Yüksek profildeki ihlaller buz dağının görünmeyen yüzüne dair ipuçları veriyor. Fark edilmeyen veya gizemini koruyan pek çok saldırı ve altyapılarda önemli değişiklikler olmaması ihlallerin şu andakinden çok daha vasat bir noktaya ulaşacağının işaretlerini veriyor.
Geride bıraktığımız iki yıl her birisi bir öncekinden çok daha büyük olan ihlallerin yaşandığı bir süreç olarak geride kaldı. Ve 2017 yılı güvenlik konusundaki şimdiye kadarki en büyük felaketlerin yaşanacağı bir yıl olarak geliyor.
Güvenlik uzmanları pek çok organizasyonu veri ihlaline uğradıklarının farkında dahi olmadıkları konusunda uyarıyor. Saldırganlar ağ altyapılarına sızdıktan sonra değerli bilgi ve sistemleri araştırarak istedikleri verileri ele geçirebilecekleri saldırılar düzenleyebiliyor. Sadece son dönemlerde organizasyonların ihlale uğrayabilecek noktalar konusunda zaman, sermaye ve kişilere yatırımlar yapması dikkat çekiyor. Güvenlik konusunda yatırım kararı alındığında ihlallerin önlenmesi için çok geç olduğu ve genelde vasat durumların yaşandığı tablolar yaşanabiliyor.
Güvenlik analizleri konusunda hizmet veren RedSeal şirketinin CEO’su Ray Rothrock, 2017 yılında daha önceki yıllara kıyasla daha az değil daha fazla ihlalin yaşanacağını belirtiyor.
Tüm büyük ihlallerin genelde tek bir çıkış noktası olduğunu vurgulayan Rothrock, güvenlik ihlalinin geldiği nokta konusunda şunları söylüyor: “İlk olarak kötü amaçlı yazılımlar veya ağa sızma durumları oldukça etkili. İhlalin gerçekleşmesini sağlayan faktörlerin temelleri 2013 yılına dayanıyor. Uzun zaman öncesindeki girişimlere dayanan kötü amaçlı girişimler şirket ve kamu altyapılarına sızmayı mümkün hale getiren detaylar olma niteliği taşıyor.”
Altyapılardaki hayaletler
Organizasyonlar son dönemlerde APT (Advanced Persistent Threat) olarak ifade edilen “Gelişmiş Süregelen Tehdit” durumlarıyla karşılaşıyor. Üç ya da çoğu dört yıl öncesine dayanan karmaşık yapıya sahip veya herhangi bir şüphe uyandırmadan ağ altyapısına sızabilen bu girişimlerin yanında kötü amaçlı yazılım saldırılarıyla ilgili temellerinin kavramaya başladığını söyleyebilmek mümkün. Nitekim gelinen noktada büyük veri ihlalinin gerçekleşebilmesi için kötü amaçlı kişilerin ihtiyaç duydukları tuzakların kurulduğu altyapıları kullanıyor olabiliriz.
Rothrock, yönetim kademesinin tilkinin kapana kıstırıldığı ve tehditlerin ortadan kaldırılarak varlığını bildikleri problemin çözülebilmesi için adımların atıldığı girişimlerde bulunması gerektiğini ifade ediyor.
Farklı bir söylem ile ihlallerin yıllar öncesinden yaşanmaya başladığını fakat IT ekiplerinin ihlallerin tespit edilmesi konusunda yetersiz kaldığını söyleyebiliriz. Kötü amaçlı kişilerin yaptıkları hatalar, tespit sistemlerindeki gelişmeler ve bunlara benzer pek çok yenilik ile saldırıları nitelikleri artık çok daha iyi biliniyor. Fakat ihlallerin büyük bir kısmında ortaya çıkan zararın açıklanmamasından dolayı yaşanılacak ihlal sonrasındaki zararı bilebilmek hiçbir zaman mümkün olmayabilir.
Raporlanmayan ihlaller
Normal şartlar altında organizasyonların kişisel kimlik bilgilerini veya kişisel sağlık bilgilerini depolaması halinde veri ihlali meydana gelmesi durumunda meydana gelen ihlali raporlaması gerekiyor. Fakat organizasyonların önemli bir kısmı bu konuda gerekli aksiyonları gerçekleştirmiyor. Yasal zorunluluklardaki eksiklikler nedeniyle şirketlerde, endüstriyel organizasyonlarda, üretim hatlarında, danışmanlık şirketlerin ve yasal kuruluşlarda yaşanılan ihlaller sonrasında sessiz kalınıyor.
Her organizasyonun kendine özgü detaylara sahiptir. Bu nedenle finans verilerinden çok daha farklı olan veriler herhangi bir organizasyon için önemli bilgi niteliği taşıyabilir. Farklı nitelikteki detaylar organizasyonlar için önemli veri kapsamında bulunabilir. Örnek olarak nükleer tesis kuran bir şirket için kötü amaçlı kişilerin tesislere saldırmasının önemli bir tehdit olduğunu belirten Rothrock, kötü amaçlı kişilerin nasıl saldırı gerçekleştirebilecekleri konusunda çizimleri ele geçirmesinin diğer bir tehdit olma niteliği taşıdığını ifade ediyor.
Gazetecilere sızdırılmasaydı geçtiğimiz yıl Mossack Fonseca hukuk bürosunu hedef alan ve Panama Papers ile ilgili dosyaların çalındığı ihlalden hiç kimsenin haberi olmayabilirdi. 2015 yılında gerçekleştirilen ABA Legal Technology Survey Report sonuçları ankete katılan ve 100’ün üzerinde hukuk çalışanına sahip şirketlerin yüzde 23’ünün güvenlik ihlali yaşadığını ortaya koyması pek çok olayın sessiz bir şekilde gerçekleştiğine dair önemli detaylar veriyor. Havacılık şirketinden yeni uçak modeline ait planların veya ilaç şirketinden yeni ilaç ile ilgili formüllerin çalınması yaşanılan ihlalin sadece ilgili şirketi etkilediği durumlar olması yaşanılan ihlallerin saklı kalmasındaki nedenler arasında yer alıyor. İhlallerin saklı kalmasının ötesinde danışmanların durumdan haber edilmesi yönünde tercihte bulunulması yaşanılan ihlalin çözümü, telafi edilmesi ve muhtemelen yasal yaptırımların uygulanmasını mümkün hale getirebilir.
Rothrock, raporlamak zorunda olunmayan ihlallerin meydana gelmesi sonrasında çalışamaz duruma gelen çok sayıda şirket ile karşılaştıklarını söylüyor ve ekliyor: “Problem yaşandıktan sonra bize başvurulan pek çok durumla karşılaşıyoruz. İhlalin ardından yardıma ihtiyacı olan şirketlerin tek olmadıkları şüphe götürmez bir gerçek.”
Çevrimiçi güvenlik ve gizlilik konusunda faaliyet gösteren ve kar amacı gütmeyen bir kuruluş olan Online Trust Alliance (OTA), 2016 yılı sonu itibariye dünya genelinde 225’ten fazla şirketi etkileyen 82 bini aşkın siber güvenlik ihlalinin meydana geldiği belirtiliyor. OTA, 250 bine kadar ulaşan DDoS saldırıları dahil olmak üzere farklı saldırı yöntemlerinin kullanıldığı ihlallerin önemli bir kısmının yönetim kademesine veya yasal mercilere raporlanmadığını ifade ediyor.
Maliyetlerin öngörülmesi
Veri ihlalleri, saldırganların ihbar edilmesi, problemin telafi edilmesi ve çözülebilmesi için yapılan girişimlerin getireceği maliyetlerden çok daha yüksek maliyetlerin ortaya çıkmasına neden olabilir.
Yaşanılan ihlalden sonra zararın tespit veya telafi edilmesi konusundaki girişimlerin getireceği maliyetlerin ötesinde hizmet verilememesi, üretimin durması, müşteri şikayetleri ve gelir kaybı gibi durumlarla karşılaşılması söz olabilir. Hatta bazı zamanlarda Yahoo’da olduğu gibi organizasyonların ihlalinin yaşanmasından çok zaman sonra olanların farkına vardığı durumlar yaşanabilir. Bu nedenle şirketlerin kurtarma ve telafi maliyetleri kapsamında Rothrock’un “mühendislik hizmeti” olarak ifade ettiği hizmet için bütçe ayırması önem taşıyor.
Veri ihlalinin tespit edilmesinin uzun zaman alması halinde mevcut altyapıda zayıf noktaların daha erken tespit edilmesini engelleyen bir şeyler olması söz konusu olabilir. Bu engellerin ortadan kaldırılabilmesi için altyapıda “mimarinin yeniden oluşturulması” olarak adlandırılan pahalı ve zaman alan bir proje süreci gerektiren adımlar atılması gerekir. Fakat bu zorunluluk her zaman söz konusu olamayabilir. Rothrock, pek çok kişinin sahip oldukları ve ekledikleri detayların neler olduğunu anlamayı denemediğini ifade ediyor.
Güvenlik altyapısını yeniden oluşturmak
Bulut dağıtımı, nesnelerin interneti teknolojilerine sahip cihazların yaygınlaşması ve farklı cihazlar arasında verinin transfer edilebilmesi nedenlerinden dolayı ağ altyapılarındaki karmaşıklığın artmasıyla IT departmanı ve siber güvenlik ekipleri için tüm katmanların izlenebildiği altyapıların oluşturulması artık çok daha zor. Fakat güvenlik altyapısında değişen gereksinimlere ve artan zorluklara rağmen saldırganlar için hiçbir şeyin değişmediği şüphe götürmez bir gerçek. Saldırganlar kötü amaçlı yazılımlarla yeni teknolojileri etkilemeye ve verileri hedef almaya devam ediyor.
Rothrock, daha kapsamlı hale gelen teknoloji altyapısıyla güvenlik konusunda önlem almanın ve ihlallerin kaynağını tespit edebilmenin çok daha zorlu hale geldiğini söylüyor.
Gelişen teknoloji ile güvenlik altyapısı üç yıl öncesinden çok daha iyi bir noktada bulunuyor. Rothrock, siber güvenlik alanındaki yenilikleri günümüz inşaat mühendisliğiyle karşılaştırarak şunları söylüyor: “Günümüz binalarının nasıl inşa edildiğinin düşünün. Sıcaklık, gaz kaçağı ve basınçtaki değişimleri algılayabilen sensörler kullanılıyor. Duvarlarda yangına karşı dayanıklı malzemelerle yapılıyor. Tıpkı inşaat alanında olduğu gibi IT dünyasındaki yeniden yapılanmanın koyulan engeller ile saldırıları önleyebilecek nitelikler kazanması gerekiyor.”
Eski yapıların yaşanabilecek felaketlere karşı savunmasız olduğunu fakat yeni yapıların çok daha donanımlı ve korunaklı olduğunu ifade eden Rothrock, aynı değişimin IT’de de gerçekleştirilmesi gerektiğini vurguluyor.