Olay Gazetesi Bursa

Büyük tehdide karşı toplu seferberlik

Küresel ekonomiye 2021 yılında toplam maliyetinin 6 trilyon dolara ulaşması beklenen siber saldırılarla mücadele edebilmek için uluslararası şirketler, finans kuruluşları ve hükümetler adeta seferberlik ilan etmiş durumda.

Dünyada yaklaşık 4 milyar internet kullanıcısı hemen her gün tüm bilgilerini internet üzerinden paylaşıyor. Bu bilgiler kullanıcının belirlediği şifrelerle güvenlik altında gibi görünse de aslında hiçbir bilgi sonsuza dek güvende değil.

Merkezi ABD’de bulunan Cybersecurity Ventures’ın araştırmasına göre siber güvenlik suçlarının dünya ekonomisine sadece 2015 yılındaki maliyeti 3 trilyon ABD doları seviyesinde. 2021 yılında ise siber güvenlik suçlarının dünya ekonomisine toplam maliyetinin 6 trilyon dolara çıkması bekleniyor.

Uluslararası şirketler, verilerinin güvenliğini sağlayabilmek için siber güvenlik önlemlerini artırmak amacıyla daha fazla yatırım yapmak zorunda kalıyor. Merkezi Dublin’de bulunan yönetim danışmanlık şirketi Accentura’nın raporuna göre şirketlerin siber güvenlik harcamaları 2018 yılında bir önceki yıla göre ortalama yüzde 23 artış kaydetti.

Yine Cybersecurity Ventures’ın araştırmasına göre siber güvenlik alanında 2017-2021 yılları arasında yapılan küresel harcama tutarı 1 trilyon dolara ulaşmış olacak.

Siber güvenlik harcamalarının 2021 yılına kadar her yıl ortalama yüzde 12-15 seviyesinde artış kaydetmesi bekleniyor.

Her 40 saniyede bir şirketin veri bankası fidye yazılımla kilitleniyor

Son yıllarda şirketlerin korkulu rüyası ise fidye yazılım (Ransomware) saldırıları. Veri bankasına ulaşarak bilgilerin kullanımını engelleyen, fidyenin ödenmemesi halinde bütün bilgileri yok etmekle tehdit eden yazılımlar “fidye yazılım” olarak adlandırılıyor. Cybersecurity Ventures’ın araştırmasına göre dünyada her 40 saniyede bir şirketin veri bankası fidye yazılımlar tarafından kilitleniyor. Bu yılın sonunda ise her 14 saniyede bir dünyada bir şirketin fidye yazılım riski ile karşılaşacağı tahmin ediliyor.

FBI’ın tahminlerine göre fidye yazılımlara yılda ödenen fidyenin toplam hacmi yaklaşık 1 milyar dolar seviyesinde.

Accentura’nın raporuna göre fidye yazılım saldırısının ortalama bir şirkete maliyeti yaklaşık 2,4 milyon dolar seviyesinde. Fidye yazılımın şirketin bilgilerini kilitleme süresi ise yaklaşık ortalama 50 gün sürüyor.

Dünyanın en büyük şirketleri bile sistemlerindeki açıklar nedeniyle hackerların saldırıları karşısında çaresiz kalabiliyor. 2016 yılında 57 milyon Uber sürücüsünün kimlik, telefon ve adres bilgileri hacklendi. Yine 2016 yılında Yahoo’ya ait Tumblr, Fantasy ve Flickr platformlarındaki 3 milyar hesabın hacklendiği duyuruldu.

Siber güvenlik şirketi Symantec’in verilerine göre 2017 yılında “WannaCry” adlı fidye yazılım tarafından yapılan 5,4 milyar adet saldırı güvenlik sistemleri tarafından engellendi.

Fidye yazılım türlerinde ise 2017 yılında bir önceki yıla göre yüzde 46 seviyesinde artış gözlemlendi. Internet bağlı cihazlara yapılan siber saldırılar 2017 yılında bir önceki yıla göre yüzde 600 artış kaydetti. Bu saldırıların yüzde 21’i Çin’den, yüzde 11’İ ABD’den, yüzde 7’si Brezilya’dan, yüzde 6’sı Rusya’dan, yüzde 5’i Hindistan’dan gerçekleştirildi.

Koordineli bir siber saldırının olası maliyeti 85-193 milyar dolar

İngiliz sigorta platformu Lloyds of London ve risk yönetim şirketi Aon tarafından yapılan araştırmada ise küresel ölçekte, koordineli olası bir siber saldırının 85 milyar dolar ile 193 milyar dolar arasında zarara neden olabileceği belirtiliyor.

Araştırmada baz alınan senaryoda, küresel ve koordineli bir siber saldırı durumunda virüs içeren e-mailerin açılmasıyla tüm iletişim bilgilerinin 24 saat içerisinde karşı tarafa iletilmesi, yaklaşık 30 milyon cihazdaki tüm verilerin kripto ile şifrelenmesi esas alınıyor.

Bu senaryoda dünyanın dört bir yanındaki şirketlerin kendi verilerine ulaşabilmesi için hackerlara ödeme yapmak zorunda kalacağı varsayılıyor.

Bu boyutta bir siber saldırının gerçekleşmesi durumunda en büyük zararı perakende (25 milyar dolar) ve sağlık sektörlerinin (25 milyar dolar) görmesi bekleniyor. İmalat sektörünün ise toplam zararının 24 milyar dolar seviyesinde olması öngörülüyor.

Küresel ölçekte bir siber saldırıdan ABD’nin 89 milyar dolar, Avrupa’nın 76 milyar dolar, Asya’nın 19 milyar dolar ile zarara uğraması bekleniyor.

Araştırmanın sonuç bölümünde işletmelerin bu büyüklükte bir siber saldırıya karşı hazırlıklı olmadığı, oluşabilecek zararın yüzde 86’sının yani yaklaşık 166 milyar dolarlık kısmının sigortasız durumda olduğu belirtildi.

“Veri güvenliğinde zayıf halka insan” 

Merkezi Londra’da bulunan siber güvenlik ve bilgi teknoloji şirketi Matta Consulting’in Üst Yöneticisi James Tusini, siber güvenlik tehditlerine ilişkin AA muhabirinin sorularını yanıtladı. Teknolojinin gelişmesiyle verilerin internet ortamında oluşturulmaya ve paylaşılmaya başlandığını belirten Tusini, “Bu verileri bir şekilde kötü adamlardan korumamız gerekiyor. Siber saldırıları gerçekleştirenler bu işten büyük para kazanıyor. Dünyanın hemen her yerinde para karşılığında bu saldırıları gerçekleştirecek insanlar var.” şeklinde konuştu.

Tusini, “Bu hackerlara X şirketinin erişimine sahip olup olmadıklarını sorabilirsiniz. Size o şirket ya da organizasyonda ele geçirilmiş bir sistemin olup olmadığını söylerler. Neyi gerçekleştirmek istiyorsanız sizin için yaparlar, gerektiğinde telefonlarına erişim sağlarlar.” dedi.

Siber güvenlik saldırılarının insan unsuruna odaklandıklarını vurgulayan Tusini, “Örneğin bir binaya girmek istiyorsunuz. En zayıf halkayı hedeflersiniz. O binaya girmek için evin en güvenli yeri olan ön kapısına yönelmezsiniz. Arkadaki banyo penceresini açık bırakmış olabilirsiniz. Siber saldırıları yapanlar en zayıf halkayı hedeflerler. Bugün en zayıf halka insan. Çünkü bir insanı, CEO’yu, patronu kandırmak daha kolay.” değerlendirmesinde bulundu.

James Tusini, ülkelerin siber güvenlik alanında yeteneklere ve kaynaklara büyük paralar ayırdığını ifade ederek, sözlerine şöyle sürdürdü:

“Örneğin “sıfır gün açığı” (Zero Day), bir yazılım üzerinde, kimsenin daha önce fark etmediği bir açığın bulunması demek. 20 yıl önce araştırmacılar bu açıkları bulur ve eğlence olsun ya da açıklar kapatılsın diye ücretsiz yayımlardı. Bugün artık bu çok karlı bir piyasa. Bugün Iphone’un “sıfır gün açığı”nı bulan birisi 1 milyon dolara varan boyutta kazançlar elde edebilir.”

Ülkeler hangi tedbirleri alıyor?

– İngiltere

İngiltere’de dijitale dayalı ekonominin değerinin yılda 118 milyar sterlin hacminde olduğu tahmin ediliyor. Londra’da dünyanın en büyük finans merkezine ev sahipliği yapan İngiltere siber saldırıların ülkenin önde gelen uluslararası şirketleri için yaratabileceği risklere karşı kapsamlı önlemler geliştirmeye çalışıyor.

İngiliz hükümeti tarafından hazırlanan “Siber Suçların Maliyeti” başlıklı raporda, siber suçların İngiltere’ye yıllık maliyetinin toplam 27 milyar sterlin seviyesinde olduğu tahmin ediliyor.

Bu amaçla, 2017 yılında İngiliz hükümetine bağlı iletişim ve istihbarat kurumu GCHQ’nu altında Ulusal Siber Güvenlik Merkezi kuruldu. Özel ekipler, özellikle ulusal boyutta veri güvenliğini tehdit edebilecek siber saldırıları belirlemek ve engellemek için çalışıyor.

İngiltere hükümeti, 2016 yılında beş yıllık Ulusal Siber Güvenlik Stratejisini açıklamış, bu alanda 1,9 milyar sterlin tutarında yatırım yaptıklarını duyurmuştu.

İngiliz Siber Güvenlik Merkezi’nin Üst Yöneticisi Ciaran Martin, geçen yılın nisan ayında siber güvenlik önlemlerinin önemini vurguladığı konuşmasında, “Parlamento, İngiltere’nin kritik önemdeki altyapısında siber güvenlik önlemlerini artırmaya yardımcı olmak için geçen hafta yeni önlemler getirdi. Siber saldırılarla elektriklerin kesilmesi Hollywood filmlerinde gösterildiğinde dahi zor bir durum.  Tüm dünyada yeteri kadar zararlı e-mail saldırıları ile karşılaştık. Bunlara, Kuzey Koreli bir grup tarafından İngiliz sağlık sistemine yapılan saldırı da dahil.” ifadelerini kullandı.

2017 yılında İngiliz Ulusal Sağlık Sistemi’ni hedef alan siber saldırılar sonucunda başkent Londra’nın da arasında birçok şehirde veri tabanına erişim uzun süre sağlanamamıştı.

– ABD

Ülkede, geçen yılın nisan ayında ABD Stratejik Kuvvetler Komutanlığına bağlı bir alt komutanlık olan “Siber Güvenlik Komutanlığı”, “muharip komutanlık” olarak, bağımsız bir komutanlığa yükseltildi. ABD Başkanı Donald Trump’ın ağustos ayında verdiği talimatla Siber Güvenlik Komutanlığındaki söz konusu dönüşüm süreci resmi devir teslim töreniyle tamamlandı.

Böylece, ABD Savunma Bakanlığının (Pentagon) 2018 Ulusal Savunma Strateji Belgesinde “savaş alanı” olarak tanımladığı siber güvenlikle ilgili fiili adım atıldı. Buna göre, komutanlığın yaklaşık 800 olan personel sayısı da 6 bin 200’e çıkarılacak.

Siber Güvenlik Komutanlığı, aynı çatı altında bulunduğu Ulusal Güvenlik Ajansından da (NSA) ayrılırken, bu adımla ABD’nin küresel siber operasyonlarında önemli bir artış olması bekleniyor.

Geçen yılın eylül ayında ise Beyaz Saray Ulusal Güvenlik Danışmanı John Bolton, ABD Başkanı Trump’ın siber saldırılara karşı daha saldırgan adımların atılmasını öngören bir Ulusal Siber Güvenlik Strateji Belgesi’ni imzaladığını duyurdu. Beyaz Saray tarafından yayınlanan belgede, ABD’nin kritik alt yapı ve kurumlarının veri tabanlarının siber saldırılara karşı güvenliğinin tahkim edilmesi gerektiğine vurgu yapılırken ülkede siber suç işleyenlere yönelik ihbar ve yasal işlem yapma konusunda daha etkili sistemlerin kurulması ve buna yönelik düzenlemelerin yapılacağı bildiriliyor.

“Siber Caydırıcılık İnisiyatifi” adı altından bir birimin oluşturulacağı aktarılan belgede, ABD’nin siber güvenlikte küresel üstünlüğünün tesis edilmesinin planlandığına vurgu yapılıyor.

– Rusya

Rusya, 8 milyon devlet yetkilisi ve çalışanının yerli yapım mobil işletim sistemine kademeli geçişi için 160 milyar rublelik bütçe ayırdı. Uzmanlar, sürecin 2021 yılının sonuna kadar tamamlanacağını belirtiyor.

Rusya Başbakanı Dimitriy Medvedev, geçen ay yapılan hükümet toplantısında, Rus yazılımlarının devlet kurumlarındaki payının 2024’e kadar yüzde 90 ve devlete ait şirketlerde ise en az yüzde 70’i geçmesi gerektiğini söylemişti.

Öte yandan, Rus resmi makamlarının ülkeye yönelik internet üzerinden olası küresel tehditlere karşı bir dizi önlem alacağı duyuruldu. Söz konusu önlemlerin belirlenmesi için Rusya’nın küresel internetle bağlantısının bir süreliğine kesilmesi planlanıyor. Deneme kapsamında Rus vatandaşları ve kurumları arasında paylaşılan verilerin, uluslararası internette dolaşıma girmeden ülke içerisinde tutulması hedefleniyor.

Kremlin böylelikle, ülkede interneti küresel internet sağlayıcılardan bağımsız bir şekilde çalışacak hale getirerek olası siber saldırılardan korunmayı planlıyor.

 Ancak bazı uzmanlar, söz konusu girişimin başarıya ulaşması halinde, ülkedeki internet sansürünün Çin’de olduğu gibi “katı” bir hale geleceği konusunda uyarıda bulunuyor.

 Rusya, internetin “yerelleştirilmesi” için yaklaşık 20 milyar rublelik bir bütçe ayırırken, internet kesilerek yapılacak deneylerin 1 Nisan’dan önce gerçekleştirilmesi planlanıyor.

Kremlin, 1981 tarihli Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ni 2005’te onayladı.

Ülke, veri koruma alanında ana mevzuat kaynağı olan ve çoğu bakımdan Avrupa Birliği veri gizliliği mevzuatıyla benzerlikler gösteren Federal Kişisel Veriler Yasasını ise 2006’da kabul etti.

Kişisel verilerin korunmasına ilişkin süreç, Rusya’da uzun yıllar boyunca düzenleyici ve ticari kurumların ilgisine uzak kaldı.

Ancak bu durum, Rus vatandaşlarının kişisel verilerini toplayan ve işleyen tüm operatörlerin Rusya’da bulunan veri tabanlarını kullanmalarını gerektiren “Kişisel Veri Yerelleştirme” yasasının 2014’te yürürlüğe girmesiyle önemli oranda değişti. Yeni yasayla birlikte, vatandaşlara, verilerini yerel veri tabanlarında tutmayan web sitelerini engelleme seçeneği de sunuldu.

– Avrupa Birliği

AB Komisyonu, 2018 eylül ayında siber savunma alanında “lider rol” üstlenmek için siber savunma merkezi kurulmasını teklif etti. Yeni merkezin üye ülkeler arasında bir ağ kurulmasına ve iş birliği yapılmasına katkı sağlaması öngörülüyor. Özel sektörle de iş birliği yapacak merkezin, araştırma ve inovasyon çalışmaları yürütmesi, ayrıca üye ülkelerdeki altyapı çalışmaları için finansman sağlaması planlanıyor.

AB Konseyi, Avrupa Parlamentosu ve AB Komisyonu arasında yapılan müzakereler sonucunda 2018 yılı aralık ayında yeni “Siber Güvenlik Yasası” üzerinde uzlaşı sağlandı. Yeni yasanın resmi onay sürecinin tamamlanmasıyla önümüzdeki aylarda yürürlüğe girmesi bekleniyor.

Yasayla birlikte, Yunanistan’da yer alan ve görev süresi 2020 yılında dolacak Avrupa Ağ ve Bilgi Güvenliği Ajansı’na, (ENISA) üye ülkelere siber güvenlik tehditleri ve saldırılarına karşı daha iyi destek sağlamak için kalıcı biçimde AB Siber Güvenlik Ajansı görevi verilmesi öngörülüyor. Yasa, dijital hizmetlerin ve cihazlarının siber güvenliğini artırarak güvenlik sertifikaları için AB çerçevesi oluşturmayı da amaçlıyor.

AB Komisyonu, Birliğin 2021-2027 bütçesinde dijital programlar için ayrılan payın 9,2 milyar avro olmasına yönelik planını da açıkladı. AB’nin gelecekteki bütçesinde, siber savunma imkanlarının yeni ekipman ve altyapı yatırımlarıyla güçlendirilmesi için 2 milyar avro kaynak ayrılması planlanıyor.

– NATO

NATO, 2016’da yapılan Varşova Zirvesi’nde siber alanını, kara, hava ve denizin yanı sıra yeni harekat alanı olarak belirlemişti.

Son dönemde, NATO için siber savunmayı geliştirmek öncelikli bir konu haline geldi. NATO’nun siber savunma alanında en kapsamlı tatbikatı olarak bilinen “Siber Koalisyon Tatbikatı”nın 11’incisi de Kasım 2018’de Estonya’da gerçekleştirdi.

Tatbikatın temel amacı, NATO’nun kendi ağını ve üyelerin ulusal ağlarını olası tehditlere karşı koruma kabiliyetini geliştirmek olarak belirlendi. Yeni yasa bazı yabancı işletmeleri, özellikle de çevrimiçi hizmetleri ciddi şekilde etkilerken, Rusya’da faaliyet gösteren birçok büyük yabancı şirket bu yeni gereksinimlere uymak için veri akışlarını yeniden yapılandırdı.