Bilim - Teknoloji - İnovasyon

Siber Güvenlik – Siber Saldırılar – Bilgi Güvenliği

Bilgi güvenliği sektörü hızla gelişiyor ancak yıllardır süren çabalara, onlarca milyar dolarlık güvenlik yatırımına rağmen global ekonomi siber saldırılara karşı tedirginliğini koruyor. Çünkü siber saldırıların yapısı her geçen gün karmaşıklaşıyor, trafiği inanılmaz bir hızla artıyor. Şirketler ve finans kurumlan bilgi sistemlerine bağımlı hale geldikçe hacker’lar, politik “hacktivist”ler, diğer devletler ve hatta kendi çalışanlarından gelebilecek siber saldırılara karşı o oranda açıklar. Şirketlerin ‘hyper-connected’ dünyanın getirileriyle siber saldırılar yoluyla karşılaşabilecekleri operasyonel başarısızlık, fikri mülkiyet hırsızlığı, yolsuzluk skandalları ve finansal dolandırıcılık risklerini dengelemeleri gerekiyor.

siber guvenlik

ingiliz The Guardian gazetesi, birkaç ay önce iş ve teknoloji dünyasına yön verecek olan “2014 yılının 50 medya trendi” başlıklı araştırmayı yayınladığında ilk sıraya “Siber Güvenlik” konusunu yerleştirdi ve bunu sektörün tanınmış bir ismi olan Eugene Kaspersky’nin şu sözleriyle gerekçelendirdi: “ABD Ulusal Güvenlik Ajansı NSA’in sızıntılarını başlatarak birçok ticari/uluslararası gizli dosyayı ortaya çıkaran Edward Snowden’in gizli belgeleri ifşa etmesiyle küresel iletişimde yaşanan güven kaybı, siber sınırlarda ve güvenlik ağlarında alarma yol açtı. Yeni ağlar, iletişimini ve ulusal altyapısını her türlü dış saldırılardan korumak isteyen hükümetler tarafından yönetilecek. Siber altyapıda yüksek güvenlik ve sızdırmazlık için getirilen bu önlemler, bugünkü sınırsız internete büyük olasılıkla bir darbe demek.”

2013 Haziranda başlayan NSA skandalıy-la birlikte Snowden, bir anlamda bilgi güvenliği sektörüne büyük bir PR hizmeti yaptı. Olay sonrası şirketler ve kurumlar ağ güvenliğinin ne kadar önemli, insanlar kişisel bilgilerinin ne kadar değerli olduğunu anladı. Dijital ekonomide güvenlik yazılımları ve veri yönetim alanı, son dönemde bütün dikkatleri üzerine çekti. Ancak bilgi güvenliği pazarının akıl almaz bir hızla büyümesi, bundan da önceye dayanıyor. Çünkü uzun bir süredir şirketler, askeri kurumlar ve bireyler kısacası herkes sızıntılar nedeniyle tehdit altında… Bu tehdidin bilgi güvenliği sektörüne ekonomik yansımasını ise büyüme rakamları ve öngörüler özetliyor:

GEÇEN YIL BOYUNCA DEVLET KURUMLARI, TEHDİT AKTÖRLERİNİN EN ÇOK TERCİH ETTİĞİ HEDEF OLMAYI SÜRDÜRDÜ. AYNI ŞEKİLDE ENERJİ, FİNANS, ASKERİYE, TELEKOMÜNİKASYON VE DİĞER SEKTÖRLERİ HEDEF ALAN SANAYİ CASUSLUĞU ETKİNLİKLERİ DE HIZ KESMEDİ.

* Dünya bilişim pazarı büyüklüğü 4.5 trilyon dolar.

* Küresel siber güvenlik yazılım pazarı büyüklüğü 2013’te 68 milyar dolara ulaştı.

* 2014’te 77 milyar dolar olması bekleniyor.

* 2017’de 120 milyar dolar olacak.

* Türkiye siber güvenlik yazılım pazarı büyüklüğü 2013’te 72 milyon dolara ulaştı.

* 2017’de 127 milyon dolar olacağı tahmin ediliyor.

Küresel çapta 3 trilyon dolarlık tehdit yaratıyor

Bilgi güvenliği sektörü rakamları böyle. Ancak siber saldırıların yarattığı ticari risklerin büyüklüğü çok daha çarpıcı. Siber saldırı riski, inovasyon ve teknolojinin gelişim hızını kesmekle kalmayıp küresel ekonomiye 3 trilyon dolarlık bir tehdit oluşturuyor. Yıllardır süren çabalara, onlarca milyar dolarlık güvenlik yatırımına rağmen global ekonomi bugün gelinen noktada siber saldırılara karşı yeterince korunaklı değil, üstelik durum her geçen gün daha da kötüye gidiyor. Çünkü siber saldırıların yapısı her geçen gün karmaşıklaşıyor, trafiği inanılmaz bir hızla artıyor. Şirketler ve finans kurumlan bilgi sistemlerine bağımlı hale geldikçe hacker’lar, politik “hacktivist”ler, diğer devletler ve hatta kendi çalışanlarından gelebilecek siber saldırılara karşı o oranda açıklar. Şirketlerin ‘hyper-connected’ dünyanın getirileriyle siber saldırılar yoluyla karşılaşabilecekleri ope-rasyonel başarısızlık, fikri mülkiyet hırsızlığı, yolsuzluk skandalları ve fmansal dolandırıcılık risklerini doğru dengelemeleri gerekiyor.

Trend Micro Türkiye Genel Müdürü Yakup Börekcioğlu’nun verdiği bilgilere göre, siber güvenlik konusunda 2014 yılında karşılaşacağımız muhtemel tehditlerin habercisi, 2013 yılında yaşanan olaylardı. Dev kurumlara sızılarak bilgileri çalındı, sosyal medya hesapları ele geçirilerek toplumsal kargaşalar yaratıldı. Bu tehditlerin kurumlarm itibarını ne denli zedelediği gözler önüne serildi. Kurumlar için hedefli saldırılara kurban olarak veri bütünlüğünü kaybetmek, en endişe verici konu halini aldı.

Sanayi casusluğu

Trend Micro Smart Protection Network rakamlarına bakıldığında, sadece 2013 yılında 7 milyar zararlı yazılımın durdurulduğu görülüyor. Bu da saniyede yaklaşık 2 bin 500 zararlı yazılım olduğu anlamına geliyor. Sadece 2013 yılında, bazıları kişisel bilgileri ve şifrelenmiş mobil verileri hedef alan, 1 milyon yeni yüksek riskli ve kötü amaçlı Android uygulaması saptandı. Devlet kurumlan, tehdit aktörlerinin en çok tercih ettikleri hedef olmayı sürdürdü. Ana tehdit aktörleri, aynı şekilde enerji, fınans, askeriye, telekomünikasyon ve diğer sektörleri hedef alan sanayi casusluğu etkinlikleri de gerçekleştirdi. Hedefli saldırılara en son örnek, geçtiğimiz günlerde ABD’nin en büyük alışveriş mağazalarından biri olan Target’ın 70 milyon müşterisine ait banka bilgilerinin çalınması oldu. 2013 yılında kötü amaçlı bankacılık yazılımlarının hacmi iki kat arttı ve online bankacılık uygulamaları için 1 milyon kötü yazılım saptandı.

Siber dolandırıcılıktan 2 milyar dolar

Siber saldırıların yapısı, kötü niyetli veya sahte yazılımdan phishing’e (yemleme- e-mail yoluyla kullanıcıların genelde güvendiği büyük alışveriş yada ödeme sitelerinin taklitlerini yaparak kredi kartı ya da özel bilgilerini çalma işlemi) kadar çeşitlilik gösteriyor. Diğer önemli bir tehlikeyi ise DDoS saldırıları (distributed deni-al of service- çevrimiçi bir uygulama veya hizmeti sekteye uğratmak amacıyla bir ana bilgisayardan başka bir bilgisayara trafik gönderilmesi) oluşturuyor. Bu sonuçlar, kurumsal altyapılara çalışanların mobil cihazlarının dahil olmasıyla, bilişim güvenliği için yeni yaklaşımlar üretme nin önemini gösteriyor. Bireyler için ise tehdit, mobil cihaz kullanımının yaygınlaşmasıyla giderek artıyor. Birleşmiş Milletler Suç Ofısi’nin rakamlarına göre, yüksek kazançlı organize suçlar sıralamasında siber dolandırıcılık sekizinci. Bu yolla elde edilen yasadışı kazancın büyüklüğü ise küresel çapta 2 milyar dolar. Saldırganlar cep telefonu ve mobil cihaz kullanım alışkanlıklarını iyi gözlemliyor ve sayılan milyonu aşan zararlı mobil uygulama üreterek piyasaya sürüyor. Bu uygulamalarla kişisel veriler hedef alınırken, birçok sahte bankacılık uygulamasıyla da doğrudan para çalmak için girişimde bulunuluyor.

Bulut, M2M ve mobil tabloyu değiştiriyor

Teknoloji kullanıcılarının karşı karşıya kaldığı tehdidin günümüzde nasıl bir değişim geçirdiğini Kaspersky Lab Türkiye Genel Müdürü Sertan Selçuk şöyle özetliyor: “10 yıl öncesine kadar internetle ilişkimiz, ev ya da ofislerimizdeki masaüstü bilgisayarlarla sınırlıydı. Di-züstü cihazlar yeni yeni hayatımıza giriyordu; telefonlarımız e-posta yeteneğine henüz sahip değildi, tabletin ise adı bile geçmiyordu. Bu nedenle özel hayatımızı ve kurumsal verilerimizi siber saldırganlardan uzak tutmak için masaüstü bilgisayarlarımızı korumamız yeterli oluyordu. Bugün bu tablo tamamen değişti. Günümüzde sıradan bir evde ortalama 4,5 internet bağlantılı cihaz bulunuyor. Yakın gelecekte bu listeye akıllı TV’ler, beyaz eşyalar ve oyun konsollarının da daha yaygın olarak ekleneceği düşünülürse, yaklaşan tehdidin büyüklüğünü görebiliriz. Araştırmalar, günümüzde kuramların internet güvenliği denildiğinde sadece çalışan bilgisayarları ve bu bilgisayarların bulut bilişimle bağlantılarını yönetmekle işlerinin bitmeyeceğini de ortaya koyuyor”.

Ticari ve sosyal bir konu

Bilgi hırsızlığı ve online süreçlerin kasti olarak sekteye uğratılması, büyük kuramların karşılaştığı en önemli teknolojik sorun ve mağdur taraf-takilerin durduğu zemin siber suçlulara oranla her geçen gün daha kaygan hale geliyor. Teknoloji yöneticilerinin yaklaşık yüzde 80’i, hacker’lann giderek karmaşıklaşan saldın stratejileriyle başa çıkmakta zorlandıklanm ifade ediyor.

Finans piyasaları tedirgin

Son dönemde küresel finans sistemine yönelik riskleri nedeniyle siber saldırıların yarattığı tehdit, pek çok merkez bankası yöneticisinde de endişeye yol açıyor. Bazı bankacılara bakılırsa bu, Euro Bölgesi borç krizinin ötesinde bir tehlike… Örneğin İngiltere’nin en büyük beş bankası, siber güvenlik konusunu ajandalarının öncelikli maddesi olarak görüyor. CEO’ların yüzde 75’inin en çok endişe duydukları operasyonel risklerin başında siber güvenlik geliyor. Bu endişelerin elbette haklı gerekçeleri var.

Son dönemde bazı finans devlerinin maruz kaldığı siber saldırılar, ciddi zarara ve itibar kaybına yol açtı. Barclays ve Santander bankaları, geçen yıl yaşadıkları hacker saldmlanyla ciddi şekilde sarsıldı. Hacker’lar, yazılım devi Ado-be’un sistemlerine girip 2.9 milyon müşterinin kredi kartı şifrelerini çözmeyi başardı. Geçen yıl yaşanan büyük çaplı siber depremler, bununla da sınırlı kalmadı. Temmuz 2013’te Dünya Borsalar Federasyonu (WFE), küresel çapta 46 borsanm yarısından fazlasının tanımlanmış siber saldırılara maruz kaldığını rapor-ladı. Securities Industry and Financial Markets Association (SIFMA), piyasaların siber saldırılara karşı savunma gücünü test etme amaçlı yürüttüğü bir programın sonucunda “bu riskin anlaşılması ve yönetilmesi konusunda henüz emekleme aşamasında olduklarını” itiraf etti.

Riskin asimetrik doğası

Finans piyasalarının karşılaştığı saldın tipleri saldırganlara yani hacker’lann saiklerine göre çeşitlilik gösteriyor. Beyaz Saray’ın eski siber güvenlik danışmanı Richard Clarke, dört büyük siber tehdidi kısaltma olarak CHEW şeklinde (crime-hacktivists, espionage and war- suç, ha-cktivistler, casusluk ve savaş) adlandırıyor. Siber suçlular, banka hesaplarını veya verileri hack’le-yerek para çalmaya teşebbüs ederken, hackti-vistler kendilerine özgü nedenlerle propaganda için bilgi işlem sistemlerini sabote ediyorlar. Siber savaşlar ise, askeri ve siyasi kurumlar dijital iletişime bağımlı hale geldikçe, devletler arasın

da bir silah olarak daha fazla kullanılıyor. Siber güvenlik uzmanlan, siber saldırılar karşısında bu denli savunmasız kalınmasının, kısmen de riskin asimetrik doğasından kaynaklandığını belirtiyor. Yani siber suçun vereceği zararla güvenlik maliyeti arasındaki farktan… Sürekli düşüş gösteren teknoloji maliyetleri, bir hacker’a saldırı girişimi için çok az bedele mal oluyor. Ancak herhangi bir finans kuruluşu kötücül bir yazılımın yaratacağı zarardan korunmak için milyonlarca dolar harcamak zorunda kalıyor.

Siber saldmlann hedefindeki tek sektör finans da değil. Telekomünikasyon ve enerji de bu yeni ve giderek değişip büyüyen tehdidin odağında. Ağ güvenliği korkusuyla “karşı karşıya kalan bu sektörler, siber suçluları her zaman bir adım geriden takip ediyorlar. Siber saldırılar cephesinde gelişen bir başka trendi de söyleyelim… Sistemleri ağır bir trafikle işleyemez hale getiren DDoS saldırılan, hacker’lar tarafından zaman zaman bir başka yerde gerçekleştirmekte oldukları siber hırsızlık eylemini gizlemek için dikkat dağıtma amaçlı kullanılıyorlar. “Bu acı bir gerçek üstelik hayli etkili, çünkü bir yapı, ağ süreçlerinde olağandışı bir yoğunluk yaşadığında hiçbir şeyi göremeyecek kadar tıkanıyor” diyor IT güvenliği şirketi Lancope’un CTO’su…

Kamunun zararı 50 milyar dolar

IDC ve Singapur Ulusal Üniversitesi’nin (National University of Singapore-NUS), yakın zamanda yayınladığı bir araştırmaya göre de, kamu tarafına bakıldığında en büyük tehdit ülkesel siber güvenlik olarak öne çıkıyor. Kamu görevlilerinin yüzde 59’u rekabet verilerinin ve ticari sırların ele geçmesinden endişe duyarken, yüzde 55’i yönetimsel verilere izinsiz erişimden ve kritik altyapıların ele geçirilmesinden endişe ediyor. Dünya genelindeki kamu kuramlarının korsan yazılım kullanımı nedeniyle uğrayacağı düşünülen zarar 50 milyar doların üzerinde.

Araştırmadan çıkan diğer bazı ilgi çekici sonuçlar da var. Örneğin gelecekte kuramlardaki kayıpların yaklaşık üçte ikisinden (315 milyar dolar) organize siber suç örgütleri sorumlu olacak. Kurumlardaki korsan yazılımların yüzde 20’si çalışanlar tarafından yükleniyor. Araştırmaya katılan kurum temsilcilerinin yüzde 28’i en az birkaç ayda bir sistemlerden kaynaklanan hizmet kesintileri yaşadıklarını söylüyor.

Bu kesintilerin yüzde 65’inden uç noktalardaki sistemlere bulaşan zararlı yazılımlar sorumlu.

Hedefte küçük şirketler var

Küçük şirketlerin yetersiz koruma önlemleri nedeniyle siber suçlular için kolay hedef haline geldiği gerçeği de siber dünyanın şu aralar gündeminde olan bir konu. Hacker’lar bir dönem büyük şirketlere göre tasarlanmış ancak şu anda internette kolayca alınıp satılan dijital araçları kullanarak binlerce küçük işletmeye yazılım zafiyeti üzerinden saldın düzenliyorlar. McAfee’nin 1000 şirketi kapsayan güncel bir araştırmasına göre, ABD’de KOBİ sınıfındaki işletmelerin yüzde 90’ının müşteri bilgileri ve şirket ağı için veri koruması bulunmuyor. İşletmelerin sadece yansından azı, phishing dolandırıcılığına karşı e-pos-ta koruma duvarı oluşturmuş durumda.

McAfee raporunda başta küçük perakende şirketlerinin saldırıya uğramasının nedenlerinin başında, yazılım güncellemelerini yapmamaları ve kredi hatlarını açmayı başaran saldırganların fmansal kayıtlarına çabucak ulaşabilmeleri gösteriliyor. Bir hacker, hedeflemesi durumunda tek seferde 2 bin işletmeye saldırı düzenleyebiliyor.

Küçük ve orta büyüklükteki işletmeler, buna rağmen tehdidin büyüklüğünü yeterince algılamış değil. ABD’de bu kategorideki işletmelerin sadece üçte ikisi, veri ve donanımlarının hacker saldırılarına karşı korumada olduğunu düşünüyor. Ve sadece yüzde 9’u çalışanlarının akıllı telefonlarını koruma altında tutuyor.

Uzman açığı daha da büyüyecek

Son yıllarda siber saldırılarda yaşanan benzersiz yükseliş, bilgi güvenliği uzmanlarında da açık yaşanmasını beraberinde getirdi. Devletler ve şirketlerin kendilerini siber saldırılara karşı korumaları uzman açığı nedeniyle her geçen gün biraz daha güçleşiyor. Danışmanlık şirketi Frost and Sullivan’m yaptığı “Bilgi Güvenliği İşgücü Raporu”nda küresel çapta yaşanan siber güvenlik uzman açığının 2017 yılma kadar her yıl yüzde 13.2 artış göstereceği belirtiliyor. Dünya çapında sayısı 4.2 milyon olan bilgi güvenliği uzmanlarının ücretlerinde 2017 yılına kadar yüzde 60 artış olacağı da bir başka öngörü… Pek çok ülkede bilişim sektörü temsilcileri, siber güvenlik uzman açığını daha fazla ciddiye almak gerektiği düşüncesinde. ABD’de siber güvenlik profesyoneli yetiştirmek üzere 10 bin kişiye ihtiyaç olduğu öne sürülüyor.

“Hacking” dünyasının karanlık tarafındaki kolay para kazanma imkanları, kimi zaman bu alanda gereken bilgi ve beceriye sahip uzmanları cezbedebiliyor da… Veya bu kişiler, geçmişte bulaştıkları illegal aktiviteler nedeniyle kamu hizmetlerinden yasaklı olabiliyorlar.

Siber saldırılarla mücadele, aslında zorlu bir görev. Bir siber suçlunun, herhangi bir sisteme girebilmek için bir yazılım parçasında küçük bir açık bulması yeterliyken, siber güvenlik şirketinin yüzlerce şirketin bilişim altyapısında işe yarayacak bir savunma geliştirmesi gerekiyor. Bu asimetrik durum da siber uzayda tek bir suçlunun verdiği tahribatın 100 bin kişiyi uğraştıracak bir savunma işi yaratması demek…

Senaryolar karamsar

Büyük kurumlar dahi bugün siber güvenlik konusunda etkili kararlar alabilmek için gereken bilgi ve süreçlere sahip değiller. McKinsey araştırmasına katılan şirketler arasında yüzde 34’ü siber güvenlik uygulamalarını ‘emekleme’ seviyesinde, yüzde 60’ı da ‘gelişmekte’ diye tanımlıyor.

Siber saldırılara karşı alınması gereken önlemler de ticari anlamda olumsuz bir etki yaratıyor. Örneğin, güvenlik endişeleri bir girişimin mobil işlevlerini altı ay ileriye atabiliyor.

Ve pek çok şirketin bulut hizmeti girişimlerini baltalıyor. Gelecek yedi yılda siber güvenlik pazarının nasıl evrileceği konusunda pek çok senaryo söz konusu. Siber saldırganlar, siber mağdurlardan daha etkili olmaya devam ettiği sürece, bu ‘geri çekilme’ dijitalleşmenin zayıf ilerlediği bir dünya ile sonuçlanacak. Bu senaryoya göre, görece az sayıdaki yıkıcı saldırılar ekonomiye güveni azaltıyor, hükümetlerin yeni düzenlemeler getirmesine ve şirketlerin teknolojik inovasyonu yavaşlatmasına neden oluyor. Sonuç olarak, dünya 2020 yılma kadar big data, mobilite ve diğer inovasyon-lardan 10 trilyon ilâ 20 trilyon gelir elde ede-bilir-ancak siber risklerin yarattığı nihai etki, verimlilik ve büyüme anlamında 3 trilyonluk bir tehdit demek. Bu durum, kurumsal IT güvenlik sistemlerinin karşılaşılan saldırılara karşı hızla esneklik ve dayanıklılık sağlama zorunluluğuna işaret ediyor.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu