Kapınızı çalmasını istemediğiniz suçlar

Londra'nın merkezinde bir iş merkezinin bir odası... Odadakiler, şirketlerin veya kuruluşların siber savunma hatlarının zayıf noktalarını bulmaya çalışıyor. Dünyada bunun gibi pek çok oda bulunuyor. Ama işin ilginç yanı bunların pek azı "iyi adamlar"ın elinde.

Duvardaki büyük ekranda dünya genelinde fırtınalar koparan başlıca bilgisayar virüsleri görülüyor. Diğer bir ekranda ise internetin karanlık suları... Evet yanlış okumadınız internetin gerçekten karanlık ve gizli bir bölümü de var ve çoğu kimse bundan haberdar bile değil. Söz konusu bu ekranda bazı mesajlar beliriyor. Kimliği bilinmeyen bilgisayar korsanları, başarılı saldırılarını bu mesajlar üzerinden birbirlerine gururla anlatıyor.

Siber suçların küresel etkileri

Londra'da "iyi insanların" bulunduğu bu türden gruplaşmalar giderek daha büyük bir önem kazanıyor çünkü kaybedilecek çok şey var. 201 l'deki Sony PlayStation siber saldırısında, 77 milyon kullanıcının bilgileri çalındı. İleriki yıllarda bundan çok daha büyük bir bilgi hırsızlığı daha yaşandı ve Yahoo'nun sitesine giren bilgisayar korsanları 2014 yılında 500 milyon kişinin bilgilerini çaldı, Yahoo'nun başına gelenler ancak Eylül 2016'da duyuldu.

Sayılar bu kadar büyük olunca anlamsızlaşabilir ama internetin karanlık bölümünde her bir e-posta adresi ve şifre büyük bir değer taşıyor. İnsanlar çoğu durumda aynı şifreyi birden fazla sitede kullanıyor ki internet bankacılığının yapıldığı merkezler de bu sitelere dahildir. Blockchain olarak anılan teknoloji belki bir gün bu tür olayların önüne geçilmesini sağlayacak ama 2016 yılının Ağustos ayında Hong Kong borsasında düzenlenen 72 milyon dolarlık Bitcoin soygunu, iyimserliğe kapılmak için erken olduğunu gösteriyor. Gerçekten de siber gaspçılar ödeme yaparken söz konusu para birimini yaygın olarak kullanıyor. Bu durum, finansal hizmetlerin özellikle etkilendiği ASEAN Bölgesi ve Güney Amerika için büyük bir sorun olarak beliriyor. Bulgular, 37 ülkedeki 2.500 iş insanıyla üç ayda bir yapılan anketten hareketle hazırlanan Grant Thornton International Business Report (IBR)'a dayanıyor.

İtibar kaybı

IBR, internet dünyasında gezinen suçluların da artık farklı bir gruptan geldiğini gösteri­yor. Siber suç, artık oturma odalarındaki bilgisayarları kullanıp şifreleri kıran gençlerin işi olmaktan çıktı. Dünya genelindeki siber saldırılar, son 12 ayda iş dünyasına tahmini olarak 279 milyar dolara mal oldu; bu rakam, bir önceki 12 aya kıyasla yüzde 6'lık bir artışı ifade ediyor. Siber suç dev bir küresel işe dönüştü. İş dünyasındaki algıya bakıldığında ilginç ve göz açıcı bir gerçekle karşılaşılıyor. İş dünyasını en çok endişelendiren şey para değil ama itibar kaybı. İş dünyası doğrudan para kaybı nedeniyle kaygılanmaya başlamadan önce başka konulara öncelik verilmesini istiyor: İtibar kaybı, bu tür suçlara karşı yönetim kademelerinde harcanan mesai, sonuçta ortaya çıkan müşteri kaybı ve savunma hatlarını güçlendirmenin maliyetleri.

2014 yılında "60 Minutes" televizyon programına açıklama yapan FBI Başkanı James Comey siber suçun arz ettiği tehlikenin boyutlarını tanımlamak için şu ifadeleri kullandı: "Amerika Birleşik Devletleri'nde iki tür büyük şirket bulunuyor: Bilgisayar korsanlarının saldırısına uğradığının farkında olanlar ve olmayanlar." Devlet destekli yasadışı siber faaliyetlere vurgu yapan Comey, bazı ülkelerin, endüstrilerine ve ekonomik büyümelerine fayda sağlayacak bilgileri çalmak için sistemlere girme çabalarında "aşırı derecede agresif ve yaygın" olduklarını belirtiyor.

Mesaj son derece açık: Dinamik bir şirketiniz var ve saplantılı bir şekilde güvenliğinden endişe ediyorsanız, bu sizin paranoyak olduğunuz anlamına gelmiyor. Bir suçlu her an kapınızı çalabilir. "Hacktivist" olarak anılan insanlar ahlaki değerlerin kendilerinden yana olduğunu düşünüyor. Bunlar, organize suç örgütleri ve devlet destekli bilgisayar korsanları ve teröristler için çalışıyor. Şirketinizin ya da kuruluşunuzun böyle bir saldırıya uğraması kaçınılmaz bir nitelik taşıyor, tabi halihazırda uğramadıysa!

Gerçekçi direnç

Şirketler/kuruluşlar bu türden tehditlere karşı önlem almaya nereden başlıyor?
Burada asıl amaç direnç kazanmak olmalıdır. Londra'daki siber oda da bu noktada devreye giriyor. Grant Thornton İngiltere'de çalışan Nick Smith, bilgisayar ve internet dünyasında "beyaz şapkalı" olarak bilinen bilgisayar korsanlarından birisi. Nick Smith, kötü niyetli bilgisayar korsanları web sayfalarındaki açıkları bulmadan önce bunları tespit edip gerekli önlemlerin alınmasını sağlıyor.

Smith şöyle diyor: "Bizim işimiz internet ağlarını sızılmaz hale getirmek değil, zaten bu mümkün değil. Evet belli yeteneklerimiz var ama büyük bir grubumuz yok. Bütçemiz de milyonlarla ifade edilmiyor. Bu nedenle bazen belli zorluklarla karşılaşıyoruz. Üstelik şirketlerin/kuruluşların internet sayfalarına yeni yöntemler bularak saldıracak insanlar her zaman olacak. Bizim işimiz bütün açıkları ve kusurları bulmak için saldırıya geçmek. Bu saldırıyla ilgili daha sonra bir rapor yazıyoruz ve elden geldiğince güvenli olmak için alınması gereken önlemler hakkında tavsiyelerde bulunuyoruz. Şirketlerin /kuruluşların tehditleri karşılamak için adımlar atmaları gerekiyor.

Bir siber saldırının sonuçlarıyla uğraşmaktansa en baştan önlem almak daha makul bir seçenek olarak beliriyor. Siber savunma mı yapmak istersiniz yoksa gaspçılarla görüşme masasına oturmak mı?"

İnsan hatası

Comey yaptığı açıklamada problemin dev boyutlarına işaret ediyor: "İnternet, arabanızı park edebileceğiniz yerler arasında hayal edilebilecek en tehlikeli park yeri gibidir. Gece geç bir saatte geçiyorsanız, hissettiğiniz korku zirve noktasına ulaşır. Nereye gideceğinizi biliyorsunuzdur. Hızlı adımlarla yürürsünüz. Işıklı yerleri bulmaya bakarsınız. Ama kimileri bütün gün tehlikeli park alanında yürüyüp durur, şüpheli elektronik postaları açar, içeriğinden habersiz olarak bazı sitelere girer. İşte bu da kötü adamların işini kolaylaştırır."

Yapılan araştırmalar Comey'in kullandığı bu metaforu destekliyor. IBM'in İnternet güvenliği alanında hazırladığı 2014 Cyber-Security Intelligence Index Raporu, insan hatasının, güvenlikle ilgili sorunlarda %95'lik bir paya sahip olduğunu gösteriyor. Son dönemde Grant Thornton İrlanda tarafından yapılan bir deney öngörüsüzlüğün başlıca sorunlar arasında olduğunu gösterdi. Kuruluş, farkındalığı artırmak için belli sayıda bellek çubuğunu (memory stick) Dublin'in çeşitli kesimlerine bıraktı. Üzerinden dakikalar geçmeden bellek çubukları başkaları tarafından alındı ve durumun farkında olmayan bu kişiler tarafından kullanıldı.

'Kötü niyetli bir bilgisayar korsanının bir ağa böyle kolay bir şekilde girebilmesi bazılarının aşina olduğu bir durum. Kimse mobil cihazların ve ağların ne kadar kolay bir şekilde ele geçirilebileceğini fark etmiyor, risk gerçekten çok yüksek. Bu artık sadece CIO'ların yapacağı bir iş olmaktan çıktı. "Siber güvenlik, her zaman şirket/kuruluş üst düzey yöneticilerinin gündeminde olmalıdır. Karşı karşıya olunan sorun şirketin bir bütün olarak hareket etmesini gerektiriyor. Şirketler önlem almakta geciktikçe tehditler de büyüyor. Şirketler/kuruluşlar bir an bile gecikmeden harekete geçmelidir. (Manu Sharma/Grant Thornton İngiltere Direktör, İş Güvenliği Sistemleri)