Siber güvenlik pazarının şu andaki 15,8 milyar dolarlık düzeyinden 2025’te 22,2 milyar dolara büyümesi beklentisi siber güvenlik şirketlerini heyecanlandırabilir ancak siber suçların maliyetinin 2021’de 6 trilyon dolara ulaşacağı beklentisi herkes için heyecan verici. Şirketlerin yöneticileri eksikliklere dikkat çeken anketlere katılırken siber saldırganların sürekli inovasyon ile kendilerini geliştirmesi, riski büyütüyor. KEREM ÖZDEMİR
Yaz aylarının sıcağına eklenen Twitter hacklenmesi birçok kişinin belleğinden henüz silinmemiştir. 15 Temmuz 2020’de Twitter’a yönelik gerçekleşen hack olayında 17 yaşındaki bir bilgisayar korsanı ve siber suç ortakları, Barack Obama, Kim Kardashian West, Jeff Bezos, Elon Musk ve Bill Gates de dahil olmak üzere onlarca yüksek profilli kullanıcının hesabını ele geçirerek paylaştıkları tweetlerle 118 bin doların üzerinde değerde Bitcoin elde etmişti. Olayın, siber korsanların, Twitter bilgi teknolojileri ekibi kimliğine bürünerek uzaktan çalışan Twitter çalışanlarını sahte VPN hizmetine yönlendirmesiyle gerçekleştiği tespit edilirken saldırganların, Twitter’ın uzaktan çalışanlarını kandırmak ve kimlik bilgilerini ele geçirmek için sosyal mühendislik ve oltalama yöntemlerini kullandığı ortaya çıktı.
New York Eyaleti Finansal Hizmetler Departmanı’nın yayınladığı rapora göre, Twitter’in bilgi teknolojileri departmanında çalışanların kimliğine bürünen bilgisayar korsanları, uzaktan çalışan birkaç Twitter çalışanını sahte VPN oturum açma sayfasına yönlendirerek kandırdı. Twitter’in, VPN hizmeti ile ilgili yaşandığı bildirilen bir soruna yanıt verdiklerini iddia eden bilgisayar korsanları uzaktan çalışanları, Twitter VPN web sitesiyle aynı görünen ve benzer şekilde adlandırılmış alan adına sahip bir kimlik avı web sitesine yönlendirmeye çalıştı.
Yönlendirildikleri bu internet sitesi Twitter çalışanlarından iki faktörlü kimlik doğrulaması istemese de siber suçlular onları kimlik doğrulamaya ikna ederek Twitter’a sızmayı başardı. Hackerlar çalışanların kendilerine güvenmelerini sağlamak için çalışanların herkese açık kişisel bilgilerini kullandılar. Bazı çalışanlar hackerlerin telefon aramalarını Twitter’in dolandırıcılık izleme ekibine bildirse de en az bir çalışanın inanması hack olayının gerçekleşmesi için yeterli izni verdi.
Bu, heyecan verici bir hikaye ve kesinlikle şirket yöneticilerinin güvenlik riskleri ve bunların kapatılmasını engelleyen koşullar ile ilgili anketlerinden daha çarpıcı.
Dünya Ekonomik Forumu’nun (WEF) yıllık yayınladığı tehditler araştırmasının bu yılki versiyonu Global Risks Report 2020’de her 39 saniyede bir siber suç işlendiğine işaret edilirken siber suçların maliyetinin 2021’de 6 trilyon dolara ulaşacağı beklentisinin dile getirilmesi konuyu daha heyecan verici hale getiriyor. Hedeflerin yüzde 95’inin kamu, perakende ve teknoloji sektörlerinden olması, siber saldırganların yeni trendleri takip etmede oldukça başarılı olduğunu gösteriyor. COVID-19 sürecinde siber suçlarda yaşanan yüzde 300’lük artış kadar gelecek yıl 6 trilyon dolara ulaşacak siber saldırı ekonomisinin 2015’teki 3 trilyon dolarlık düzeyinden bu noktaya çıkması da göz kamaştırıyor. Bu durum, siber güvenlik sektörünün de gördüğü ilgiyi artırıyor. Araştırma kuruluşu Reportlinker’ın COVID-19 sonrası senaryolarını kapsayan raporuna göre şu anda 15,8 milyar dolarlık büyüklüğe sahip olan küresel siber güvenlik pazarının 2025’te 22,2 milyar dolara yükselmesi bekleniyor. Siber güvenlik farkındalığının artması, bu alanda kurulan startup’lar için de bir fırsat oluşturuyor. Crunchbase verilerine göre, 2020’de 268 girişim ortalama 4,7 milyar dolar yatırım aldı. Dünya genelindeki siber güvenlik startup’ı sayısı ise 21 binin üzerinde.
Ancak kurumsal dünyada asıl ilgi eksikliklerin üzerinde ve uzman eksikliği bunun en çok konuşulan boyutunu oluşturuyor. Sektörde nitelikli uzman açığı da her geçen gün artarken 2021 itibariyle 3,5 milyon siber güvenlik işinin ortaya çıkacağı öngörülüyor. ISC araştırma verilerine göre 4,7 milyon siber güvenlik personeline ihtiyaç duyulurken dünya genelindeki siber güvenlik yazılımcısı sayısı 2,8 milyon. Yani oluşan açığı tamamlamak için yüzde 145 oranında bir artış sağlanması gerekiyor.
İnsan kaynağı tarafında siber saldırgan tarafı daha şanslı. Bu hem daha yetenekli olanların saldırgan tarafında yer almasından hem de savunma tarafındaki yeteneksizlikten kaynaklanan bir durum. Hacklemelerin yüzde 95’i ise insan hatası sonucunda ortaya çıkıyor. Çoğu şirketin bir tepki planı dahi yok ve yine birçoğu olayı ya fark etmiyor ya da çok geç fark ediyor.
Veeam’ın dijital dönüşüm araştırmasına katılan işletmelerin sorunlarının farkında olmalarına rağmen açıkların devam etmesinin nedeni olarak birinci sırada yüzde 44 oranıyla bilgi teknolojisi alanında yetenek ve uzman eksikliğine işaret etmesi, durumu açıklayan bir diğer göstergeyi oluşturuyor. Bu oran Türkiye’nin içinde bulunduğu Güney Avrupa ve Akdeniz Bölgesi’ndeki kuruluşlarda yüzde 50’ye ulaşıyor. Tüm kuruluşların yüzde 39’u eski sistem ve teknolojilere bağımlılık, yüzde 29’u bütçe yetersizliği, yüzde 28’i zaman kısıtlılığı, yüzde 27’siyse üst düzey yönetimin desteğinin olmamasını dijital dönüşümlerinde engel olarak görüyor. Her sene yapılan bu tür araştırmalar, siber güvenlik ve dijital dönüşüm alanlarında paralel sonuçlar ortaya koyması ile sorunun kökenini de gözler önüne seriyor. İnovasyon ve kendisini geliştirmede sürekli rekorlar kıran bir siber saldırgan dünyasının karşısında proaktif davranamayan ve yara sarma mekanizmaları geliştirme dışında bir şey yapamayan bir kurumsal dünya.
Yapay zekanın devreye girmesiyle bu tablo daha da karanlık bir hal alabilir. Yapay zeka ve yapay zekanın bir parçası olan dil işleme yeteneklerinin gelişmesi, siber saldırganların gerçek olmayan kişileri yani robotları insanların karşısına çıkararak neredeyse sınırsız –insan olmayan- insan kaynağı yaratmasını sağlayacak.
Veeam’in şirketleri dijital dönüşümde geride bırakan nedenleri irdelediği araştırmasında belirtilen unsurlar bu tabloda çok daha can yakıcı sonuçlar ortaya çıkarabilir. Yapay zeka ekonomisinin 2030’da 15,7 trilyon dolara ulaşacağını belirten uzmanlar, bu ekonominin siber saldırganlar tarafından oluşturulan bölümünün büyüklüğünü hayretle izlemek zorunda kalabilir. Veeam’in özellikle sunucu tarafındaki kesintilerle ilgili olarak ortaya koyduğu tablo dikkat çekici: “Araştırmalarımız her 10 sunucudan birinin son bir yıl içinde en az bir kez beklenmedik kesintiye uğradığını gösteriyor. Dijital dönüşüm süreçlerinin hangi noktasında olursa olsun kuruluşların yüzde 95’i beklenmedik kesintilere maruz kalıyor ve bir kesinti ortalama 117 dakika sürüyor. Bu kesintiler ilk bakışta çok büyük ve olağanüstü olaylar gibi görünmese de işletmeler için hâlâ büyük miktarlarda para kaybetme nedeni. Küresel kuruluşlar, verilerinin ortalama yarısından fazlasını (yüzde 51) “yüksek öncelikli” olarak görüyor. Dolayısıyla uygulamalardaki yalnızca bir saatlik kesintinin bile işletmelere 67 bin 651 dolara mal olabileceği tahmin ediliyor.”
Kaspersky Orta Doğu, Türkiye ve Afrika Genel Müdürü Amir Kanaan, kurumsal dünyadaki yöneticilerin oynaması gereken rolü için, “Siber suçlular her zaman bireyleri kandırmak ve kurumsal savunmalarımızı ihlal etmek için yeni yollar araştırmakla meşgul olmaya devam ediyor. Verilerimizin bütünlüğünü korumaktan sorumlu olanlar, karşılaştığımız tehditlerin farkında olmalı ve doğru savunma çözümlerini ve prosedürlerini uygulamaya odaklanmalı” diyor. Bu çerçevenin uygulanması boyutunda geride bıraktığımız dönemin muhasebesini “2020 yılının siber güvenlik profesyonelleri için yoğun bir yıl olacağını tahmin ettik. Yılın başındaki ana endişelerimiz; güvenliği düşük seviyedeki IoT cihazlarının yaygınlaşmaya devam etmesi, iki faktörlü kimlik doğrulamadaki yükselişin yavaşlığı ve veri aktarımından kaynaklı potansiyel güvenlik açıklarının artışıydı. Yılın ilk altı ayı siber güvenlik endüstrisi için kesinlikle olaylı geçti” sözleriyle yapan Kanaan, gelecek süreçlerdeki siber güvenlik tartışmasında öne çıkacak eğilimleri, COVID-19’la ilgili dolandırıcılık faaliyetleri, evden çalışmaya ilişkin endişeler, ve eşyanın interneti (IoT) ile ilgili yenilenen endişeler başlıkları altında topluyor.
Pandemi, saldırganlar için önemli bir zemin oluşturuyor. Bu yıl COVID-19 ile ilgili çok farklı şekillerde dolandırıcılık faaliyetleri ortaya çıktı. Bu tip dolandırıcılık faaliyetlerinin en tipik örnekleri arasında üzerine tıkladığında kullanıcıyı bir kimlik avı web sitesine yönlendiren hastalık izleme haritaları ve Dünya Sağlık Örgütü ile diğer sağlık kuruluşlarından geliyormuş gibi görünen e-postalar yer alıyor. Bu mesajlar, kullanıcıları kişisel bilgilerini vermeleri için kandırıyor ya da tıklandığında kötü amaçlı yazılımın kullanıcının bilgisayarına indirilmesine neden olan bağlantılar ve çalıştırılabilir dosyalar içeriyor.
Diğer dolandırıcılık örnekleri arasında ise, kişisel koruyucu ekipman satan sahte web siteleri ve COVID-19 kurbanları için bağış isteyen mesajlar yer alıyor. Ayrıca dolandırıcılar kullanıcılardan para çalmak için kullanılan ve karanlık web’de satışa sunulabilecek kredi kartı bilgilerini teslim etmelerini istiyor. Kanaan, “COVID-19 kimlik avı dolandırıcılıkları büyük olasılıkla uzun bir süre daha devam edecek. Bu yüzden kullanıcıların, istenmeyen e-postalarda ve kişisel bilgilerinin istendiği her türlü yazışmada dikkatli davranmaları gerekiyor” diyor.
Evden çalışma bir diğer önemli konu. Pandeminin mart ve nisan aylarında zirve yapmasıyla evden çalışmak zorunda kalan insanlar, iş ile ilgili e-postalarını göndermek için kişisel hesaplarını kullanmaya, güvenlik açıkları olan ve yetkisiz hizmetler sunan aracılarla dosya alışverişi yapmaya ve kişisel bilgisayarlarında iş dosyalarının bırakılması gibi pek çok güvenlik problemi ile karşı karşıya kaldılar. Kanaan, “Evden çalışma sisteminin veri sızıntısına ne ölçüde yol açmış olabileceği ancak zamanla netleşecek. Kuşkusuz ki evden çalışan insanlar için ofiste olduğu gibi güvenli bir şekilde çalışmalarının sağlaması için gerekli tüm önlemlerin alınması gerekiyor” şeklinde konuşuyor.
Kanaan, IoT konusunda ise “COVID-19 öncesinde dahi özellikle evlerde potansiyel olarak savunmasız olan IoT cihazlarının yaygınlaşması konusunda bir takım gerçek endişeler vardı. Eğer ele geçirilen bir cihazda Ağ Bulma seçeneği açıksa bu sayede bireyleri gözetleyebilir, bir botnetin parçası olabilir ve aynı evin ağındaki diğer cihazlara açık kapı görevi görebilir. Artık çoğu insan evden çalıştığı ve muhtemelen diğer insanlar ve birçok cihazla bir ağı paylaştığı için bu endişeler yeni boyutlara ulaştı. Bu noktada kullanıcıların IoT cihazlarında varsayılan parolaları sıfırlaması ve otomatik ürün yazılım güncellemelerini etkinleştirmesi büyük bir önem taşıyor. İnsanların kullandıkları bütün çalışma cihazları için ayrı ağlar oluşturması ve Ağ Bulma ya da Evrensel Tak ve Çalıştır modelini (UpnP) devre dışı bırakması öneriliyor” diyor.
Ancak siber güvenlikte en önemli konu hala hacklenmeler içinde yüzde 95’lik payı olan insanların bilinçlenmesi. Bu bazen evden çalışan insanların tanınmış birinden dahi gelebilecek olan istenmeyen e-postaları açmaması ve ekleri açarken dikkatli davranması bazen de Twitter örneğindeki gibi telefonda kandırılmamak olabilir.
