Geçtiğimiz yıl yaşanan ihlallerden sonra neler öğrendik ve önümüzdeki yıl kendimizi daha iyi korumak adına hangi önlemler alınması gerekiyor?
Veri ihlali bir IT yöneticisinin karşılaşabileceği en büyük krizlerden birisidir. Ve veri ihlali yaşandığında ortaya çıkan tablo acil bir durumdur. İhlal sonrasındaki süreç el birliğiyle zorluğu aşma süreci olarak gelişir. Kara dumanlar dağıldıktan sonra yaşadığınız tecrübeden neler çıkarmanız gerektiğini belirleme zamanınız gelmiş demektir. Organizasyonunuz 2015 yılında veri ihlali kurbanı olmamış olabilir. Fakat hacker gruplarının, siber suçluların ve diğerlerinin dikkatlerini sizin işinize yöneltmeyeceğinin hiçbir garantisi olmadığını siz de biliyorsunuz.
Rakamlarla 2015
ITRC (Indetity Theft Resource Center – Kimlik Hırsızlığı Araştırma Merkezi) verilerine göre organizasyonlar 2015 yılında dünya genelinde 700’ün üzerinde veri ihlali ile karşılaştı. Tüm sektörleri kapsayan ve pek çok farklı sektöre ait kayıtların yer aldığı ITRC raporlarına göre 2015 yılında veri ihlali ile ilgili ortaya çıkan rakamlar şu şekilde:
- 781: 2015 yılında raporlanan toplam veri ihlali (2014 yılındaki 783 veri ihlaline göre çok az bir düşüş söz konusu)
- 312: Farklı şirket kategorilerinde yaşanan veri ihlali
- 277: Tıp ve sağlık hizmetleri alanında yaşanan veri ihlali (Raporlanan veri ihlallerinin yüzde 35’i)
ITRC raporlarından çıkarılabilecek bazı temel sonuçlar olduğunu söylemek mümkün. Çıkarılabilecek sonuçlardan ilki yapılan saldırıların hala aynı seyri (organizasyonların yaşanılan ihlalleri raporlamama konusundaki yaklaşımının göz ardı ederek) koruyor olması. İkincisi ise sağlık sektörünün son yıllarda saldırıların hedef alındığı en önemli kategorilerden birisi olarak ön plana çıkması.
Sağlık sektöründeki tehditlere karşı koyabilecek güvenlik önlemlerinin arttırılması
Sağlık hizmetleri alanında çalışan organizasyonlar 2015 yılında üst düzey nitelikteki saldırıların hedefi oldu. Sağlık ile ilgili bilgiler, sağlık harcamaları, adres, doğum tarihi gibi son derece hassas bilgileri kayıt altında tutan sağlık kuruluşları saldırıların en büyük hedeflerden birisi olarak ön plana çıkmaktadır. Sağlık bilgilerinin ele geçirilmesi sonrasında dolandırıcılık kötü senaryolardan sadece birisi iken güven kaybı, saygınlığın kaybedilmesi ve bilinmesi istenmeyen verilerin yitirilmesi ihlaller sonrasında ortaya çıkabilecek sorunlar arasında yer alıyor.
Yeni tehditleri anlamak ve üyeleri desteklemek adına çalışmalar yürüten, IT sektöründe siber güvenlik sertifikasyonu ve profesyonel gelişim programlarıyla bilinen uluslararası siber güvenlik uzmanlığı kuruluşu ISACA’nın başkanı Christos Dimitriadis, sağlık sektöründe veri ihlali ile ilgili problemlerin yönetim kurulu düzeyinde kabul edildiğini gördüklerini söylüyor.
Dimitriadis, ABD ve Avrupa’nın saldırılara karşı koyabilmek adına siber güvenlik politikalarını sürekli geliştirdiklerine belirterek kişisel bilgi gizliliğine ilgilinin artmasının sağlık sektörünü daha fazla destekleyeceğine dikkat çekiyor.
2015 yılında ABD nüfusunun önemli bir kısmına hizmet veren büyük sağlık kuruluşları hedef alındı.
- Kaliforniya Üniversitesi Sağlık Sistemi. Milyonlarca hastanın kişisel bilgileri çalındı. Maalesef çalınan veriler şifrelenmemiş olduğundan dolayı dolandırıcılık ve sahtekarlık için rahatlıkla kullanılabilecek formatta bulunması saldırının vasat sonuçlar ortaya çıkarabileceği gerçeğini ortaya çıkardı. Yaşanan veri ihlalini 2015 yılının Temmuz ayında duyuran Kaliforniya Üniversite, şüphe çekebilecek ilk girişimlerin 2014 yılının Eylül ayında gerçekleştiğini tespit etti. İhlalden etkilenen kişilere kimlik koruma hizmeti sunuldu ve yaşanılan ihlali bir suç olarak tanımladı.
- Toplum Sağlık Sistemleri. ABD’de 200’ün üzerinde hastanenin dahil olduğu Toplum Sağlık Sistemi, 2015 yılında 4.5 milyon hastaya ait verilerin yaşanılan ihlal sonrasında ele geçirilmiş olabileceğini duyurdu ve ele geçirilen bilgilerin isim, adres ve sosyal güvenlik numarası olduğu belirtildi.
Siber güvenlik olaylarının altı ay veya daha uzun süre belirlenememesi konusunda artan bir eğilim gördüklerini söyleyen Dimitriadis, uzun süren güvenlik ihlalleri ile kötü amaçlı kişilerin daha sabırlı ve daha sofistike şekilde saldırılarını gerçekleştirdikleri bir karakterle ön plana çıktıklarını vurguluyor.
Güvenlik sağlayıcıları her daim güvenilir çözümler sunabilmesi ve saldırganlarla baş edebilmesi bakımından baskı altındadır. 2015 yılında güvenlik şirketleri ve askeri kuruluşlar veri ihlalinden nasibini alan organizasyonlar olarak kayıtlara geçti. Güvenlik konusunda kendine güvenen her organizasyon her tür veri ihlali için net bir hedef durumundadır.
2015 yılının Haziran ayında Rusya merkezli siber güvenlik şirketi Kaspersky Lab, hacker gruplarının saldırısına uğradığını duyurdu. Kötü amaçlı kişiler tarafından bugüne kadar başvurulmayan bazı yeni tekniklerin uygulandığını belirten Kaspersky, Microsoft yazılımında yer alan ve daha önemlisi IT çalışanlarının son kullanıcı makinelerine güncelleme kurmasını sağlamak üzere geliştirilen saldırıyla ihlalin büyük ölçüde gerçekleştiğini dile getirdi.
Kaspersky Lab saldırısından elde edilen önemli sonuçlar:
- Farklı hükümetlerin destek şüphesi. Kaspersky, karmaşıklığı ve sahip olduğu altyapı nedeniyle gerçekleştirilen saldırının ismi belirli olmayan bir hükümet tarafından gerçekleştirilmiş olabileceğini belirtiyor.
- Siber güvenlik altyapısının hedef alınması. Şirketin kurucusu ve CEO’su Eugene Kaspersky’e göre işletim sistemlerinin korunmasını sağlayan ve dolandırıcılığı önleyen altyapıya sahip ürünler hedef alınmış olabilir.
- İhlalin duyurulması. Eugene Kaspersky yaşanılan veri ihlalinin Microsoft gibi diğer şirketi etkilememesi ve hukuki yaptırım ajanslarına iletilmesi adına duyurulduğunu belirtti. Yaşanılan ihlalde herhangi bir müşteri verisinin ihlale kurban gitmediği ve şirket ürünlerinin saldırıdan etkilenmediği kaydedildi.
Karmaşık düzenlemelerden etkilenen güvenlik önlemleri
Geçtiğimiz 10 yıl içerisinde IT yöneticileri maliyetleri düşürmek ve esneklik sağlamak adına dış kaynaklı çözümleri ve sağlayıcıları kullanmayı tercih etti. Fakat bu uygulamalar beraberinde güvenlik risklerini getirdi. Nitekim, ARNG (U.S. Army National Guards) 2015 yılında sistemdeki 868 bin kişiye ait bilgilerin (isimler, sosyal güvenlik numaraları, adresler, doğum tarihi ve ödenecek miktar gibi) sağlayıcılardan birisi tarafından dış ortama aktarılması esnasında ilgili veri ihlali yaşayan kuruluşlar arasında yer aldı.
U.S Army National Guard yetkililerinden olan Binbaşı Jamie Davis, özel bilgilerin hükümetin çalıştığı kuruluşlardan birisi tarafından farklı federal programlar için bütçe analizi gerçekleştirilmek için kullanılmak üzere aktarımının yapıldığını belirtiyor.
Yaşanılan veri ihlali sonrasında askeri kuruluşların konu ile ilgili bilgilendirilmesi alınan önlemlerin ilk aşaması olarak ön plana çıkıyor. Alınan diğer önlemler arasında veri ihlali konusunda bilgilendirme yapılması ve muhtemel bir kimlik hırsızlığını önlemek amacıyla çağrı merkezi kurulması gibi detaylar yer alıyor. ARNG tarafından alınan önlemler veri ihlali sonrasında alınabilecek proaktif önlemler, ortaya çıkabilecek zararı en aza indirebileceğine dair işaretler veriyor.
2016 yılında siber güvenliği arttırmak
2016 yılında, IT yöneticilerinin güvenliği arttırmak adına tercih edebileceği birkaç farklı seçenek bulunuyor. Organizasyon tarafından yapılabilecek olan iyileştirmelere ait özellikler büyük oranda organizasyon kaynaklarının nitelikleri ve mevcut güvenlik altyapısıyla ilgili olma vasıfları taşıyor. Dimitriadis, IT yöneticilerine siber güvenliği arttırmak konusunda şunları tavsiye ediyor:
- Organizasyon içerisindeki engeller. Temel güvenlik konuları ve çalışanlar tarafından ortaya koyulan kötü niyetli davranışlar hala güvenlik risklerinin önemli bir bölümünü oluşturuyor. Bu tehditlerin eğitim programları doğrultusunda en aza indirilebilmesi mümkün.
- Yeni teknolojilerin kullanılması. Hizmet olarak güvenlik gibi yeni teknolojilerin sunuluyor olması organizasyon dahilindeki güvenlik departmanları için önemli desteklerden birisi olarak ön plana çıkıyor. 2009 yılında bulut üzerinden sunulan hizmet olarak güvenlik seçeneklerine odaklanmak üzere kurulan Cloud Security Alliance topluluğu bu konuda çalışan önemli başlıklar arasında yer alıyor.
- Sosyal mühendislik tehditlerine karşı mücadele etmek. Sosyal mühendislik tehditlerine karşı mücadele etmek adına şüpheli e-posta ve web bağlantılarını önleyecek teknolojiler bulunuyor. Ancak bu konuda gerekli eğitimin verilmesinin en temel detaylar arasında yer aldığını göz ardı etmemek gerekiyor. Örneğin, üst düzey yönetici olarak sizi arayan veya size e-posta gönderen herhangi birisinin hassas bir bilgiyi talep etmesi sosyal mühendislik konusunda bir girişim olabileceğini düşünerek görüşmenin ofis telefonunuz üzerinden yapılmasını istemeniz ve bu durumu bilgi paylaşımı yapmadan önce diğer bir şirket yöneticisi ile doğrulamanız önem taşıyor.