en çok etkilenenler maalesef siber güvenlik konunda çok yetersiz kalan kobiler. Bir fidye yazılımı saldırısında sistemlerde tespit edilen açıklardan yararlanarak içeri sızılması ve sonrasında tüm dosyaların şifrelenerek fidye karşılığında açılması talep ediliyor. Bu fidyenin kripto para olarak istenmesi de zanlıların yakalanmasını neredeyse imkânsız hale getiriyor. Birçok firma çaresizlikten ve iş süreçlerinin tekrar yürüyebilmesi için fidyeyi ödemek zorunda kalıyor. Burada en kritik nokta, fidyenin ödenmesinin de çoğu zaman işe yaramaması. Parayı alan hacker'lar iletişimi kopartıyorlar ve dosyaların açılmasını da sağlamıyorlar.
'ÖNLEM ALMAK EN MALİYETSİZ ÇÖZÜM'
Şirketler siber saldırılarla mücadele konusunda nasıl adımlar atmalı? İzlenen politikalar yeterli mi yoksa bu konuda şu an için aşılması güç olan ciddi bir güvenlik problemi mi söz konusu?
Alper Onarangil: Şu an için global ölçekte işletmelerin yaklaşık yüzde 87'si yetkin siber güvenlik personeli bulmakta sıkıntı yaşıyor. Özellikle küçük ve orta ölçekli şirketlerde yetişmiş siber güvenlik uzmanı istihdam etme konusu büyük bir problem. Gerek yeterli sayıda yetişmiş uzman olmaması gerekse maliyetler, küçük ve orta ölçekli şirketleri bu konuda zor duruma düşürüyor. Buna ek olarak, doğru bir bilgi güvenliği politikası oluşturulup bunun uygulanması ve düzenli bir şekilde çalışanlara yapılacak siber güvenlik farkındalık eğitimleri şirketlere fayda sağlayacaktır. Şirketlerin büyük çoğunluğu firewall, anti-virüs ve yedekleme çözümlerinin yeterli olabileceğini düşünürken, BT alt yapısı ve güvenlik planlarına mutlaka çok faktörlü kimlik doğrulama ve patch/yama yönetimi araçlarını eklemeleri gerekiyor. Özellikle hibrit ve uzaktan çalışan kullanıcılar için çok faktörlü kimlik doğrulama ve yama yönetimi yazılımları kritik önem taşımaktadır.
Osman Demircan: Şirketlerin profesyonel siber güvenlik hizmetleri almaları şart. Hatta bu hizmetlerin yanında kendi siber güvenlik departmanlarını da oluşturmaları gerekiyor. İzlenen siber güvenlik politikalarının birçoğu, pek çok kurumda maalesef yetersiz. İş akışlarına uygun siber güvenlik teknolojilerinden çok uzak bir şekilde çalışıyorlar. Bu durum maalesef hack'lenmelerine neden oluyor. Bir kurum düşünün, sistem yöneticisine, "Kullanıcı bilgisayarlarına da destek vereceksin" denmiş. Üstüne başka işler de yüklenmiş. Ardından fuarlarda fotoğraf çekimine "IT'ci değil mi? O anlar” denilerek çalışanını yani sistemin başında durması gereken kişiyi göndermiş. Siber güvenlik ile ilgili bir kuruş ne eğitim, ne hizmet, ne de yazılım/donanım bütçesi oluşturmayarak bu süreci en maliyetsiz şekilde yapılandırmanın mutluluğunu yaşamış... İşte bu durum, Türkiye'de teknolojiye ve siber güvenliğe genel bakış açısı. Bu yatırımlar sanki çok büyük yatırımlarmış gibi görünüyor kurumlara hâlâ. Bir sektör profesyoneli olarak şunu söyleyebilirim, hack'lenmenin, KVKK/GDPR boyutunun yanında, itibar kaybı ve iş akışı durması süreçleri de göz önünde bulundurulursa önlem almak en maliyetsiz çözüm olarak görünüyor.
'VERİ SAVAŞLARI BAŞLAYACAK'
Siber suçların 2025’te 10.5 trilyon dolar büyüklüğe ulaşarak dünyanın en büyük 3. ekonomisine denk hale geleceği belirtiliyor. Türkiye'yi ve dünyayı gelecekte nasıl bir tablo bekliyor?
Alper Onarangil: Siber saldırganlar için finansal motivasyon ilk sıralarda yer alıyor. Siber güvenlik yatırımları çok önemli bir rol oynuyor. Özellikle yetkin personel veya yetkin iş ortaklarıyla beraber hazırlanacak bilgi güvenliği politikaları ve bunların doğru şekilde uygulanması şirketlerin risklerini azaltacaktır. Çalışanların farkındalık eğitimlerine kesinlikle önem verilmeli veri hırsızlıklarında en zayıf halkanın insan hatası olduğu unutulmamalı. Böylelikle bireysel olarak da kullanıcılar risklerin farkında olabilir, hem kurumsal düzeyde hem de bireysel düzeyde tedbirlerini alabilirler.
Osman Demircan: Her şeyden önce iki farklı insan faktörü bu tabloyu ciddi olarak etkiliyor. Birinci insan faktörü maalesef insanın en zayıf halka olduğu durumu temsil ediyor. Bu durumda bireysel, kurumsal, kamusal ve ülkesel anlamda siber güvenlik farkındalığının artırılması için çok ciddi çalışmalar yapılmalı. Bu çalışmaların içeriğinde insan tarafında hangi ortamda olursa olsun olası siber tehditlerin insan kaynaklı başlamaması için eğitimler verilmeli. Örneğin yerde bulduğunuz bir flaş belleği ofisinizde bulunan bilgisayarınıza taktığınız anda tüm kapıları açabilirsiniz. Ya da gelen bir mail'e tıklayarak yapılmaması gereken bir ödemeyi yapabilir ya da bilgisayarınızı hacker'lara teslim etmiş olabilirsiniz. İkinci insan faktörü ise kalifiye insan yetiştirilmesi ve beyin göçünün engellenmesi. Daha çok kalifiye siber güvenlik profesyoneline her zaman ihtiyaç var. Maalesef birçoğu yurt dışına gidiyor ve gittikleri ülke bazında siber güvenlik süreçlerini yönetmek için çalışıyorlar. Teşvik edici, motive edici bir yaklaşım ile profesyonellerin Türkiye sınırlarında siber tehditlere karşı çalışmalarının sağlanması gerekiyor.
Mehmet Caner Köroğlu: Yakın gelecekte veri savaşlarının başlayacağını düşünüyorum. Veriye sahip olan güce de sahip olacak. Her şey dijitalleşti. Paranoya hat safhada. Ülkelerin stratejilerini iyi analiz edin. Kendi girişimlerini tekilleştirmeye ve tüm dünya ülkelerinin bu teknolojileri kullanmasına göre oyun kuruyorlar. Oyuna dahil olduğunuzda aslında her şeyi teslim etmiş oluyorsunuz. Siber suçlular da bu oyunda kendi paylarını almaya çalışıyorlar. Birçok grubun devlet bağımsız maddi çıkar üzerine her türlü veriyi ele geçirdiğini ve satabildiğini göreceğiz. Aslında şu anda bile görebiliyoruz. O yüzden bu savaştan en az hasarla kurtulmak için kurumların güvenlik yol haritaları şimdiden belli olmalı.
SON DÖNEMDE NELER OLDU?
Siber saldırılar özellikle son dönemde gerek Türkiye'de gerekse yurt dışında oldukça önemli bir problem haline dönüştü. Rusya merkezli teknoloji şirketi Yandex, eylül ayının başında tarihin en büyük siber saldırılarından birini püskürttüğünü açıkladı. Yandex'den yapılan açıklamada, "Bu internet tarihinin bilinen en büyük saldırısı. Uzmanlarımız saniyede yaklaşık 22 milyon istek (RPS) içeren rekor bir saldırıyı püskürtmeyi başardılar” ifadeleri yer aldı.
Siber güvenlik firması Huntress Labs, Temmuz 2021'de yaklaşık 200 ABD şirketinin büyük fidye yazılım saldırısına uğradığını açıkladı. ABD'li bilişim firması Kaseya, fidye yazılım saldırısı sonucu sunucularını kullanan müşterilerini uyararak siber saldırı altında olduklarını duyurdu. Birleşmiş Milletler Genel Sekreter Sözcüsü Stephane Dujarric, bu ayın başında BM'nin siber saldırıya uğradığı iddialarının doğru olduğunu belirtti. Ağustos ayında İtalya'da başkent Roma'yı da kapsayan Lazio bölgesinde Covid aşılarının da yönetildiği sağlık sistemini hedef alan büyük bir siber saldırı düzenlendi. 2020 yılının Kasım ayında Sydney merkezli bir serbest yatırım fonu, üst düzey bir yöneticisinin sahte bir Zoom davetine tıklaması yüzünden çöktü. Şirket bu olayda tam 8.7 milyon dolar kaybetti ve kapanmak zorunda kaldı.
ABD'nin büyük cep telefonu operatörlerinden T-Mobile, siber saldırı sonucu 40 milyonu aşkın müşterisinin verilerinin çalındığını duyurdu. Türkiye'de de aralarında Yemeksepeti ve MNG Kargo'nun olduğu bazı şirketler siber saldırıya uğradıklarını kamuoyu ile paylaştı.
'BULUT TABANLI SİBER SALDIRILAR YÜZDE 630 ARTTI'
Son dönemde şirketlerin pandemi nedeniyle online çalışma sistemine geçmesiyle birlikte bu durumu bir fırsat olarak gören siber saldırganlar, uzaktan çalışmanın getirdiği güvenlik risklerinden faydalanmaya başladı. Dünyanın önde gelen siber güvenlik şirketlerinden peş peşe şaşırtan açıklamalar geliyor. ABD merkezli antivirüs ve bilgisayar güvenliği yazılımları üreticisi kuruluşu McAfee'den yapılan açıklamaya göre pandemi döneminde bulut tabanlı siber saldırılar tam yüzde 630 oranında arttı. Bir diğer ABD merkezli Barracuda Networks şirketi de siber saldırganların en çok başvurduğu hack yöntemlerinden biri olan oltalama e-postaların şubat ayından beri tam yüzde 600 oranında arttığını açıkladı. Rusya merkezli güvenlik şirketi Kaspersky ise şirketlere yönelik DDoS (Dağıtık Hizmet Engelleme) saldırılarının bir önceki yıla göre tam üç kat arttığını duyurdu.
'ÇOK SAYIDA OLTALAMA SALDIRISI YAŞANIYOR'
İngiltere ve ABD merkezli bir güvenlik firması olan Tessian'ın çalışanlar ile yaptığı araştırma sonucu da oldukça ilginç. Araştırmaya göre IT alanında çalışan kıdemli teknisyenlerin yüzde 56'sının, evden çalışan personelin güvenlik zafiyetine yol açan kötü alışkanlıklar edindiğini düşünüyor. Araştırmada evden çalışan her beş kişiden ikisinin siber güvenlik konusunda ofise göre evde daha az titiz davrandıklarını itiraf etmişler.
Araştırmada çalışanlar daha az dikkatli olma sebeplerinin, IT ekipleri tarafından daha az denetlenmeleri olduğunu da yine itiraf ediyor. "En önemli hatalardan biri şirkete ait verilen kişisel e-posta hesaplarına taşınması" diyen şirketin yöneticilerinden Henry Trevelyan-Thomas "Son zamanlarda dünyanın birçok yerinde şirket çalışanlarını hedef alan çok sayıda koronavirüs temalı oltalama saldırısı yaşanıyor" diyerek dikkat çeken bir uyarıda bulunuyor.
'İÇİNDE 'KORONAVİRÜS' GEÇEN E-POSTALAR ÇOK RİSKLİ'
Güvenlik platformu BugCrowd'un kurucusu Casey Ellis de 'korona' uyarısı yapan isimlerden biri. Ellis, siber korsanların pandemi döneminde kullanabilecekleri yöntemlerin başında Kovid-19 salgınının olduğuna dikkat çekip şunları söylüyor:
"Koca bir nüfus salgının sona ermesini istiyor. Dolayısıyla içinde 'koronavirüs' kelimesinin geçtiği bir e-postaya tıklama ihtimalleri oldukça yüksek. Şirketlerin bu tür senaryolara karşı eğitime yatırım yapmayı ciddi bir şekilde değerlendirmesi için en doğru zamandayız." Ellis, oltalama saldırılarının sonuçlarının çok acı olabileceğine dikkat çekerek özellikle küçük işletmeleri şu sözlerle uyarıyor: "Küresel çaptaki çok uluslu şirketler büyük kayıplar vermeyebilir ama bu tür siber saldırılar özellikle küçük işletmeler için oldukça yıkıcı olabilir."
SİBER SALDIRI RİSKİNE KARŞI NELER YAPILMALI?
Peki, uzmanlara göre siber saldırılara karşı şirketler ve bireysel kullanıcılar ne yapmalı? Bu konuda en önemli uyarı şifrelerle ilgili. Uzmanlar mutlaka güvenli ve kompleks yani zor tahmin edilebilen şifreler kullanılması gerektiği noktasında hemfikir. Şirketlerin çalışanlarına başta oltalama olmak üzere tüm saldırı çeşitleriyle ilgili eğitim vermesi gerektiğini vurgulayan uzmanlar, sistemlere uzaktan erişim için çok faktörlü doğrulamanın aktif hale getirilmesini özellikle belirtiyorlar. Gelen e-postalarda 'acil' vurgusu varsa mutlaka dikkat edilmesi gerektiğini belirten uzmanlar, 'asla güvenme, her zaman doğrula' ilkesine dayalı bir 'sıfır güven' yaklaşımının benimsenmesi gerektiğinin altını çiziyorlar.