Güvenlik Önerileri
Şirket Yönetim Kurullarının Fidye Yazılımı Saldırıları Öncesi Sormaları Gereken 5 Kritik Soru
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), uzmanları, “Siber güvenlik, yönetim kurulu düzeyinde bir sorumluluktur ve yönetim kurulu üyeleri özellikle fidye yazılımı saldırıları konusunda daha sorgulayıcı olmaları gerekli” diyor. NCSC, yönetim kurulu üyelerinin fidye yazılımları hakkında sorması gereken soruları 5 başlıkta ele alıyor.
Fidye yazılımları, günümüzde kuruluşların karşı karşıya olduğu en tehlikeli siber güvenlik tehditlerinden biridir. Ancak çoğu şirket, ağlarını saldırılara karşı koruma ve fidye yazılımı ağlarında kesintiye neden olursa ne yapılması gerektiği konusunda hazırlıksızdır. Yüksek profilli ve son derece yıkıcı fidye yazılımı saldırıları, yakın zamanda İrlanda’nın HSE sağlık hizmeti ve küresel gıda üreticisi JBS olan Colonial Pipeline’ı vurdu. Colonial Pipeline, BT ağını geri alabilmnek için için Bitcoin olarak 4 milyon doların üzerinde bir fidye ödedi.
Örneklerin ciddiyetinden de anlaşılacağı üzere bir fidye yazılımı saldırısı, özellikle hizmet sektörü söz konusu olduğunda son derece yıkıcı olabilir, kuruluşun itibarına zarar verebilir ve ödenecek fidye açısından mağdur firma için pahalıya patlayabilir. Fidye yazılımı saldırıları şirketler tarafından CEO ve yönetim kurulu seviyesinde ele alınması gereken bir konudur. Şirketin istenmeyen bir olay durumunda, tercihen fidye ödemeden ağını geri yüklemek için bir planı mutlaka olmalı.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), fidye yazılımları konusunda CEO’lara rehberlik etmek amacıyla, yönetim kurulu üyelerinin fidye yazılımları hakkında sorması gereken beş önemli soruyu ayrıntılı olarak açıkladı.
1- Şirket ve yönetim kurulu üyeleri olarak, fidye yazılımı saldırısının meydana geldiğini nasıl bilebiliriz?
Fidye yazılım saldırılarının bu kadar başarılı olmasının nedenlerinden biri, saldırganların keşfedilmeden ağ içinde uzun süre gizlenebilmesidir. Bu nedenle kuruluşlar, BT altyapılarının neye benzediğini, ağlarında – özellikle kritik varlıklarla ilgili olarak – hangi izlemenin mevcut olduğunu bilmeli ve potansiyel olarak şüpheli bir şey olduğunda tespit edebilmeli. Ayrıca bunu raporlama ve soruşturma için gerekli mekanizmalara sahip olmalıdır. Şirketler, ağdaki potansiyel olarak şüpheli etkinliği belirleyerek, bir saldırgan ağda gezinmeye zaman bulamadan fidye yazılımı saldırılarını engelleyebilir.
2- Organizasyon olarak, bir saldırganın ağımız içinde yapabileceği hasarı en aza indirmek için ne gibi önlemler alabiliriz?
Fidye yazılımı saldırısının temel amaçlarından biri, ağın mümkün olduğunca çoğunu şifrelemektir, bu nedenle kuruluşlar, fidye yazılımlarının sistemler arasında yayılmasını yavaşlatmak veya durdurmak için neler yapabileceklerini iyi araştırmalıdırlar. Kötü niyetli davetsiz misafirlerin ağda dolaşmasını daha zor hale getirebilmek için, şirketler ağlarını bölümlere ayırarak tüm ağa bir saldırgan tarafından tek bir cihaz üzerinden erişilmesini engelleyebilir. Şirketler ayrıca siber saldırganların, ağda dolaşmasını zorlaştıran ek bir savunma hattı olarak ağ genelinde iki faktörlü kimlik doğrulamayı hayata geçirmelidir.
3- Şirket olarak siber saldırılar karşısında nasıl etkili bir yönetim planı yapabiliriz?
NCSC’nin blogunda paylaşılan bir yazıda, “Şirketler, siber saldırılara karşı her an hazırlıklı olmalıdır. Bunun için savunma sürecini dikkatli planlamak ve çok pratik yapmak son derece önemlidir” diyor.
NCSC’nin bu konuya ilişkin tavsiyelerine baktığımızda, saldırı anında süreci yönetecek kilit kişilerin önceden tespit edilmesi, sorumluluğun net bir şekilde tahsis edilmesi, acil durum çağrıları için bir konferans numarasının belirlenmesi ve beklenmedik durumlar karşısında B ve C planlarının da olması gibi hazırlıklar öne çıkıyor.
4- Olay yönetimi planımız, fidye yazılımı saldırılarının kritik zorluklarına karşı bizi yeterince koruyacak mı?
Bazı fidye yazılımı saldırıları basitçe verileri şifreler ve anahtar karşılığında fidye talep eder. Ancak giderek artan bir şekilde, fidye yazılımı çeteleri, hassas verileri çalacakları ve ödenmezlerse serbest bırakmakla tehdit edecekleri çifte gasp tekniklerine giriyor.
2020 yılında geliştirilmiş fidye yazılımı saldırı tekniklerinden biri olan ‘çifte gasp’ da (double extortion)’da siber saldırganlar kurbandan hassas verileri çaldıktan sonra kurbanın bilgisayar sistemlerini şifreleyerek fidye talep ederler. Kurbana yollanan fidye notunda verilerinin ele geçirildiği ve fidye zamanında ödenmezse, verilerin herkese açık sunucularda veya forumlarda afişe edileceği söyleniyor.
Bu gibi durumlar olay müdahale planında olmayabilir, bu nedenle verilerin çalınması durumunda ne olacağı ve potansiyel olarak müşterilerle ilgili hassas veriler de dahil olmak üzere çalınan bilgiler yayınlandığında kurtarma işleminin nasıl görüneceği konusunda planlama yapılması önerilir.
5- Veriler nasıl yedeklenir ve yedeklemelere fidye yazılımın zarar vermeyeceğinden nasıl emin oluruz?
Bir şirketin fidye yazılımı saldırılarından korunmak için alabileceği en iyi önlemlerden biri verilerinin yedeklerini almak ve bunları düzenli olarak güncellemektir. Bu fidye talebine girmeden ağı nispeten hızlı bir şekilde geri yüklemek için bu iyi bir yöntemdir.
Ancak yönetim kurulu, hangi verilerin kritik olduğu, ne sıklıkta yedeklendiği ve yedeklerin nasıl saklandığı konusunu da güvence altına almalıdır. Bazı fidye yazılımı saldırıları yedekleri hedefleyebilir, bu nedenle yedeklerin çevrimdışı olarak ve kuruluşun geri kalanı için ayrı bir ağda depolandığından emin olmak önemlidir.
Yönetim kurulları, NCSC tarafından önerilen bu soruları sorarak, şirketlerin artan fidye yazılımı saldırıları tehdidine karşı mümkün olduğunca dayanıklı olmasını sağlamaya yardımcı olabilir.
