By Oben Kuyucu
2016 yılı, ülkemizde ve dünyada maalesef pek çok tatsız olayın yaşandığı bir yıl oldu. 2017’yi iple çektiğimiz şu günlerde, 2016’da siber güvenlik dünyasında neler yaşandığını kısaca özetlemek isterim.
Ülkemizde pek yankı bulmasa da İran’a yapılan Stuxnet saldırısı gibi, Ukrayna elektrik şebeke sistemine, Aralık 2015’ten itibaren başlayan bir siber saldırı gerçekleşti ve 80 bin kişi 6 saat boyunca elektriksiz kaldı. Olayın basit bir spear-phishing saldırısından kaynaklandığı düşünülüyor. (https://en.wikipedia.org/wiki/December_2015_Ukraine_power_grid_cyber_attack)
2016 yılı boyunca, yakın çevremden sık sık “Aaaaa, dosyalarımın uzantısı .locky olmuş ve hiçbirini açamıyorum” şikayetini duydum. Maalesef Cryptolocker gibi Ransomware’ler 10 yılın sorunu haline geldi ve 2016’da da birçok varyantı can sıkmaya devam etti. 2016’daki en önemli vaka olarak, Amerika’da bir hastanenin şifrelenmiş dosyaların çözülmesi için saldırganlara 17.000 USD vermesini gösterebiliriz. Bu halka duyurulmuş ve meblağ olarak yüksek diyebileceğimiz ilk olaydı.
(http://www.beckershospitalreview.com/healthcare-information-technology/hospital-pays-17k-ransom-to-get-medical-records-back-from-hackers.html)
FBI, bir terör olayının çözülmesi için Apple’dan bir iPhone 5C kullanıcısının şifrelediği telefonuna ait şifreyi çözebilecek yeni bir işletim sistemi istedi. Apple ve FBI’i karşı karşıya getirecek duruşmaya bir gün kala, FBI, şifreyi başka bir firma sayesinde bulduğunu söyledi ve duruşma iptal oldu. (https://twitter.com/BiznetBilisim/status/714712475384602626 https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute)
Nesnelerin İnterneti (Internet of Things – IoT) nin yaygınlaşmasının bir sonucu olarak, webcam’ler bir saldırı aracı olarak kullanıldı ve yüz binlerce (belki milyonlarca) cihaz, ünlü web sitelerini servis dışı bırakmak için kullanıldı. (http://www.bbc.com/news/technology-37750798 https://en.wikipedia.org/wiki/2016_Dyn_cyberattack)
2016’nin en büyük maddi kayba neden olan siber güvenlik olayı ise, ülkemizde de en az bir bankanın (https://twitter.com/BiznetBilisim/status/809670470668849152 https://www.kap.org.tr/tr/Bildirim/572625) etkilendiği, SWIFT sistemine yapılan saldırı oldu. Bangladeş’te bir banka 81 Milyon USD kayba uğradı. (https://en.wikipedia.org/wiki/2016_Bangladesh_Bank_heist) . Türkiye’deki banka da maksimum 4 milyon zarara uğrayabileceğini söyledi. BDDK’nin bu sistem üzerinde yeni güvenlik kontrolleri uygulayacağı kulağımıza gelen bilgiler arasında.
Ve yine maalesef, sosyal mühendislik kullanılarak Türkiye’deki yüzlerce kişi, paralarını başkalarına kaptırdı. Terör, korku gibi insanları harekete geçirecek yöntemler kullanan dolandırıcılar 2016’da da boş durmadı.
Diğer olaylara da kısaca değinecek olursak;
- FBI ve Amerikan İç Güvenlik Bakanlığı çalışanlarının bilgileri hacklendi.
- Wikileaks tarafından Amerikan seçimleri öncesi Demokratların bilgi ve belgeleri yayınlandı.
- Amerikan seçimlerine Rusya tarafından müdahale edildiği yönünde iddialar var.
- Amerika’nın önde gelen telekom firması Verizon’nun 1.5 milyon kullanıcısının iletişim bilgileri yayınlandı.
- 55 Milyon Filipinli seçmen bilgisi yayınlandı.
2017’nin de bu seneden geri kalmayacağını tahmin etmek zor olmaz. Maalesef hala yeni sistem kurulumlarında güvenlik parametrelerini ayarlamayı unutuyoruz ya da her gün karşımıza çıkan yeni saldırı tiplerine önlem almakta gecikiyoruz. Bazen de bir insan hatasından kaynaklı veri kayıpları yaşıyoruz. Farkındalığı artırmaya çalışsak da, maalesef en zayıf halka kadar güçlüyüz.
Her sene olduğu gibi 2017’de yeni teknolojiler bizi bekliyor ve bunların getireceği yeni tehditler de kapımızda. Örneğin webcam’lerin “akıllanması” yukarıda anlattığım gibi 2016’da siber saldırılara neden oldu. Yeni çıkan teknolojilerdeki olası güvenlik açıkları nedeniyle yine risk altında olacağız. Evimize kurduğumuz güvenlik sistemi, ne kadar “akıllı” hale gelirse gelsin, Internet’ bağlı olduğu sürece saldırganlar bir yolunu bulup sızacak ve kendimizi güvenli hissettiğimiz evimizde bile izlenebiliyor olacağız.
IoT’nin sağlık sektörüne de girdiğini biliyoruz. Telefonumuzdaki bir aparat sayesinde, tansiyonumuz, şekerimiz ya da hayatsal öneme sahip bir gösterge, doktorumuzun sistemine gönderilecek ve bize almamız gereken ilaçları söyleyecek. Peki, bu bilgiler doktorumuz yerine kötü niyetli kişilerin eline geçerse? Ya da sürücüsüz Uber arabamız, bizi gerçek fidyecilerin yerine götürürse? Sanal gözlüğümüz bize göstermesi gerekenden başka bir şey gösterirse? Bu senaryoların sayısı daha da arttırılabilir. Yeni Truva Atı’mız, IoT! (http://www.imdb.com/title/tt2679552/)
Terk edilen yazılımlar (abandonware) da 2017’deki saldırılar için bir atak vektörü olmaya devam edecek. (https://www.forcepoint.com/resources/whitepapers/2017-forcepoint-security-predictions-report) Artık desteklenmeyen yazılım ve işletim sistemlerindeki açıklar, siber güvenlik için önemli bir tehdit oluşturuyor. “Halen Windows XP kullanıyorum; Internet Explorer 6 arayüzü çok sade ve güzel; Adobe’un ya da Firefox’un eski sürümleri daha hızlı çalıştığı için silmiyorum; iPhone güncellendiğinde yavaşlıyormuş, o yüzden güncellemiyorum” diyenlerdenseniz, 2017’de ataklara hazır olun.
Fidye isteyen yazılımların 2017’de azalması öngörülüyor. (http://www.mcafee.com/uk/about/news/2016/q4/20161129-01.aspx). Bunun sebebi aslında her bir fidye yazılımının aynı şekilde çalışması ve artık anti-virüs çözümlerinin, eposta spam önleyicilerinin ya da davranış inceleyen programcıkların (https://www.varonis.com/ransomware-solutions/) bu zararlı yazılımları daha kolay tespit edebiliyor olması. Ama bu maalesef phishing saldırılarının ya da sahte telefon faturalarının azalacağı anlamına gelmiyor. Çünkü saldırganlar hala bu tuzağa düşürebilecekleri kişiler olduğunu biliyorlar.
2015 ve 2016’da elektrik, su ya da doğalgaz şebekelerinin zafiyetleri keşfedildi. Bunun bir sonucu olarak, 2017’de kişisel bilgisayarlara yapılan saldırılar azalırken, altyapıya ve özellikle bulut ortamlara ve mobil cihazlara yapılacak saldırıların artmasını bekliyoruz.
Geçen günlerde Amazon, drone teknolojisini kullanarak ilk kargosunu gönderdi. (http://www.bbc.com/news/technology-38320067). Drone’ların da güvenlik zafiyetleri barındırdığını düşünecek olursak, 2017’de drone’lara ait bir “kaçırılma” olayı yaşamamız çok olası gibi görünüyor. Örneğin, değerli bir kargonuz drone’un yönlendirilmesi sonucunda başkasının eline geçebilir.
Biraz da savunma tarafına göz atalım…
2017’de savunma için en önemli konulardan birinin tehdit istihbahratının geliştirilmesi ve uygun şekilde paylaşılması olacağını düşünüyoruz. 2016’da örneklerini gördüğümüz paylaşımların artacağını ve USOM – SOME ve özel sektör istihbarat işbirliğinin biraz daha gelişeceğini tahmin ediyoruz. Hem ulusal, hem de uluslararası tehdit istihbaratı paylaşımları (https://otx.alienvault.com/ https://cymon.io/ ) sayesinde kalemizi daha korunaklı hale getireceğiz. Bir yandan da ülkelerin siber güvenlik konusunda aldıkları önlemler artıyor ve peş peşe siber ordular kuruluyor. (https://www.btk.gov.tr/tr-TR/Sayfalar/SG-SIBER-GUVENLIK-KURULU https://www.ssi.gouv.fr/actualite/cybersecurite-des-oiv-de-nouveaux-arretes-sectoriels/ )
Ama bu gelişmeler, maalesef siber güvenlikteki devlet destekli saldırıları durdurmayacak. Siber güvenlikteki “büyük” oyuncular ya da siber casuslar, başka devletleri hedef almaya, “sıfırıncı gün” atakları yapıp bilgi sızdırmaya devam edecek. Amerikan seçimlerinde dahi, 2017’nin siber güvenlik anlamında zor bir sene olacağı tartışılmıştı. (http://venturebeat.com/2016/09/27/heres-what-trump-and-clinton-had-to-say-about-cybersecurity-and-cyberwarfare-in-the-debate/ )
Son olarak, hem ülkemizde (Kişisel Verilerin Korunması Kanunu), hem de Avrupa’da (GDPR) kişisel verilerin korunması hakkındaki mevzuat sayesinde verilerin işlenmesi kısıtlanabilecek ve bu sayede kişisel verilerimizin bizim isteğimiz dışında kullanılmasına karşı önlemlerimizi alabileceğiz.
Yasaların, mevzuatın, düzenlemelerin artacağı ve bizim de bunlara uymak için canla başla uğraşacağımız bir yıl bizi bekliyor.
Bütün bu siber risklerden bir noktaya kadar korunmanın yolu, siber risk sigortası yaptırmak olabilir. Operasyonel risklerinizi minimuma indirmek, itibar kayıplarını azaltmak, siber saldırı sonrası masraflarınızı karşılamak için siber risk sigortaları çözümler sunuyor ve 2017’de bu alandaki poliçe sayısının artacağına inanıyoruz.
Hepinize siber risklerden uzak, bilgi güvenliği farkındalığının en üst seviyede olduğu, sağlık, mutluluk ve huzur dolu bir 2017 dilerim.
Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.
