Geçtiğimiz yıl Türkiye başta olmak üzere dünya genelinde yaşanan ihlallerin ardından kurum ve kuruluşların bir kez daha korkulu rüyası haline gelen siber saldırılar, etkisini sürdürmeye devam ediyor. Peki, bu yıl siber atakları önlemek için hangi önlemlerin alınması gerekiyor?
Organizasyonunuz 2015 yılında veri ihlali kurbanı olmamış olabilir. Fakat hacker gruplarının, siber suçluların ve diğerlerinin dikkatlerini sizin işinize yöneltmeyeceğinin hiçbir garantisi olmadığını biliyorsunuz. Özellikle sağlık hizmetleri alanında çalışan organizasyonlar 2015 yılında üst düzey nitelikteki saldırıların hedefi oldu. Sağlık ile ilgili bilgiler, sağlık harcamaları, adres, doğum tarihi gibi son derece hassas bilgileri kayıt altında tutan sağlık kuruluşları saldırıların en büyük hedeflerden birisi olarak ön plana çıkmaktadır. Sağlık bilgilerinin ele geçirilmesi sonrasında dolandırıcılık kötü senaryolardan sadece birisi iken güven kaybı, saygınlığın kaybedilmesi ve bilinmesi istenmeyen verilerin yitirilmesi ihlaller sonrasında ortaya çıkabilecek sorunlar arasında yer alıyor.
Yeni tehditleri anlamak ve üyeleri desteklemek adına çalışmalar yürüten, IT sektöründe siber güvenlik sertifikasyonu ve profesyonel gelişim programlarıyla bilinen uluslararası siber güvenlik uzmanlığı kuruluşu ISACA Başkanı Christos Dimitriadis, sağlık sektöründe veri ihlali ile ilgili problemlerin yönetim kurulu düzeyinde kabul edildiğini gördüklerini söylüyor. Dimitriadis, ABD ve Avrupa’nın saldırılara karşı koyabilmek adına siber güvenlik politikalarını sürekli geliştirdiklerine belirterek kişisel bilgi gizliliğine ilgilinin artmasının sağlık sektörünü daha fazla destekleyeceğine dikkat çekiyor.
Milyonlarca hastanın kişisel bilgileri çalındı
2015 yılında ABD nüfusunun önemli bir kısmına hizmet veren büyük sağlık kuruluşları hedef alındı. Kaliforniya Üniversitesi Sağlık Sistemi’nde milyonlarca hastanın kişisel bilgileri çalındı. Maalesef çalınan veriler şifrelenmemiş olduğundan dolayı dolandırıcılık için rahatlıkla kullanılabilecek formatta bulunması saldırının vasat sonuçlar ortaya çıkarabileceği gerçeğini ortaya çıkardı. Yaşanan veri ihlalini 2015 yılının Temmuz ayında duyuran Kaliforniya Üniversite, şüphe çekebilecek ilk girişimlerin 2014 yılının Eylül ayında gerçekleştiğini tespit etti. İhlalden etkilenen kişilere kimlik koruma hizmeti sunuldu ve yaşanılan ihlali bir suç olarak tanımladı. Bunun yanında, ABD’de 200’ün üzerinde hastanenin dahil olduğu Toplum Sağlık Sistemi, 2015 yılında 4.5 milyon hastaya ait verilerin yaşanılan ihlal sonrasında ele geçirilmiş olabileceğini duyurdu ve ele geçirilen bilgilerin isim, adres ve sosyal güvenlik numarası olduğu belirtildi.
Siber güvenlik olaylarının altı ay veya daha uzun süre belirlenememesi konusunda artan bir eğilim gördüklerini söyleyen Dimitriadis, uzun süren güvenlik ihlalleri ile kötü amaçlı kişilerin daha sabırlı ve daha sofistike şekilde saldırılarını gerçekleştirdikleri bir karakterle ön plana çıktıklarını vurguluyor.
Güvenlik şirketleri ve askeri kuruluşlar veri ihlaline uğradı
Güvenlik sağlayıcıları her daim güvenilir çözümler sunabilmesi ve saldırganlarla baş edebilmesi bakımından baskı altında kalabiliyor. 2015 yılında güvenlik şirketleri ve askeri kuruluşlar veri ihlalinden nasibini alan organizasyonlar olarak kayıtlara geçti. Güvenlik konusunda kendine güvenen her organizasyon her tür veri ihlali için net bir hedef durumunda olabilir. Geçtiğimiz 10 yıl içerisinde IT yöneticileri, maliyetleri düşürmek ve esneklik sağlamak adına dış kaynaklı çözümleri ve sağlayıcıları kullanmayı tercih etti. Fakat bu uygulamalar beraberinde güvenlik risklerini getirdi. Nitekim, ARNG (U.S. Army National Guards) 2015 yılında sistemdeki 868 bin kişiye ait bilgilerin, sağlayıcılardan birisi tarafından dış ortama aktarılması esnasında ilgili veri ihlali yaşayan kuruluşlar arasında yer aldı. U.S Army National Guard yetkililerinden olan Binbaşı Jamie Davis, özel bilgilerin hükümetin çalıştığı kuruluşlardan birisi tarafından farklı federal programlar için bütçe analizi gerçekleştirilmek için kullanılmak üzere aktarımının yapıldığını belirtiyor.
Siber güvenliği artırmanın yolları
IT yöneticilerinin güvenliği artırmak adına tercih edebileceği birkaç farklı seçenek bulunuyor. Organizasyon tarafından yapılabilecek olan iyileştirmelere ait özellikler büyük oranda organizasyon kaynaklarının nitelikleri ve mevcut güvenlik altyapısıyla ilgili olma vasıfları taşıyor. ISACA Başkanı Christos Dimitriadis, IT yöneticilerine siber güvenliği artırmak konusunda şunları tavsiye ediyor: “Temel güvenlik konuları ve çalışanlar tarafından ortaya koyulan kötü niyetli davranışlar hala güvenlik risklerinin önemli bir bölümünü oluşturuyor. Bu tehditlerin eğitim programları doğrultusunda en aza indirilebilmesi mümkün. Hizmet olarak güvenlik gibi yeni teknolojilerin sunuluyor olması organizasyon dahilindeki güvenlik departmanları için önemli desteklerden birisi olarak ön plana çıkıyor. Bunun yanında, sosyal mühendislik tehditlerine karşı mücadele etmek adına şüpheli e-posta ve web bağlantılarını önleyecek teknolojiler bulunuyor. Ancak bu konuda gerekli eğitimin verilmesinin en temel detaylar arasında yer aldığını göz ardı etmemek gerekiyor.”