Son yıllarda çok güçlü bilişim altyapısına sahip firmaların hack’lendiklerine yönelik haberlerin sayısı hızla artarken, ülkemizde saldırı mağduru firmaların sayısındaki yükseliş dikkat çekici. Bu noktada firmaların “bize ne zaman sıra gelecek” diye düşünmekten ziyade “bu durum oluşmadan önce ne yapabiliriz” sorusuna cevap bulmaları gerekiyor.
Bilişim altyapısının güçlü olduğunu düşündüğümüz birçok uluslararası firmadan hack’lendiklerine yönelik haberlerin sayısının giderek artığını gözlemekteyiz. Özellikle de ülkemizde siber saldırı mağduru olmuş firmaların sayısı dikkat çekmeye başladı. Bu süreçte Kişisel Verileri Koruma Kanunu’na (KVKK) uyum gerekliliğinden dolayı firmalar gerçekleşmiş saldırıları bildirilme zorunluğu yüzünden, kamuoyu siber saldırı mağduru firmaların artan sayıdaki rakamlarını öğrenmekle birlikte, firmalar artık “bize ne zaman sıra gelecek” şeklinde düşünmeye başladılar.
Esasında bu noktada “sıra bize ne zaman gelecek” sorusundan ziyade “biz saldırıların önüne nasıl geçeriz”, “bu saldırıların gerçekleşmesi durumunda nasıl bir hasar alırız” ya da “saldırının etkilerini nasıl azaltabiliriz” sorularına cevap vermek gerekir. Bu yazıda genel olarak, alınacak önlemler ile “saldırı sırasında ve sonrasında nasıl hareket edilmesi gerekir” şeklindeki sorulara cevap vermeye çalışacağım.
HANGİ ÖNLEMLERİ ALMALIYIZ?
Güvenlik önlemelerinin birçok boyutu olmasına rağmen firma öncelikle firma bünyesinde siber güvenlik politikası geliştirmelidir. Güvenlik politikasının temel bileşenleri; güvenlik modeli, takip edilen standartlar ve ilgili dokümanlar olmalıdır.
Güvenlik modeli, standartlar, belgelendirme (sözleşmeler, şartnameler ve kurallar) şeklinde gruplandırılır. Siber güvenlik önlemlerinin teknik gerekliliklerini sıralamadan önce önem verilmesi gerek etkenlerin başında firma bünyesinde çalışanların konu ile ilgili bilinçlendirilmesi ve seçilen güvenlik standartlarına uygun bir şekilde güvenlik prosedürleri ile dokümantasyonunun hazırlanması ve mutlaka kullanıcı bazlı kuralların, şartların ve sözleşmelerin oluşturulması gelir ve sonrasında kullanıcılar için paylaşılması gerekir.
Teknik önlemler, siber güvenlik açısından öncelikli faktörler olarak algılanıyor olmasına rağmen firma bünyesinde gözetilmesi gereken en önemli faktör kullanıcılara yönelik faaliyetler olmaktadır.
Teknik önlemlerin başında merkezi müdahale ve erişim denetimi yönetimine imkan sağlayan sistemler yer almaktadır. Ayrıca lisanslı işletim sistemlerinin kullanılması, antivirüs ve spam-ware yazılım çözümleri ile desteklenmesi önceliklidir. Kullanıcıların kullandıkları cihazlara merkezi denetim dışında yazılım çözümleri ya da donanım cihazları ilave edilmesi imkanı kısıtlanmalı ve takip edilmelidir.
Diğer önemli bir unsur, kullanılan ağ sistemlerinin kullanıma yönelik kurallara bağlanması, izlenmesi ve denetlenmesi gerekliliğidir. Bu amaç doğrultusunda firmaların Firewall, VPN, SIEM, DLP, MDM, NAC ve benzeri çözümler ile takviye ediliyor olması önemlidir.
Tüm cihazlara ve kaynaklara erişimin kayıtlanması, yetkilendirilmesi ve sınırlandırılmasının seçilen güvenlik standardına yönelik sağlanması önerilir. Öte yandan firma yazılım bazlı çözümlerine yönelik güncelleme ve yedekleme politikası oluşturmalı, hatta belirli aralıklarda geri getirme testleri yapmalıdır. Erişim imkanı olan bilişim servislerine de belirli süreler ile sızma testleri yürütmelidir.
Genelde birçok firmanın gözden kaçırdığı bir unsur ise risk yönetimidir. Firmalar muhtemel oluşabilecek saldırılara yönelik önlemler almalı ve saldırı düzenlenmeden, muhtemel saldırılara yönelik anlık müdahale prosedürleri geliştirmelidir. Kısaca saldırı ihtimaline yönelik hazırlıklı olmalıdır.
Siber güvenlik danışmanlığım süresince genelde rastladığım dikkat çekici bir sonuç ise firmaların kendilerinin başına bir sızma teşebbüsü gelebileceğine ihtimal vermiyor olmalarıydı. Çoğu firma, siber saldırı sonrasında birçok eksiklikleri olduğunu fark ediyordu. Hatta yürütülen sızma testlerinin sonunda esasında daha önceden saldırıya uğradıklarının farkında olamadıkları sonuçlarıyla karşılaşıldı.
SALDIRI SIRASINDA VE SONRASINDA NE YAPMALIYIZ?
Alınacak önlemler ile saldırıya uğrama ihtimali büyük oranda düşmesine rağmen yine de siber saldırıya uğrama şansımız var. Buradaki en önemli tedbir, hazırlıklı olmaktan geçmektedir. Mutlaka, saldırıya uğradığınızı anlayabileceğiniz bir uyarı sisteminiz olmalıdır. Burada SIEM (Security Information and Event Management) ve sizi uyarabilen bir Firewall çözümünüz olmalıdır. Sonrasında, saldırı sonucunda yitirilen verileri ya da hizmet dışı bırakılan bilişim servislerinizi kısa sürede döndürebilecek yedekleme ve geri getirme mekanizmanızı devreye almalısınız (tabi öncesinde bu yapıda bir sistem kurduysanız).
Şayet, öncesinde yedekleme ve geri getirme mekanizmanız yoksa vakit geçirmeden, sistem üzerinde kurtarma ve müdahale yapmadan önce bu konuda uzman kişilerden destek almalısınız. Tarafımıza danışmanlık için yapılan başvuruların çoğunda firma, bilinçsiz bir şekilde kurtarma faaliyetleri geçirmiş ya da özelikle fidye taleplerini karşılamış ve sonuçta verilerini kurtaramamış bir durumda kapımızı çalıyor. Saldırı yapıldıktan hemen sonra verilerini kurtarma şansımız varsa bile kendi başlarına yürüttükleri süreç sonunda verileri geri getirme şansını büyük oranda kaybetmiş oluyorlar.
Bu aşamada diğer dikkat edilecek aşama ise KVKK kurumuna yapılacak veri sızıntısı bildirimidir. Bildirimin mutlaka bu konuda uzman hukukçu ve siber güvenlik uzmanı ile iş birliği içinde çalışılarak, 24 saat içerisinde yapılması gerekir. Şayet 24 saat içerisinde mevzuata uygun biçimde veri sızıntı bildirimi yapılmaz ise firma, ağır yaptırımlar ile karşılaşır.
Sonuç olarak, firmalar öncelikle ilgili tedbirleri alarak saldırı ihtimalini düşürebilir. Tedbirler sayesinde saldırıya uğrasalar bile verilerini kaybetmeden hizmetlerini sürdürebilirler. Mutlaka saldırı sonrasında KVKK sızıntı bildirimi hukuksal ve teknik destek ile yapmalı, yedekleme tedbirleri alınmamış ise de mutlaka saldırının hemen sonrasında firma tarafından müdahale etmeden önce siber güvenlik uzmanlarından destek alınmalıdır.