Firma verilerinin çalınması ve dark web’de satılığa çıkması, artık sık sık duyduğumuz, sıradan haberler haline geldi. Siber güvenlik stratejisi olmayan firmalar, bir saldırı altında kaldıklarında çoğu zaman saldırıya uğradıklarının bile farkında olmuyorlar. Ta ki, verilerinin çalındığı ve dark web’de satılığa çıkarılacağına dair bir mesaj aldıkları ana kadar. bu karanlık mesajı görmek istemeyen firmalar için, proaktif bir siber güvenlik stratejisi geliştirme ve yürürlüğe koyma, mutlaka gerekli.
17-20 kasım 2022 tarihleri arasında Ürdün’de gerçekleştirilen Kaspersky Siber Güvenlik Zirvesi’nde güncel güvenlik tehditleri ve alınması gereken önlemler masaya yatırıldı. CHIP Online olarak yerinde izlediğimiz ve 2023’te nelerle karşılaşacağımızı şimdiden görme imkânı bulduğumuz etkinliğin haberini sizler ile paylaşmıştık. Etkinlikte aynı zamanda Kaspersky Siber Güvenlik Servisleri Analizi departmanı yöneticisi Yuliya Novikova ile bir röportaj gerçekleştirdik ve ondan kurumsal açıdan bir durum değerlendirmesi yapmasını ve saldırılara ve saldırı sonrasına hazırlıklı olmak için neler yapılması gerektiğini konuştuk.
CHIP Online: Günümüzde şirketler için başlıca iç ve dış tehditler nelerdir?
Yuliya Novikova: Günümüzde şirketler için birçok farklı tehdit bulunuyor. Dış tehditler hakkında söyleyebileceğim tek bir şey var. “Dışarıya açık olmak”. Internet bağlantıları var ve bu bağlantıları çoğu zaman kontrol altında tutamıyorlar. Şirketin içinde ne olup bittiğini kontrol edecek yeteri derecede eğitimli personel bulunmuyor. Ne tür tehditlerle karşı karşıya kaldıklarını bilmiyorlar, öncelik sırasına sokamıyorlar ve bunlara karşı bir aksiyon planı geliştiremiyorlar. Bu aşamada Kaspersky olarak onlara yardımcı olabiliyoruz. Eğer içeride bu konuda görev yapacak elemanlarınız bulunmuyorsa, bir servis sağlayıcısına başvurmalı ve onlardan hizmet almalısınız, mutlaka bir güvenlik stratejisi geliştirmeniz gerekiyor.
CHIP Online: Şirketler bu tehditlere karşı korunmak için ne tür stratejiler uygulamalı?
Yuliya Novikova: Burada önemli olan güvenliğe ayrılan bütçenin büyüklüğü değil, güvenliği sürekli olarak ön planda tutmak. Sadece kanun koyucuların ortaya koyduğu şartları bilmek ve onlara uyum sağlamak için çalışmak yetmiyor, potansiyel riskleri bilmek ve onlara karşı önlemler almak gerekli. Olası tüm açıkları kapatacak bir strateji geliştirmeliler ve bir saldırı veya açık söz konusu olduğunda anında yanıt verebilme imkanına sahip olmalılar. Düzenli olarak güvenlik ölçüm testleri yapmaları gerekiyor, çünkü bu testlerin içeriği ve kapsamı sürekli olarak güncel tehditlere paralel olarak güncelleniyor. Eğer içeride bunu yapacak bir güvenlik ekibi kuracak bütçeleri yoksa, onlara yardımcı olabiliyoruz. Oldukça makul bir bütçe ile bile bir müşteri ne yapacağını doğru bir şekilde belirleyebilir. Burada önemli olan güvenlik ürünlerini satın almak değil, bu ürünleri doğru şekilde ve etkin kullanmak ve eğer kullanılmazsa şirketin başına ciddi problemler gelebileceğini ve maliyetin çok daha ağır olacağını anlamak.
CHIP Online: Görüyoruz ki, tüm önlemler alınsa bile zaman zaman güvenlik zafiyetleri ortaya çıkabiliyor ve saldırganlar başarılı olabiliyorlar. Böyle bir olay yaşandıktan sonra, firmalar verilerinin güvende olduğundan, tehditlerin ortadan kaldırıldığından, açıkların kapatıldığından ve verilerinin güvenlikte olduğundan nasıl emin olabilirler?
Yuliya Novikova: Birçok vakada görüyoruz. Siber suçluların değerlendirdiği açıkların tamamı tespit edilip kapatılmış, altyapı temizlenmiş olsa bile, içeride bir siber güvenlik ekibinin bulunması ve bu ekibin olası başka açıkların var olup olmadığını kontrol etmesi ve bir sonraki saldırıya hazırlıklı olması gerekiyor. Eğer böyle bir ekip yoksa, bu durumda bu işin uzmanlarından hizmet almak ve derin bir güvenlik taraması yaptırmak şart. Dışarıdan uzman bir gözün bakması, günümüzde çeşitlenen tehditler ve açıkların tespit edilmesi ve kapatılması için çok önemli.
CHIP Online: Çalınan şirket verileri, karanlık web’de satılığa çıkıyor, bunu biliyoruz. Peki bu verinin değeri nedir? Piyasa değerini kim, nasıl belirliyor? Veriler nasıl satılıyor?
Yuliya Novikova: Tam olarak belirlenen bir piyasa standardı olduğunu söylemem mümkün değil. Siber suçlular çaldıkları verileri satmaya çalışırken çoğu zaman işe çok yüksek bir fiyat koyarak başlıyorlar. Ancak alıcı çıkmazsa, ki çoğu zaman da çıkmıyor, bir hafta sonra örneğin, fiyat kırmaya başlıyorlar. Bazen de siber suçlular, bir şirketi sadece korkutmak için sahte haberler de yayabiliyorlar. Veri ticareti genelde gizli forumlar üzerinden yapıldığında, örneğin “Şu şu firmanın şu şu verilerini ele geçirdik. Verilerin içeriğini öğrenmek için bize özel mesaj atın” gibi bir duyuru yapabiliyorlar. Bu bilgi ağızdan ağıza yayılıyor ve sonunda firmanın tuzağa düşmesine neden olabiliyor. Bu tür durumlarda biz, siber suçları araştırma ve profilleme imkanlarımızı kullanarak firmalara bu verilerin gerçekten çalınıp çalınmadığını onaylamak (veya yalanlamak) için hizmet verebiliyoruz. Sonunda firmaya net olarak, bu haberin sahte olduğunu belirtirsek, firma marka isminin zedelenmemesi için “hakkımızda çıkan veri hırsızlığı haberleri asılsızdır, sistemlerimiz ve kullanıcılarımızın bilgileri güvendedir” gibi resmi bir açıklama yapabiliyor.
CHIP Online: Biraz da hükümetlerde ve resmi kurumlardan söz edelim. Hükümetler, kamu kuruluşları ve kolluk kuvvetleri siber tehdit farkındalık durumu ne seviyede? Gerekli önemleri alıyorlar mı, güvenlik ekipleri var mı ve bu konuda onlara resmi destek veriyor musunuz?
Yuliya Novikova: Çoğu ülkenin siber güvenlik ekibi bulunuyor, tehditlerin farkındalar ve savunma ve saldırı sonrası felaketten kurtulma planları bulunuyor. Kaspersky olarak bu alanda kapsamlı deneyimlerimiz var. Bir saldırı ve sızma olduğunda, bunu inceleme altına alıyor, saldırının nereden kaynaklandığını, nasıl ve kimler tarafından yapıldığını araştırıyoruz.
CHIP Online: Kaspersky olarak firmalara ne tür koruma ve felaketten kurtulma planları sunuyorsunuz?
Yuliya Novikova: İster şirket çalışanı ister kişisel kullanıcı olsun, herkesin mutlaka bir antivirüs programı kullanması gerektiğini zaten biliyoruz ve bunun olduğunu zaten kabul ediyoruz. Bir müşterimiz, Kaspersky tabanlı olmayan, başka bir güvenlik çözümü kullanıyor olabilir. Güvenlik operasyon merkezimiz yine de, üründen bağımsız olarak firmaların altyapısını test edebiliyor, derinlemesine analiz edebiliyor ve potansiyel açıkları ve bu açıkları kapatmak için neler yapılması gerektiğine dair raporlar hazırlayabiliyor. Saldırı simülasyonları yapabiliyor ve gerçek hayatta bunların ne kadar başarılı olup olmayacağını firmalara bildirebiliyoruz. Aynı zamanda, dış tehditler ve hem açık internet hem de karanlık web’de olup bitenleri takip ettiğimizden dolayı, buralardaki durumu, potansiyel tehditleri de değerlendirebiliyoruz.
Bir felaket gelip firmayı vurduğunda, acil yanıt ekibimiz, kötü niyetli yazılım analiz ekibimiz ve vaka araştırma ekibimiz beraber çalışarak, firmanın karşı karşıya olduğu durumu tüm açıklığı ile görebilmesini sağlıyor. Ne oldu? Ne zaman oldu? Bu felakete tam olarak neden olan şey ne? Ne tür bir kötü niyetli yazılım şirket ağına sızdı, nasıl sızdı, hangi verileri topladı ve bu verileri siber suçlulara nasıl iletti? Saldırın başladığı andan sonuç elde edildiği noktaya kadar tüm vaka zincirini açıkça ortaya koyabiliyoruz. Aynı zamanda, bir şirket bize saldırı sırasında ulaşırsa, uzman ekibimiz hemen açıkları değerlendirip kapatıyor, yüklenen kötü niyetli yazılımları tüm sistemlerden kaldırıyor ve saldırganları şirket altyapısında dışarı atmak için çalışmalar yürütüyor.
Yuliya Novikova Kimdir?
7 yıldır Kaspersky’da çalışan, Siber Güvenlik Servisleri Analizi departmanı yöneticisi ve ekibi, firmaları dahili ve harici kaynaklardan karşı karşıya kalabilecekleri saldırılar ve tehditler konusunda bilgilendiriyor ve siber güvenlik planlarını oluşturmalarına yardımcı oluyor.