“Siber suç dünyasında yüzde 100 güvenlik yok”, “Resmi-özel tüm kurumlar siber saldırıların hedefi olabilir”, “Siber saldırıların nedeni hem para hem bilgi çalmak”, “Doğu Avrupa’da siber saldırıya uğrama riski, Batı Avrupa’dan 4 kat fazla”, “Sahte iş e-postaları ile dolandırıcılık 18 ayda yüzde 1500 arttı”, “Siber suçun en büyük hedefi dijital reklamcılık”, “Daha yaratıcı siber suç çeteleri geliyor”…

Bunlar David Ferbrache’in yaptığı uyarılardan birkaç örnek. İşte Ferbrache’ye sorularımız ve yanıtları:

Siber saldırılar rastgele de yapılabilir, hedef gözeterek de. Bütün kurumlar siber suçlulara, dijital portallara karşı hizmeti engelleme saldırıları kullanarak ya da fidye yazılımlarla önemli dosya ve hizmetlere erişerek para sızdırmalarını sağlayan fırsatlar sunuyor. Ayrıca çoğu, para ödemelerini ya da transferlerini, ister tedarikçilere, ister müşterilere, ister çalışanlara yapılan ödemeler olsun, manipüle etmeyi ya da bu işlemlerde dolandırıcılık yapmayı amaçlayan daha hedefe yönelik siber saldırı fırsatları sunuyor. Bu saldırılar sadece bankalara yönelik de değil; finansal kontrolörü, hazine uzmanı ya da ödemelerden sorumlu bir çalışanı olan her işletmeyi hedef alıyor.

Kişisel verilere sahip kurumlar da hedef tahtası durumunda. Bu bilgiler karaborsada satılabiliyor ve dolandırıcılığı kolaylaştırabiliyor. İster kurumsal casusluk ister devlet eliyle casusluk olsun, fikri haklar da hedef alınabiliyor. Aktivistler ve devletler önemli altyapıları bozmak ya da politika ve etik değerlerine katılmadıkları kurumları hedef almak için de siber saldırılara yönelebilirler. Kısacası, bütün kurumlar hedef olabilir. Yine de banka ödeme sistemlerine son zamanlarda yapılan saldırılardan da anlayabileceğimiz gibi bazıları para ya da özel değeri olan bilgilere sahip olduğu için daha yüksek siber saldırı riski altında.

Dünyanın siber saldırı haritası ilginç. Bazı ülkelerde, düşük siber hijyen standartları ve altyapılarının diğer uluslara saldırmak için kullanılması nedeniyle çok sayıda internet sitesi ve cihaza çok fazla kötü amaçlı yazılım bulaşıyor; bu da bu durumun siber suçlular tarafından kötüye kullanılmasına yol açıyor. Microsoft, her üç ayda bir ülkelerdeki kötü amaçlı yazılım bulaşma oranlarına dair detaylı istatistikler yayımlıyor. Avrupa için istatistikler aşağıda görülebilir. Doğu Avrupa’da (Türkiye dahil) yaşayan kullanıcıların virüsle karşılaşma ihtimali, Batı Avrupa’da yaşayanlara oranla 4 kat daha fazla.

Her ne kadar siber suç dünyasında çeviri hizmetleri çok yaygın olsa da her ülke dil unsurunun da yer aldığı farklı türden organize suçların hedefi oluyor. Batı Avrupa ve Amerika’daki virüs bulaşma oranları diğer ülkelerden daha az ama bunlar sistem güvenliğine zarar vermek için saldırganların ekstra çaba sarf etmesi gereken zengin ekonomiler. Bu bazen e-posta ile yapılan bir e-dolandırıcılık (phishing), bazen de kurumun önemli çalışanları vasıtasıyla mümkün oluyor; ama genellikle iki yöntem bir arada kullanılıyor.

Para için işlenen siber suçlar artıyor; suç giderek örgütlü hale geliyor. Siz ne düşünüyorsunuz? Bu nasıl engellenebilir? 

Siber suçları üç kategoriye ayırabiliriz. Bir ürün haline gelmiş (ya da toplu) siber suç, araçlara ve saldırı yöntemlerine harcanan canlı kara para desteğiyle artıyor. Fidye yazılımlar, çoğu suç çetesinin kendi fidye yazılımlarını geliştirmesi (ya da satın alması) sebebiyle çok yaygınlaştı.

Şirketlere hileli para transferleri yaptırmayı amaçlayan iş e-postaları son 18 ayda yüzde 1500 arttı. FBI bu şekilde 3,1 milyar dolarlık dolandırıcılık yapıldığını açıkladı. Bu saldırılarda iyi hazırlanmış sahte e-postalar ve dikkatlice gerçekleştirilen telefon konuşmalarıyla siber güven kazanma taktikleri kullanılıyor. Ayrıca daha önceleri devlet casusluğunda kullanılan taktiklerle bankalara yapılan son teknoloji saldırılarda da artış görüyoruz. Bu durum daha fazla hukuki yaptırım, daha büyük uluslararası işbirlikleri ve örgütlü suç işlemede kullanılan altyapıyı yok eden aktif bir siber savunmaya geçişi zorunlu hale getiriyor.

Şirketler de siber saldırıları tespit etmek, bunlara karşı koymak ve kurtulmak için daha fazla yatırım yapıyor. Buna şirketlerinin böyle bir durumla mücadele etme becerilerini ölçen siber tatbikatlar dahil. Şirketler başlarına gelebilecek en kötü senaryolara karşı kendilerini korumayı amaçlarken siber sigorta da haliyle en hızlı gelişen sigortacılık alanı haline geldi. Saldırıları önlemek, onlara karşı koymadıkça ve onlardan tamamen kurtulmadıkça hiçbir zaman kesin bir çözüm olamaz. Bu saldırıların sorumlusu olan suç çetelerini yok etmek için proaktif toplum ve kanun hükümleri uygulamak da.

Üç büyük online gazetenin aralarında anlaşıp siber suçlulara, o şirketin borsadaki işlem fiyatını etkileyebilecek haberleri çaldırması ve bunların aracı kurum ve borsada alım satım yapan kişilere verilmesi, sonrasında bu haberler piyasaya sunulduğunda borsa piyasasında büyük fark yaratacağını düşünen aracıların da birbirleriyle yarışa girerek hisse alımına başlaması. Bu olay finansal beceri ve yaratıcılık kadar, suç çetesinin siber saldırı becerilerini, çaldıkları bilgiyi kullanma ve paraya çevirme konusunda uzman bir yaklaşımla birleştirdiğini gösteriyor.

Siber kelimesini kullanmayı bırakabiliriz. Bütün ekonomilerimiz online işliyor; siber de belirsiz teknik bir kavram olmaktan çıkıp standart haline gelecek. Dijital güvenlikten ya da dijital bir dünyada iş yapmaktan bahsediyor olacağız. Siber suç çetelerinin daha yaratıcı olduğunu göreceğiz. Örneğin, dijital reklamcılık siber suçun en önemli hedeflerinden birisi. Ayrıca sosyal medyadan toplanan bilgileri kullanan insanlara uygulanan sosyal mühendisliğin daha otomatik ve kapsamlı bir şekilde gerçekleştirildiğini göreceğiz. Devletler (ve teröristler) daha sofistike siber araçlara yatırım yapmaya devam edecek; biz de önemli altyapıların siber saldırılarla zarar uğrayışına daha fazla tanık olacağız.

Güvenlik çalışmaları; zorlama, kötü niyet ve hile gibi normal olmayan aktiviteleri tespit etmek için, insanların izini sürmek için kullanılacak analizlere daha fazla yatırım yaparak insanlara ve davranışlarına daha fazla yoğunlaşacak. Altyapımız daha iyi yönetilecek ve daha fazla görselleşme, bulut teknolojisi ve güvenliğin bir hizmet olarak kullanılmasıyla değişen bir tehdide karşı daha duyarlı hale gelecek. Büyük sektör ve hükümetler siber savunma konusunda daha büyük işbirlikleri yaparak siber saldırılara daha aktif karşılık verecek.

Bu durum saldırıya göre değişir. Bazı siber saldırıları, mesela para sızdırmayı kafasına koymuş aktivist bir kurum ya da suç çetesinin yaptığı hizmet engelleme saldırısını hemen fark ederiz. Suçlular parayı çektikleri an, birkaç ay içinde bu saldırı ortaya çıkar. Oysa devletin (ve zaman zaman özel şirketlerin) veri toplama ve bu verileri inceleme için hazırlama amacıyla hedef kurumun ağına girdiği bazı siber casusluk saldırıları yıllarca keşfedilemeyebilir. Önemli altyapı sistemlerinde daha uzun süreler boyunca fark edilmeyen sinsi saldırılar (donanım ya da donanım yazılımında kötü amaçlı kodlar da dahil) bile görebiliriz.