Fidye yazılımlarına karşı vereceğiniz tepki risk düzeyinize ve verilerinizi tekrardan ne kadar zararla ele geçirmenize yönelik isteğinize bağlı.
Veri fidyeciliği adam kaçırma ile eşdeğer sayılabilecek ve çatıdan kendini bırakmak üzere olan bir intihar girişimcisiyle uzlaşmaya benzer diyalogların yaşandığı bir olaydır. Institute for Critical Infrastracture Technology tarafından yayınlanan son rapor verinizin rehin alındığı durumlarda korsanlarla ne şekilde uzlaşılması gerektiğine dair detaylar içeriyor. Yayınlanan raporda veri ihlali yaşandıktan sonra neler yapılması gerektiğine dair detayları bulabilmek mümkün.
ICIT’e göre doğru tepki verilmesi organizasyonun risk toleransına, rehin alınan verilerin potansiyel etkisine, kurumsal sürdürülebilirlikteki yerine, sistemlerin işlevlerini devralabilecek bir sistemin varlığına ve yasal gereksinimlere bağlı.
Seçenek 1: Hızlı bir şekilde tepki vermek
Bilgi güvenliği ekibinin veri fidyeciliği ile ilgili herhangi bir olay yaşandığında takip edilecek prosedürle ilgili bir planlama yapması gerekir. Veri ihlali gerçekleştikten sonraki aşamada yetkililerin bilgilendirilmesi ve ilgili yasal mercilere başvurulması ile sürece başlanmalıdır. Plan kapsamında veri ihlallerinde RTO (recovery time objective – geri kazanım zaman hedefi) ve RPO (recovery paint objective – geri kazanım noktası hedefi) belirlenmelidir. Yedeklerin olduğu olaylarda saldırıya ait sanal deliller ilgili yasal mercilere ulaştırılmak üzere belgelendirilmelidir.
İhlalin yaşandığı sistemlerde mevcut sistemlerin yerini alabilecek sistemler yoksa veya ikincil sistemlerin varlığı söz konusu değilse bilgi güvenliği ekibinin bir sağlayıcı çözümü veya şifre çözme aracı geliştirmesi gerekir.
Seçenek 2: Bilgi güvenliği olmadan bir çözüm geliştirmek
Pek çok veri fidyeciliği saldırısında dosyalar kısmen veya tamamen şifrelenmiş olabilir. Hatta sağlayıcı çözümünün basit olarak uygulanabildiği bir çözüm olması durumunda dahi sistemde aktif olmayan bir başka yazılım, sisteme sızılabilecek nokta ve farklı bir kötü amaçlı yazılım olabileceğini söylemek mümkün. Veri ihlali genellikle insan hatası (örneğin, virüs içeren e-postayı okumak) veya daha önceki saldırılar nedeniyle meydana gelir. Eğitim ve farkındalık konusunda imkanlar sağlanmadan veya kapsamlı bir sistem yönetimi olmadan veri ihlalinin tekrar tekrar yaşanabilmesini önlemek mümkün olmayabilir.
Seçenek 3: Veri kurtarmaya yönelik girişimlerde bulunmak
Sistem yedeklemesi ve geri yüklemesi veri fidyeciliği saldırılarının etkilerini ortadan kaldırmak için geçerli olan tek çözümdür. Eğer bir yedekleme sisteminiz varsa kayıtlı olan noktayı sisteminize yüklemek veri fidyeciliği saldırıları için tercih edilebilecek en kolay yöntemdir. Eğer yedek sisteminiz yokuş kurtarma yazılım araçlarıyla gölge kopyaları kurtarmayı deneme seçeceğini değerlendirebilirsiniz. Ancak pek çok veri fidyeciliği saldırısında gölge kopyaların algılayabilmesi ve algılanan gölge kopyaların silinmesi mümkündür. Yaşanan ihlallerde kayıt defterinin hasar görmüş olmasından dolayı sistem yüklemenin yapılacağı tarihteki yedek saldırıdan etkilenmemiş olsa dahi verilerinizi olduğu gibi kurtaramayabilirsiniz.
Seçenek 4: Hiçbir şey yapmamak
Bilgi güvenliği ekibi ve sağlayıcı çözümü olarak fidye ödemek ya da sistem ve veri kayıplarının yaşandığını kabul etme yönündeki seçenekler oldukça sınırlıdır. Eğer sistemin yedeği varsa ve yedek güvenilir bir durumdaysa ihlalin kurbanı olan şirketin fidye talebini reddetmesi ve yedeğe göre sistem geri yüklemesini gerçekleştirmesi muhtemeldir. Fakat sistemin yedeği yoksa ve korsan tarafından istenilen fidye sistemin maliyetini aşıyorsa yeni bir sistem kurulması ve ihlale kurban giden sistemin tamamen ortadan kaldırılması alternatifi değerlendirilebilir.
Seçenek 5: Fidyeyi ödemek
Saldırganın şifrenin çözülmesiyle ilgili detaylara sahip olması halinde organizasyon genelinde fidyenin ödenmesi yönünde bir baskı söz konusu olabilir. Bazı saldırganlar fidyenin ödenmesi halinde daha sonraki saldırılarda fidyenin ödenmesiyle ilgili yaklaşımları olumsuz etkilememek adına sistemi serbest bırakabilmektedir. Meşru bir şekilde fidyenin ödenmesinin düşünülmesi yapılması gereken şey internet üzerinde şifrelenmiş dosyaların tekrar eski haline getirilip getirilmeyeceğinin araştırılması gerekir.
Bazı saldırganların güven konusundaki ikilemin farkında olduğunu söylemek mümkün. Saldırganların dosyalardaki şifrelemenin kaldırılmaması halinde hiçbir zaman fidye alamayacaklarını bildikleri söylenebilir. Bu kapsamda CTBLocker (Trojan Cryptolocker.G) gibi iyi niyetin göstergesi olarak kısmen dosya şifrelemesinin kaldırabildiği farklı saldırı seçeneklerinin varlığını göz ardı etmemek gerekiyor. Diğer taraftan bir kez fidye ödendiği zaman saldırganların tekrar fidye istemek için saldırılarını güçlendirebileceği ihtimalini göz ardı etmemek gerekiyor.
Seçenek 6: Hibrit çözümler geliştirmek
Fidye miktarının multi milyon dolarlık şirketler için 300 dolar gibi düşük bir meblağ olması halinde uzlaşmacı bir yaklaşım tercih edilebilir. Uzlaşmacı yaklaşım kapsamında sisteme acil müdahalelerde bulunmak ve sistem geri yüklemesini gerçekleştirmek için sürekli olarak fidye ödenmesine yönelik irtibat kurulması yönünde çaba gösterilebilir.
Organizasyon için sistemin erişilemez olması fidye ödemekten daha vasat sonuçlar ortaya çıkarması halinde çözüm odaklı yaklaşımla sistemin ne pahasına olursa olsun erişilebilir kalması sağlanabilir. Kullanılan kaynakların ve organizasyona etkinin en aza indirilmesi için çözüm odaklı yaklaşımların eğitimli ve hazırlanmış bir bilgi güvenliği ekibi tarafından yapılmalıdır.
Sonuç
Farkındalığın olduğu sanal güvenlik odaklı kurumsal kültüre sahip bir şirkette güvenlikle mücadele etmenin en etkin yolu saldırıları en aza indirmektir. Şirket genelinde güvenlik stratejisi oluştururken ana hedefi proaktif kurumsal bilgi güvenliği yönetimini sağlayacak bir bilgi güvenliği ekibi oluşturmak atılması gereken ilk adım olmalıdır. Bilgi güvenliği ekibinin en önemli faaliyetleri şunlar olmalıdır: hızlı bir şekilde şirketin veri güvenliği bakımından zayıf yönlerini tespit etmek, bilinen tüm tehditler karşısında uygulanabilecek bir kriz yönetimi stratejisi belirlemek, sürekli olarak cihaz ve uygulama güncellemelerini gerçekleştirmek, üçüncü parti sağlayıcıları ve sözleşmeleri izlemek, organizasyon içerisindeki güvenlik anlayışını izlemek ve güvenlik odaklı teknolojik güncelleştirmeden desteklemek.
