Zor bir yıldan sonra daha da zoruna hazır olun
Tehditler giderek daha da tehlikeli bir hal alırken, kurumsal yapısına en uygun korunma önlemlerini alan, güncel riskleri takip edip bu önlemlerini de sürekli yenileyenlerin ayakta kalma şansı en azından ‘daha fazla’. 2015 yılının risk gündemi ile ilgili raporlar yayınlanmaya başladı.
Bilgi Güvenliği Derneği'nin Siber Güvenlik Raporu, 2014'ün öne çıkanlarını ve 2015 yılı beklentilerini buluşturuyor. CyberSheath ve Websense'in 2015 yılına yönelik araştırmaları, 2014 yılı analizlerini temel alan çalışma, açıkça gösteriyor ki, konu tehditler olduğunda, daha yolun çok başındayız. Bu nedenle korunma önlemlerini almak, sürekli güncellenen, yenilenen riskleri takip etmek, dinamik bir kurumsal ve bireysel güvenlik politikası uygulamak şart.
Kronolojik olarak 2014'ün unutulmaz (!) saldırıları
Target: 2014 başında ABD’li perakende zinciri Target mağazalarına yönelik saldırı, müşterilere ait 40 milyon kredi kartının çalınmasını içerdi. Bu tarihe kadar karşılaşılan en büyük kredi kartı hırsızlığı olarak kabul edilen saldırının ardında da 17 yaşında bir Rus bilgisayar korsanı olduğu iddia edildi. Target’ın müşterilerini bilgilendirmede geç kalması ise eleştirilerin temelini oluşturduğu için siber saldırı olaylarında veya veri sızıntılarında müşterilerin en geç 30 içerisinde bilgilendirilmesinin yasal olarak zorunlu olmasını sağlayan madde, yeni siber güvenlik yasasına eklendi.
Apple'ın SSL/TLS Yazılım Hatası – “goto fail;”: Çevrimiçi bankacılık ve e-ticaret uygulamaları gibi web siteleri kullanıcı ve sunucu arasında iletişimin şifreli olması için SSL/TLS mekanizmasını kullanır. Kullanıcı, sunucu ile oturumu başlatmadan önce doğru siteye bağlandığını tespit etmek için sunucunun sertifikasını kontrol eder. Bu kontrol işlemi sırasında Apple’ın bütün iOS 6 ve iOS 7 ve Mac OS X işletim sistemlerinde ciddi bir yazılım hatası olduğu ise Şubat ayında ortaya çıktı. Bunun ardından, kamuoyu baskıları ile Apple bu hataya neden olan kodu açıklamak durumunda kaldı.
Heartbleed: Heartbleed; sunucularda SSL/TLS mekanizmasının uygulanabilmesi için şifreleme servisleri sunan yazılımlardan biri olan OpenSSL’de bulunan bir açıklığa verilen isim. 2012 yılında OpenSSL’e “Heartbeat” adında eklenen yeni bir protokoldeki bir yazılım hatası 2014 yılının Nisan ayında ortaya çıkarıldı. Bu açıklık, OpenSSL kullanan bir web sunucusundan saldırganın kullanıcı adı, şifre, sunucunun şifreleme anahtarları, sertifikaları gibi hassas bilgileri kolaylıkla ele geçirebilmesine imkân tanırken, bu açık ortaya çıktığında internetteki bütün web sunucularının üçte ikisi de bu zafiyete açıktı.
JP Morgan Chase: Ağustos başında JP Morgan Chase Bank’ın bilgisayar sistemlerine girilmesi, sıradan bir e-bankacılık veri hırsızlığının ötesine geçti. Bankanın 90’un üzerine sunucu sistemlerine iki aydan daha fazla süre giren saldırganlar 76 milyon bireysel ve 7 milyon kurumsal banka hesabının bilgilerini çaldılar.
Home Depot: ABD’li ev ürünleri mağaza zinciri, Eylül ayı başlarında 2 bin 200 mağazasının POS cihazlarına bağlı bilgisayarlarından 56 milyon kredi kartı bilgisini çalındığını duyurdu.
POODLE ve Shellshock Güvenlik Açıklıkları: Eylül ayında ortaya çıkan güvenlik açıklıklardan ilki PODDLE web sayfalarını şifrelemede kullanılan SSL 3 şifreleme mekanizmasının tasarımına dayanan bir hatadan kaynaklandı. Ancak SSL 3 yerine TLS 1’in şifreli iletişimde kullanılması ve SSL 3 kullanan web tarayıcı isteklerinin reddedilmesiyle bu sorunun büyümesi engellendi.
Axiom Raporu ve Amerika – Çin ilişkileri: 2013 yılında Mandiant şirketinin yayınladığı rapora göre Çin ordusu uzun süreden beri Amerikan askeri ve endüstriyel bilgi sistemlerine sızıp, ekonomik ve stratejik değeri olan bilgiyi sistemlerine aktarıyordu. 2014 Mayıs’ında ise 5 Çinli asker Amerikan mahkemeleri tarafından 2006-2014 yılları arasında Amerika’ya karşı siber casusluk suçundan suçlu bulundu ve FBI tarafından arananlar listesine eklendi. Obama’nın Kasım ayında Çin’e yapacağı ziyaretten bir süre önce de Novetta firması tarafından Axiom isimli yeni bir rapor yayınlandı. Rapor, Çin’in ticari amaçlı siber casusluğun yanında, dış istihbarat ve muhalifleri izlemek için istihbarat önleme yöntemlerini siber ortamda etkin olarak kullandığını iddia ediyordu.
Sony Pictures Entertainment’a Kuzey Kore saldırısı: 2014 yılını bitirmeye birkaç gün kala kendilerini ‘Barışın Bekçisi’ olarak tanımlayan saldırganlar Sony Pictures’ın yüzlerce bilgisayarına uzaktan bağlanıp bunları kullanılamaz hale getirdi.
İşte 2015 yılının risk gündemi
– Nesnelerin internetinin gelişimi ile bu bağlantılı nesnelere yönelik siber saldırılar da artacak.
– Her ülkede kamunun başını çektiği sağlık sektörü reformları, haklayıcıların iştahını kabartıyor. En detaylı kişisel verilerin buluşma noktası olduğu için sağlık sektörü hedefte.
– Mobil cihazlar, bunların işletim sistemleri ve bu sistemlerin desteklediği bulut depolama yapıları saldırılarda öncelik olmayı sürdürecek.
– BYOD eğiliminin gelişimi, buna paralel artan riskler ışığında her ölçekte şirket, mobil güvenlik için daha güncel stratejiler belirlemek, kurumda güvenlik kültürünü güncel bilgilerle desteklemek için düzenli eğitimler sunmak zorunda olacak.
– Güvenlik açıklarında açık kaynak kodlu yazılımların payı daha da artacak.
– Kurumsal BT yapısını, güncel riskleri ve kurumsal hassasiyetleri sürekli analiz etmek şirketler için hem bir gereklilik hem de önemli bir maliyet kalemi olacak.
– Özel sektör ve kamu arasında sağlık, finans, savunma gibi başlıklarda bilgi ve istihbarat paylaşımı daha da önemli hale gelecek.
– Çevrimiçi alışveriş ilgisinin mobilde de hızlı büyüme sergilemesi ışığında, kaçınılmaz olarak, kredi kartı hırsızlıkları da sürecek.
– Zararlı yazılım Ransomware ile kilitlenen bilgisayarı açmak için istenen fidye gerçeği, 2015'te de gündemimizde olacak.
– Bulut teknolojilerinin kullanımının artması, doğal olarak bu başlıkta saldırıların da artmasına yol açacak.
– Tüm ülkeler siber savaş, siber casusluk, siber güvenlik gibi başlıklara yatırım yapma hızını daha da artıracak.
– Ülkeler arasında siber güvenlik odaklı işbirliklerine dair anlaşmalar imzalanacak.
