Teknolojinin hızla geliştiği ve hayatımızın her alanına girmeye başladığı günümüzde bu dijital dönüşümün getirdiği siber güvenlik riskleri büyük tedirginlik oluşturuyor. Hem Türkiye’de hem de dünyada sürekli artan sayıda yaşanan veri sızıntısı vakaları, bu risklere karşı önceden önlem alan yatırımların yapılması gerektiğini ve siber saldırıların anlık olarak izlenerek önlenmesinin önemini gösteriyor. Özellikle son yıllarda fidye zararlılarının (ransomware) saldırılarda sıkça kullanılması ve şirketlerin-kurumlarının sistemlerinin günlerce hatta haftalarca erişilemez hale gelerek hizmet verememeleri, siber güvenliğin artık bir toplum güvenliği konusuna dönüştüğünü net olarak gösteriyor.
Mayıs 2021’de Amerika’nın en büyük petrol dağıtım şirketlerinden Colonial Pipeline böyle bir fidye zararlısının kurbanı olmuş, yaklaşık 5 milyon dolar fidye ödemesine rağmen sistemlerini tekrar servis verebilir hale getirmesi 6 gün sürmüştü. Bu arada Amerika’nın birçok eyaletinde oluşan panik havasıyla benzin istasyonlarında kuyruklar oluşmuş ve benzin fiyatlarında yaşanan artışlar sonrasında da 2014’ten sonraki en yüksek fiyatlara ulaşılmıştı. Bu vaka, bir siber saldırının toplum düzenini nasıl bozduğuna dair yaşanmış somut bir örnektir. Bu vakadan daha da vahim olanı Eylül 2020’de Almanya’da Düsseldorf Üniversitesi Hastanesi’nde yaşanmıştı. Saldırganlar yine fidye zararlısı kullanarak hastane sistemlerini çalışamaz hale getirmişler, acil bölümünde kritik durumdaki bir hasta başka bir hastaneye sevk edilmek zorunda kalmış ve ne yazık ki hayatını kaybetmişti. Bu siber güvenlik kaynaklı ilk ölüm vakası olarak da kayıtlara geçmiştir.
Bu yazımızda siber saldırganların hedeflediği en güncel tehditler, siber güvenliğin sağlanması için yapılması gerekenler ve Türkiye’nin siber güvenlikteki yerlileşme serüveni detaylandırılacaktır.
Siber Güvenlikte Artan Tehdit ve Risk Konuları
- Pandemi Nedenli Güvenlik Riskleri: Pandeminin etkisiyle birçok şirket, çalışanlarını evden çalıştırmak zorunda kaldı ve hatta bazıları bunu kalıcı hale getirdiler. Şirket ortamlarında sunulan siber güvenlik önlemleri (örneğin zararlı sitelere erişimin engellenmesi) ev ortamındaki ağ bağlantılarında ve kullanılan kişisel bilgisayarlarda bulunmaması kaynaklı yeni riskler ortaya çıktı. Pandemide, video-konferans uygulamalarının kullanımlarında büyük artışlar oldu. Güvenlik açısından bu uygulamaların uçtan uca şifreleme yaparak servis sağlayıcının (Zoom, Webex) görüşmeleri dinleyememesinin sağlanması en önemli kazanımlardan biri oldu.
- Tedarik Zinciri Saldırıları (Supply Chain Attacks): Aralık 2020’de Amerikan menşeli SolarWinds firmasının IT alanında bütün dünyada çok yaygın kullanılan Orion yazılımına Rus saldırganlar tarafından arka-kapı yerleştirdiği ortaya çıktı. Bunun neticesinde içlerinde Amerika’daki Hazine Bakanlığı, İç Güvenlik Bakanlığı gibi kamu kurumlarının yanı sıra birçok özel şirketin de bu arka-kapıdan zafiyet yaşadığı ortaya çıktı. SolarWinds 18 bin müşterisinin bu arka-kapıyı içeren yazılımı yüklediğini açıkladı. Tedarik Zinciri Saldırıları, aynı anda binlerce kurumu hedef alabildiği için çok popüler olmuştur ve Avrupa Birliği ENISA En Kritik 10 Tehdit gibi listelerde yerini almıştır.
- IoT (Nesnelerin İnterneti) Güvenliği: 2018’de Amerika’daki bir şirket, sahip olduğu akvaryumda sıcaklık ölçen bir IoT sensörünün uzaktan ele geçirilmesi ve buradan şirket sistemlerine erişilerek verilerinin çalınması vakasını yaşadı. Tek bir IoT cihazının verdiği zarar ürkütücüydü. 5G’nin de hayatımıza girecek olması ile birlikte ve 2025’te 30 milyar civarında IoT cihazı ile donatılmış Akıllı Şehir, Akıllı Tarım, Akıllı Sağlık vb. uygulamaları düşününce, karşı karşıya kalacağımız riskin boyutları ortadadır. Halihazırda günümüzde IoT kapsamına giren güvenlik kameralarının, vücuda bağlanan sağlık ölçüm cihazlarının, teknolojik akıllı gözlüklerin hacklenmesi gibi birçok vaka zaten yaşanmıştır.
- Kritik Zafiyetlerdeki Artışlar: 2021’de ürün kaynaklı açıklanan kritik zafiyetlerin sayısı bir önceki yıla göre yüzde 50’den fazla artış gösterdi. Özellikle geçen Kasım’da tespit edilen, kullanım alanı oldukça yaygın olan ve 2021’in en kritik zafiyeti olarak görülen log4j açığı dünyada büyük yankı uyandırdı. Kurumlar özellikle bu zafiyete sahip sistemlerini tespit etmekte çok zorluk çektiler. Dijitalleşme ile bir yandan dijital saldırı yüzeyleri büyürken diğer taraftan açıklanan zafiyet sayılarının artması siber güvenliğin sağlanmasında büyük bir sorun oluşturmaya başladı.
- Kripto-para Madenciliği Saldırıları: Bitcoin ve diğer altcoinlerin üretilmesine yönelik madencilik (mining) faaliyetleri için güçlü ve sürekli çalışan bilgisayarlara ihtiyaç var. Son yıllarda hem güçlü bilgisayarlara izinsiz erişmek hem de elektrik masraflarından kaçınmak için şirketlerin sunucularının ele geçirildiği saldırılarda büyük artış görülüyor.
- Kripto Borsası ve NFT Saldırıları: Kripto-paraların popüler olması ile birlikte kripto-para alım-satım işlemlerinin yapıldığı platformlar siber saldırılarda hedef olmaya başladılar. Örneğin yakın zamanda crypto.com platformundan 15 milyon dolar değerinde Etherium kripto-paranın çalındığı ortaya çıktı. Benzer şekilde Türkçeye “değişmesi mümkün olmayan para” olarak çevirebileceğimiz NFT (Non Fungible Token) dijital varlıkları (fotoğraf, ses, video, tweet vb.) da risk altına girmiştir. Ocak’ta bir NFT koleksiyoncusunun kripto cüzdanından 2 milyon dolar değerindeki resimleri hedef olarak çalınmıştır. Bu tür kripto varlıkların saklanması için daha güvenli olan soğuk cüzdan çözümleri tercih edilmelidir.
- Siber Saldırıların İzlenmemesi: Geçmişte şirketlerin siber saldırıya uğrasalar bile aylarca hatta yıllarca bunu fark edemedikleri ve bu süre boyunca veri sızıntılarının devam ettiğine yönelik tespitler yapıldı. Bunları dikkate alarak şirketler, siber saldırıların anlık izlenmesine ve müdahale edilmesine yönelik Siber Savunma Merkezi kurulmasına yatırım yapmaya başladılar. Saldırıların daha gerçekleşmeden tespitine yönelik, farklı kurumlar arasında siber tehdit istihbaratı çalışmaları da bu kapsamda yürütülmeye başlandı.
Siber Güvenlik Nasıl Sağlanır?
Dijitalleşmeyi odağına alan her kurum ve şirket içinde bulunduğu sektörden bağımsız olarak siber güvenliğe yatırım yapmak ve siber güvenliğinin temel gereksinimlerini yerine getirmek zorunda. Aksi takdirde analizlere göre her 11 saniyede gerçekleşen siber saldırılardan korunmak ve siber vaka yaşamamak pek mümkün değil. Buna ek olarak fidye zararlıların 2021’de şirketlere zararının 20 milyar dolar olduğunu ve bunun 10 yıl içinde 265 milyar dolara çıkacağının tahmini dikkate alınmalı.
Kurumlarımız ve şirketlerimiz ISO 27001 Bilgi Güvenliği Yönetimi ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi (kaynak: https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf) gibi uluslararası ve ulusal güvenlik standartlarını referans alarak kapsamında varlık yönetimi, ağ güvenliği, uygulama güvenliği, veri güvenliği, fiziksel güvenlik, mobil güvenlik, IoT güvenliği, kişisel verilerin güvenliği, kritik altyapıların güvenliği, kriptoloji, güvenlik testleri, siber saldırıların izlenmesi gibi temel siber güvenlik kontrollerinin olduğu bilgi güvenliği ve risk yönetimi programlarını oluşturmalıdırlar. Bu programı oluşturduktan sonra fark analizi yaparak mevcut durumlarının fotoğrafını çekmeli, kısa vadeli ve uzun vadeli siber güvenlik aksiyon planlarını oluşturmalı ve sürekli iyileştirmelerin yapılmasını sağlamalıdırlar. Diğer taraftan siber güvenlik kendi içinde çok çeşitli uzmanlık konularının olduğu bir alan olduğu için bir kurum bünyesinde bütün bu uzmanlıkları bir araya getirmek hem zor hem de maliyetlidir. Bu tür durumlarda ülkemizde Yönetilen Güvenlik Servisleri ve Danışmanlık hizmetleri sağlayan firmalardan her alanda destek alınabilir. Savunma Sanayii Başkanlığı bünyesinde 2018’de kurulan Siber Güvenlik Kümelenmesi’nin (www.siberkume.org.tr) sağlanan bu hizmetlere yönelik bir envanter portalı bulunuyor. Ülkemizde yine bir siber vaka yaşanması durumunda USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve veri ihlali yaşanması durumunda KVKK (Kişisel Verileri Koruma Kurumu) bilgi verilmesi gereken kurumlardır. Bu iki kurumun web sayfalarında süreçleri ile ilgili detayları bulmak mümkündür.
Siber güvenlik sadece teknolojiye değil, ayrıca süreç ve insan odaklarına da yatırım yapmayı gerektirir. Süreç odağında kurumumuzun bütün süreçleri siber güvenlik bakış açısıyla zenginleştirilmelidir. Örneğin satın alma süreçlerinde tedarik edilen teknoloji ürününün siber güvenlik olgunluğunun değerlendirilmesi ve buna göre satın almaya karar vermek sürecin bir parçası olmalıdır. İnsan odağında ise kurum içindeki çalışanlarda siber saldırılara karşı farkındalığı yükseltecek eğitim ve tatbikat çalışmaları yapılmalı, teknik personele de teknik yetkinliklerini artıracak pratik eğitim imkanları sunulmalıdır.
Türkiye’de Siber Güvenliğin Yerlileşme Süreci
2018’de kurulan Siber Güvenlik Kümelenmesi’nin 200’e yakın siber güvenlik hizmeti sunan yerli firmayı bir araya getirerek organize etmesi sayesinde yerlileşme alanında büyük gelişmeler oldu ve yeni birçok siber güvenlik ürünü ülkemizde geliştirilerek hem kamunun hem de özel şirketlerin kullanımına sunuldu. Bu firmalardan bazıları ürünlerinin ve servislerinin olgunluğu ile ihracat alanında da başarı gösterdiler.
Diğer taraftan siber güvenlik yerlileşmesinde yolun başında olduğumuzu da görmemiz gerekir. Globalde başarılı olan yabancı menşeli siber güvenlik ürünlerinin bu başarıya ulaşmaları yıllar sürmüştür ve bu süreçte ürünlerine yönelik farklı müşterilerden aldıkları geri bildirimler ve elde ettikleri gelirler sayesinde bu olgunluğa ulaşmışlardır. Kamu ve özel sektörde bu ürünlerin alınmasına karar verecek olanlar, inisiyatif alarak yerli ürünlere destek sağlamalı ve ürünü sadece alıp kullanmanın ötesinde ürünle ilgili gelişme alanlarını firmalarımıza ileterek, bu ürünlerin global rakipleri ile yarışır noktaya gelmesine destek olmalıdırlar. Üretici firmalarımız ise bu desteği arkalarına alarak, ürün geliştirme süreçlerinin daha kurumsal ve sürdürülebilir olmasını hedeflemelidirler. Bu kamu, özel sektör ve üretici firmaların karşılıklı iş birliği ile önümüzdeki 5 yılda siber güvenliğin her alanında kendi ürünlerini üretmiş olan, ithalata ihtiyaç duymayan ve ürünlerini yurt dışına ihraç eden bir Siber Güvenlik Ekosistemi kuracağımızı umuyorum.