Siber Suçlara Çok Yönlü Bakış

Karmaşık suç ağları tüm dünyaya yayılmıştır ve karmaşık saldırıları dakikalar içinde koordine edebilirler. Siber tehditler, çevrimiçi davranış ve trendlerden yararlanmak için sürekli olarak gelişmektedir. 2007’de Estonya, ünlü Sovyet heykelinin başkentten kaldırılmasıyla öfkelenen Rus bilgisayar korsanlarının haftalarca süren bir siber saldırısının hedefi oldu. Rus İnternet forumları, keskin sözler ve ılımlı protestolarla başlayarak sempatik bilgisayar korsanlarını harekete geçmeye çağırdığında, bu ciddi bir ekonomik saldırıya dönüştü. Kısa süre sonra, Estonya Bankası, devlet kurumları ve medyanın bilgisayar ağları arızalanmaya başladı. Olaylar çok ciddi bir sorun olmaya başladığında Estonya ülkenin internetini dışarıya erişime kapattı. SANS Enstitüsü’nün kurucusu Alan Paller “Çoğu kuruluş, hangi BT sistemlerine sahip olduklarını bile bilmiyor.

Benzer şekilde, kuruluşlar, hassasiyeti belirlemek için verilerini gözden geçirmelidir. Okul otobüsü programları ve benzerleri gibi Kamuya açık bilgilerin depolanması, tıbbi geçmiş kayıtlarının depolanmasından farklı olmalıdır. Biyometrik kayıtlar daha da hassas, en yüksek korumayı almalıdır” demiştir (Deloitte & D. Eggers, 2016). COVID-19 salgını bir istisna değildir. Bu nedenle, aşılar hazır olduğunda hem yasal tedarik zincirini korumak hem de sahte COVID-19 aşılarının üretimini ve dağıtımını önlemek için derhal harekete geçilmesi gerekmektedir. Kaldı ki yakın bir zamanda Avrupa İlaç Ajansı (EMA), siber saldırıya uğradığını ve Covid-19 aşısı ile ilgili belgelerin elde edildiğini belirtmiştir (BBC, n.d.). COVID-19 salgınından bu yana, kolluk kuvvetleri, hastalığı kontrol etme ve daha güvenli toplulukları teşvik etme çabalarınının yanı sıra, salgını kullanan suçluların tehdidiyle de mücadelede önemli bir rol oynamaktadır.

COVID-19 salgınını yerel, ulusal ve küresel düzeylerdeki kolluk kuvvetlerinin görevlerini ayarlamasını ve belirli önleyici tedbirler almasını gerektirir. Siber suçlular, bireylerin, işletmelerin ve hatta küresel kuruluşların bilgisayar ağlarına ve sistemlerine saldırmaya devam etmektedir. Şu anda odak noktası sağlık kuruluşlarıdır. Bazı web siteleri yasal olsa da, siber suçlular spam kampanyaları, kimlik avı veya kötü amaçlı yazılım yaymak için her gün binlerce yeni web sitesi oluşturmaktadır. Hastaneler, tıp merkezleri ve kamu kurumları, siber suçluların, fidye yazılımı saldırılarının hedefi haline gelmiştir. Giderek daha fazla ülke / bölge vatandaşları evde kalmaya, çalışmaya veya çalışmaya teşvik ettikçe, ister kendiniz ister işyeriniz için olsun, çevrimiçi güvenliğe daha dikkat etmelidir. Geçmişte saldırganların amacı bir siteyi devre dışı bırakmak ve adını duyurmaktı. Ancak günümüzde daha organize suçlular, teröristler, ulus devletler ve casusluk arayan saldırganlar haberleşme sistemlerine saldırılar düzenlemektedir. Amaç, daha fazla ekonomik kazanç ve suç eylemleri yoluyla güç elde etmektir. Sınırlı arzla birleşen yüksek talep, organize suç ağları mevcut olduğunda COVID-19 aşısını sıvı altına eşdeğer hale getirmektedir (INTERPOL, 2020).

COVID 19 Salgınında aşağıda belirtilen siber suçlarda artış gözlenmiştir:

Çevrimiçi dolandırıcılık: Dolandırıcılar, tıbbi ürünleri sattığını ve teslim ettiğini iddia eden dolandırıcı web siteleri, e-ticaret platformları, sosyal medya hesapları ve e-postalar oluşturur veya kurar. Bazı durumlarda, bu ürünlerin üretimi ve dağıtımında yer alan tanınmış firmaların isimlerini kullanırlar. Ardından kurbandan banka havalesi ile ödeme yapması istenir.

Telefon dolandırıcılığı: COVID-19 salgınıyla beraber hastanede tedavi görmekte olan akraba gibi suçlular ortaya çıkmıştır. Hedefleri genellikle yüksek risk altında olan yaşlı insanlardır.Görüşme esnasında kurbandan, sahte bir halk sağlığı temsilcisine para transfer ederek veya nakit ödeyerek tıbbi masraflarını ödemesi istenir.

Kimlik avı: Siber suçlular Sağlık Bakanlığı veya diğer kamu kuruluşlarından gönderilmiş gibi mektuplar veya e-postalar ile kurbanları belirli web sayfalarına yönlendirerek hesaplarını çalmaya çalışırlar. Dolandırıcılar daha sonra elde ettikleri kimlik bilgileri ile para kazanmayı hedeflemektedirler.

Kamu fonlarının kötüye kullanılması: Küçük ve orta ölçekli işletmeleri (KOBİ’ler) ve serbest meslek sahiplerini desteklemek için kullanılan hükümet teşvik planındaki fonlar, suçlular tarafından kötüye kullanılmaktadır. Bunun için sahte web sayfaları kullanılmaktadır. Sağlıkla ilgili ekipman veya hizmetleri kullanarak, parayı yasal ekonomiye dahil etmeye çalışırlar.

Diğer dolandırıcılıklar: Suçlular, yatırım şirketlerini, COVID-19 hayır kurumlarını veya devlet görevlilerini temsil ediyormuş gibi davranabilir.

İnsanlar zaman zaman bir rakibin kuruluşunun ne yaptığını, neler yapabileceğini ve saldırıdaki rolünü kontrol etmek ister. Güvenilirlik, iletişim sistemlerinin odaklanması gereken en önemli şeydir. Bugün, sistem güvenliği, gereksinimler ve geliştirme süreçleri listemize derinlemesine yerleştirilmiştir. Haberleşme ekipmanları, tabletler ve taşınabilir cihazlar, kullanıcıların kişisel verilerine mobil olarak kolayca erişmesine olanak tanır. Ancak taşınabilir cihazların kullanımı arttıkça bu cihazların neden olduğu güvenlik riskleri de artmaktadır. Bu cihazları taşınabilir hale getirilmesi, çeşitli ağlara ve bilgisayarlara anında bağlanma yeteneklerinin de eklenmesiyle ağ güvenliği risklerine neden olur. İlk bakışta basit depolama cihazları zararsız gibi görülebilmektedir. Kötü amaçlı yazılım, taşınabilir aygıtlar aracılığıyla bir bilgisayardan diğerine aktarılabilir. Bu bilgisayarların bağlı olduğu ağ üzerinden hızlı bir şekilde yayılabilir. Ancak, bireyler veya kurumlar açısından birçok güvenlik sorununu beraberinde getirmektedir. Bugün, kötü amaçlı yazılımların % 25’i USB cihazlar ile yayılmaktadır. Depolama cihazları ve akıllı cihazlar genellikle küçüktür ve taşınması kolaydır Ekipman kolayca kaybolur veya unutulur.

Hassas verilere sahip taşınabilir cihazların kaybı kurum kullanıcıları için ciddi sorunlara neden olabilir. Geçerli bir neden veya ihtiyaç olmadıkça tüm çıkarılabilir haberleşme ekipmanlarının kullanımını kısıtlanmalıdır. Tüm taşınabilir medya cihazları için güvenlik ve kullanım politikası oluşturulmalı ve kullanıcılar bu konuda düzenli olarak eğitilmelidir. Sosyal medya kullanım politikası oluşturulmalı ve bu kapsamda kişilerin gizli düzeyde veri paylaşmaması ve sosyal medyada iletişim kurmaması sağlanmalıdır. Kurum personelinin görev tanımları ve gereksinimleri dikkate alınarak, organizasyondaki ilgili personelin bilgi güvenliği rolleri, sorumlulukları ve asgari yetenekleri tanımlanmalı ve yazılı hale getirilmelidir. Çalışanların kayıp ekipmanı anında bildirme bilinci arttırılmalıdır. Günümüzde en yaygın siber saldırılardan biri, dağınık hizmet dışı bırakma (DDoS) saldırısıdır. DDoS saldırısı, çevrimiçi uygulamaların veya hizmetlerin çalışmasını engellemek ve sistemin yanıt vermek için tüm bant genişliğini kullanmasını önlemek için tasarlanmış bir ağ saldırısı olarak tanımlanabilir. BP, 2013 yılında günde yaklaşık 50.000 ağ saldırısı denemesi yaşadıklarını, bu durumu Pentagon ve Ulusal Nükleer Güvenlik İdaresi’nin müdahalesi ile önleyebildiklerini belirtmiştir (Deloitte Touche Tohmatsu Limited, n.d.).

Aktif saldırıların temel nedeni, saldırganların önem verdikleri bilgileri elde etmeye çalışmalarıdır. Bir saldırgan keşfedilmeden haberleşme sistemlerine saldırı başlatabilir. Yakın bir zamanda bilgisayar korsanları, ABD’nin nükleer silah stoğunu tutan Ulusal Nükleer Güvenlik İdaresindeki sistemlere erişti (POLITICO et al., 2020).Federal Enerji Düzenleme Komisyonu (FERC), New Mexico ve Washington’daki Sandia ve Los Alamos Ulusal Laboratuvarları, Ulusal Güvenlik Ajansı Güvenli Ulaşım Ofisi ve ABD Enerji Bakanlığı Richland Bölge Ofisi ağlarında şüpheli aktivite tespit edildi. Siber güvenlik uzmanları Federal Enerji Düzenleme Komisyonu’na yapılan bu saldırının, ülkenin toplu elektrik şebekesini kesintiye uğratma çabası olabileceğini belirtmişlerdir (POLITICO et al., 2020). Öte yandan, pasif saldırılar daha fazla bilgi elde etmeyi amaçlamaktadır. Çoğu girişim, aktif ve pasif saldırılar şeklindedir. Bu saldırılar arasında, aktif saldırıların tespit edilmesi daha kolaydır, ancak çoğu saldırı fark edilmez. Pasif saldırıların tespit edilmesi daha zordur. Bu nedenle, pasif bir saldırı tespit etme olasılığı neredeyse sıfırdır.Profesyonel bir iletişim sistemi, başta kamu güvenliği ve sağlık kurumları olmak üzere kurum içi ve / veya kurumlar arası iletişime ihtiyaç duyan kullanıcılara sağlanan bir sistemidir. Haberleşme cihazlarının çalıştırıldığı ortam, beraberinde güvenlik risklerini de getirir. Varlık grupları belirlendikten sonra, bu varlık gruplarının ciddiyeti belirlenmelidir.

Her bir varlık grubunun önemini, işlenen verilerin önemini, gizliliği, bütünlüğü ve erişilebilirliği ve olası güvenlik ihlallerinin etki kapsamını göz önünde bulundurulmalıdır. Mevcut durum analizi ve araştırması, teknik araştırma, konferanslar, otomatik araçlarda durum tespiti ve belge incelemesi kapsamında faaliyetler yürütülebilir. Plan kapsamında ilgili tüm kanun, yönetmelik ve sözleşme gereklilikleri dikkate alındı. Olası güvenlik açıklarını ve risk değerlendirmesini daha iyi anlamak için siber tehditlerin tanımının, saldırının nedeni ve uygulanan saldırı türü ile beraber değerlendirilmesi gerekir. Ağ sistemi güvenliğinin sağlanması, ağ tabanlı sistemlere yönelik mantıksal ve fiziksel tehditler de dahil olmak üzere kuruluşların karşılaştığı güvenlik zorluklarınına karşı katmanlı savunmalar gerektirir.Siber saldırıların başarısının arkasında, ağ zayıflıklarını dikkate almama ve güvenliği sağlamak için kullanılan sistem ve prosedürlerin tekrar tekrar test edilmemesi gibi durumlar gösterilebilir. Afet durumları normal iş operasyonlarını etkileme ve verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atma potansiyeline sahip çeşitli olumsuz durumları beraberinde getirmektedir. Birçok kuruluş, yalnızca saldırı altındayken harekete geçen, reaktif bir yaklaşım benimsemektedir. Yeni bir virüs veya yeni bir saldırı tipi ortaya çıktığında, buna hazırlıklı olmak ve önleyici tedbirler almak yeterli kabul edilirken doğal veya insan kaynaklı afetler dikkate alınmaz.Yapılan planlamalar ve stratejiler bu olayların neden olduğu riskleri azaltsa da, bu riskleri ve neden oldukları olası hasarı tamamen ortadan kaldıramazlar.Bu nedenle, sistemin boyutu ne olursa olsun, sistemin çökmesi durumunda kuruluşun atacağı adımlar dikkatlice planlanmalıdır. Etkili planları önceden formüle edip test ederek, potansiyel hasar ve potansiyel verimlilik kaybı, önemli ölçüde azaltılabilir.Acil bir durumda, kamu telefon şebekesi, artan çağrı hacmi ve / veya ağ tesislerine verilen hasar nedeniyle tıkanarak, ilk müdahale ekiplerinin, ulusal güvenlik ve acil durum hazırlık ve müdahale personelinin aramaları tamamlama becerisini engelleyebilir. Bir krizle başa çıkmanın zorluklarından biri, krizi raporlama ve iletişiminin dahili olarak doğru kanallardan yürütülmesini sağlamak ve söylentilerin, yanlış bilgilerin veya olumsuz tepkilerin müdahalesini önlemektir. Bir krizle başa çıkmanın zorluklarından biri, krizin bildiriminin ve yönetiminin, söylenti, yanlış bilgi veya olumsuz tepkiler işin içine girmeden, doğru kanallar ile dahili olarak iletilmesini sağlamaktır.Bilgi güvenliğindeki en zayıf halkanın insan faktörü olduğu düşünüldüğünde, güvenlik önlemlerinin uygulanmasında ve güvenlik önlemlerinin düzenlenmesinde görev alan personelin belirli yeteneklere sahip olmasını sağlamak önemlidir. Bu çerçevede bilgi güvenliği eğitimi kaynaklar dahilinde planlanmalı ve insanların gelişmesine yardımcı olacak bir ölçüm mekanizması benimsenmelidir. Eğitimin sadece teorik bilgi sağlamaktan çok, personelin ilgili alanlardaki pratik becerilerini geliştirebilecek uygulamaları içermesi önemlidir. Bu durumda planlanan eğitimde bir laboratuvar ortamı sağlanmalı ve katılımcılar öğrendikleri bilgileri bir beceriye dönüştürülmelidir.

Nitelikli personel: Yol haritasını ve denetim faaliyetlerini yürütecek personel, bilgi güvenliği, ağ güvenliği veya kişisel verilerin korunması konusunda temel eğitim almalıdır.

Güvenlik esaslı tasarım: Tasarım aşamasında güvenlik düşünülmeli, güvenlik tasarımı yapılmalıdır.

Mahremiyete dayalı tasarım: Tasarım aşamasında kişisel veri güvenliği göz önünde bulundurulmalı, tasarım aşamasında güvenlik tasarımı yapılmalıdır.

Derinlemesine savunma: İhtiyaçlar göz önünde bulundurularak, varlık güvenliği için birden çok savunma katmanı sağlanmalıdır.

Saldırı yüzeyinin azaltılması: Saldırı yapılabilecek alan en aza indirilmelidir.

Asgari yetki tanımı: Kullanıcılar sadece iş odaklı kullanım için yetkilendirilmelidir.

En zayıf halkayı belirleyin: Araştırma ve tasarımdaki en zayıf halkayı belirlemek ve güçlendirmek için planlar yapılmalıdır.

Güvenlik hedeflerini iş hedefleriyle hizalayın: Güvenlik hedefleri ve iş hedefleri arasındaki koordinasyon sağlanmalıdır.

Yerli ürünler tercih edilmelidir: Gerekli güvenlik gereksinimleri karşılanırsa yerli ve yerli ürünler tercih edilmelidir.

Tekrarlayan işleri ve gereksiz yatırımı önleyin: Tekrarlayan iş ve gereksiz yatırımı önlemek için araştırma yapılmalıdır.

Bilgilendirme: Herhangi bir konu veya iş konusunda, sorumluluklar, öğrenme, kontrol etme, uygulama ve korumadan sorumlu olanlar, yetki seviyelerine ilişkin bilgiye sahip olmalıdır.

Bilgi Teknolojileri Ekibi tarafından gerçekleştirilen faaliyetlerin temel amacı, bilgi sistemlerini yönetmek ve sürdürmektir. SOME’nin (Siber Olaylara Müdahale Ekibi) misyonu, oluşturulmuş siber güvenlik politikasına uygun hareket etmek, gerektiğinde yetkili makamlarla iletişime geçmek ve kayıt yapmaktır. Bu iki görev birbirinden farklıdır ve bu görevleri yapan ekipler arasında “görevler ayrılığı” prensibinin uygulanması ve mevcut personelin yetenekleri de dikkate alınarak farklı personel tarafından tamamlanması tavsiye edilir. Bu prensibin tam olarak gerçekleştirilebilmesi için, bilgi işlem biriminin işlevi ile kurumun SOME işlevinin farklı personel tarafından yerine getirilmesi önemlidir. Kurumda bir güvenlik ihlali olayı meydana gelmemesi veya olmaması durumunda, SOME iç farkındalık faaliyetleri, kuruluş bilgi sistemine yönelik sızma testi ve düzenli denetim kayıtları yapılmalıdır.

İş sürecinde kullanılan ve organizasyonda iş sürecini destekleyen tüm sistemler dikkate alınarak yedeklenmesi gereken sistemler belirlenmeli ve yapılan yedekleme planına göre yedekleme yapılmalıdır.

Yedekleme planı, en azından aşağıdaki başlıkları içerecek şekilde oluşturulmalıdır: 

– Yedek sistem 

– Yedekleme işleminin adı 

– Yedekleme işleminin başlangıç ​​tarihi ve saat bilgileri 

– Yedekleme türü Yedekleme süresi 

– Yedekleme sırasında sürüm kontrolü

Yedekleme planı yılda en az bir kez gözden geçirilmeli ve yedekleme gereksinimleri dikkate alınmalıdır.Bu inceleme kapsamında yüklenmesi gerekmeyen sistemin ilgili departman ile görüşülerek belirlenmesi ve yedekleme işleminden silinmesi gerekmektedir.

6 Temmuz 2019 tarihinde yayınlanan 2019/12 Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi elektronik haberleşme, enerji, su yönetimi, ulaşım, bankacılık ve finans ve sağlık gibi temel altyapı alanlarında kamu hizmetleri sunan tüm kamu kurum ve kuruluşlarını kapsamaktadır. Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından Temmuz 2020’de Bilgi ve İletişim Güvenliği Rehberi yayınlanmıştır. Yayınlanan rehber ile iletişim alanında karşılaşılan riskli durumlar ve alınması gereken önlemler açıklanmıştır (Türkiye Cumhuriyeti Dijital Dönüşüm Ofisi, 2020). Bilgi güvenliği risklerini azaltmak, ortadan kaldırmak ve özellikle gizliliği bütünlüğü açısından ulusal güvenliği tehdit edebilecek veya kamu düzenini bozabilecek anahtar bilgi, verilerin güvenliğini sağlamak için asgari güvenlik önlemlerini belirlemektir.

Bir ihlal veya arıza meydana gelirse, bunun nasıl çözüleceğini belirlemek önemlidir. Kontrol eksikliğinden dolayı organizasyonun sistemlerinde, süreçlerinde, stratejilerinde veya teknolojilerinde herhangi bir hata olup olmadığı bilinmelidir. Hangi iletişim aracı kullanılırsa kullanılsın, acil durum iletişimi açık olduğundan ve özel ve yeterli bilgi içerdiğinden, diğer dağıtılmış bilgilerle senkronize edilebilir Topluluğun tamamının onu kullanabilmesi ve erişebilmesi sağlanmalıdır. Olası siber güvenlik olayları maddi ve manevi kayıplara neden olabilir. Bu tür bir zararı büyük ölçüde önlemek için ilgili tüm taraflar sorumludur. Bilgi, bir organizasyonun iş sürekliliğini sağlamak için en önemli değerlerinden biridir. Birçok varlığın kaybı telafi edilmesine rağmen, kayıp bilginin parasal olarak bir karşılığı yoktur.

Ceyhan Molla tarafından

Management Information Systems (MIS) MSc

Yorum Gönderin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir