Siber Suçlulara Fidye Ödemek ya da Ödememek…

Bilgisayar ağları fidye yazılım ile ele geçirilen şirketlere, siber suçlulara istedikleri fidyeyi ödememeleri öneriliyor. Bunun için birçok mantıklı sebep mevcut. En basit seviyeden ele alırsak, her ne kadar fidyeyi ödeseniz bile şifrelenmiş dosyalarınıza yeniden erişim sağlamanız için bir garanti bulunmuyor. Ne de olsa, kendinizi dolandırıcılar ile pazarlık yapıyor halde buluyorsunuz.

Şirketler verilerine yeniden kavuşmayı başarsa bile, siber suç örgütlerine fidye ödemek iyi bir fikir değil. Ödeme alan siber suçlular bundan cesaret aldıkları gibi yeni saldırılar düzenleyecek mali seviyeye de ulaşıyorlar. Hatta, bir sonraki saldırılarını yine aynı şirkete düzenleyebiliyorlar. Dahası, aldıkları büyük miktarlardaki ödemeler siber suç örgütlerinin yeni yazılım geliştiriciler ve siber suçlular çalıştırmalarına, böylece daha büyük hedeflere yönelmelerine bile izin veriyor. Fidyenin ödenmesi, kısa dönemde şirketlerin baş ağrısını giderebilir. Ancak uzun dönemde daha büyük bir soruna dönüşebilir.

Günümüzde örneğin Birleşik Krallık’ta şirketlerin siber suç örgütlerine fidye ödemeleri yasa dışı kabul edilmiyor. Bu aşamayı yasa dışı kılan tek unsur, ödemenin teröre yardım yaptığına dair belirgin izlere sahip olmamasına dayanıyor. Yine de siber güvenlik uzmanları siber suçlulara fidye ödemenin çok daha zor bir hale getirilmesi, hatta yasa dışı kabul edilmesi gerektiğine inanıyor.

“Büyük bir tehdit”

ABD Ulusal Siber Güvenlik Merkezi’nin (NCSC) eski başkanı Ciaran Martin, güvenlik odaklı düşünce kuruluşu RUSI’de yaptığı konuşmada, fidye yazılımların ne kadar büyük bir tehdit olduğunu yeniden hatırlattı.

Martin’e göre, yaşanan önemli toplumsal olayların önemli hizmetlere düzenlenen fidye yazılım saldırıları ile bağlantısı bulunuyor. Siber suçlular açısından saldırı için seçilecek hizmet veya altyapı tamamen tesadüfi olabilir. Nihayetinde, birçok kişi siber suçluların sadece para peşinde olduğunu düşünüyor. Öte yandan, fidye yazılım saldırıları nedeniyle gerçek hayatta insanların fiziksel zarar görme olasılığı da yüksek.

Martin, çağdaş internette değinilmesi gereken, ancak bazı yönleri ile eksik kalan en büyük unsurlardan birinin “iyi ve kötüyü birbirinden ayıramayan suçluların fidye yazılımları kontrolsüz bir şekilde kullanması” olduğunu ifade ediyor. Bu noktada, gelecek yıl yapılacak yasal düzenlemeler kapsamında Birleşik Krallık’taki şirketlerin suçlulara fidye ödemesinin yasa dışı kabul edilip edilmemesine yönelik ciddi bir değerlendirme yapılması gerektiğini öneriyor.

Fidye yazılımların siber dünyada modern zamanların ‘en büyük baş belası’ olduğunu vurgulayan Martin, siber suç örgütlerine fidye yazılım ödenmesinin yasa dışı ilan edilmemesi halinde başka bir etkili politika geliştirilmesi gerektiğini savunuyor.

Birleşik Krallık örneğinden devam ederek fidye ödeme yasalarının terörist gruplar tarafından insanların kaçırılma vakalarına dayandığına dikkat çeken Martin, “Eğer ilan edilmiş, bilinen bir terörist gruba fidye öderseniz bu yasa dışı, ancak saldırganlar zaten sıradan suçlular ise, hatta devlet sponsorluğunda siber saldırı düzenliyorsa, bu sefer fidye ödenmesi yasal” diyerek son derece tartışmalı mevcut tabloya değindi.

Şirketlerin yarısı fidye bedelini ödüyor

Küresel alanda fidye yazılım saldırısına maruz kalan şirketlerin yarısının fidye bedelini ödediği biliniyor. Gelişmiş siber suç örgütlerinin hassas şirket verilerini şifrelemek için kullandığı yazılımlar bunlar için genel bir gelir kaynağı haline gelirken, her ne kadar şaşırtıcı olsa da bazı saldırılardan on milyonlarca dolar fidye elde etmek bile olası hale geliyor.

Birçok şirket, fidyeyi ödemedikleri halde bulundukları piyasada tutunamayacakları endişesini taşıdığı için siber suçlulara kolayca boyun eğiyor. Ancak güvenlik araştırmacıları ödenen fidyelerin güvenlik altyapısına yatırım yapmak için bir sebep değil, ancak “iş operasyonlarının bir maliyeti” olarak görüldüğü uyarısını yapıyor. Bu yaklaşım, şirketlerin gelecekte de fidye yazılım saldırılarına maruz kalmalarına kapı aralayabilir.

Eğer siber suç örgütlerine fidye ödemek yasa dışı ilan edilirse, bu adım şirketlerin fidye yazılım saldırıları tehdidini daha ciddiye alarak güvenlik altyapılarını güçlendirmelerini sağlayabilir. Öte yandan, polisin siber suçluları yakalaması için maruz kaldığı baskı da artacaktır.

Güvenlik araştırmacıları, fidye yazılımlardan korunmak için şirketlerin belli önlemleri daima uygulamaları gerektiğinin altını çiziyor. Bunlar arasında güvenlik güncellemelerinin düzenli olarak yapılması ve zafiyetlerle ilgili sunulan yamaların hemen uygulanması ile iki adımlı doğrulama (2FA) kullanımı öne çıkıyor. Ayrıca kurumsal verilerin çevrimdışı ortamda yedeklenmesi de tavsiyeler arasında.

Fidye yazılım saldırılarına dair daha fazla bilgi ve güvenlik önerisi için buraya tıklayabilirsiniz.