1. Araştırmanın Konu ve Amacı
Mart 2021’de Dijital, Kültür, Medya ve Spor Dairesi (DCMS), Ulusal Siber Güvenlik Programının bir parçası olarak Birleşik Krallık işletmeleri, hayır kurumları ve eğitim kurumlarının Siber Güvenlik İhlalleri Anketi ele alınarak hazırlanmış olan raporun çevirisi yapılmış olup çeşitli ölçeklerdeki kuruluşların yaşamış oldukları siber saldırılar ve süreç değerlendirilmiştir. Raporun amacı;
Bir ihlalden önce mevcut siber güvenlik düzeyini anlamak
Kuruluşun maruz kaldığı siber saldırının türünü belirlemek
İşletmelerin ve kuruluşların bir ihlalin hemen, orta ve uzun vadede nasıl hareket ettiğini anlamak
İşletme veya kuruluşlar üzerindeki etkileri derhal ve geleceğe yönelik araştırmak
Bir siber ihlalin ardından siber güvenlik düzenlemeleri nasıl değiştiğini anlamak
şeklindedir.
2. Önemli Bulgular
Saha çalışması 23 Şubat – 21 Mart 2022 döneminde gerçekleştirilmiştir. Microsoft Teams aracılığıyla, aralarında son üç yılda çeşitli türlerde siber güvenlik ihlali yaşayan on kuruluştaki çalışanlarla görüşmeler yapıldı. İhlalin ayrıntılı ve kapsamlı bir resmini oluşturmak için her kuruluşta en az iki çalışanla görüşmeler yapıldı. Görüşmeler, genellikle, ihlalle ilgilenen bir IT veya siber güvenlik rolündeki biriyle ve bundan doğrudan etkilenen başka bir personel üyesiyle gerçekleştirildi. Konunun hassas olması nedeniyle görüşmeler ayrı ayrı yapılmıştır. Çalışmaya katılan kuruluşlar, son dört yıl içinde ciddi bir siber güvenlik saldırısına maruz kaldı. Kuruluşlar ölçek, IT kaynak düzeyi, saldırıdan önce uygulanan siber güvenlik önlemleri ve saldırıya tepkileri açısından büyük farklılıklar gösterdiğinden, aralarındaki benzerlikler büyük ölçüde sona ermektedir.
Çoğu durumda çalışmadaki kuruluşlar, genellikle dış tedarikçilerin desteğinden yararlanarak nedeni belirleyebildi ve “zayıflığı” düzeltebildi. Benzer şekilde, çalışmadaki çok az kuruluş, ihlalin ardından resmi bir “alınan dersler” süreci uyguladı. Buna rağmen, çoğu katılımcı, siber güvenlik teknolojilerinin, politikalarının veya personel eğitimlerinin güçlendirilmiş yönlerinin ardından, şimdi saldırı öncesine göre daha iyi korunduklarını hissettiler.
3. İngiliz Hükümetinin Siber Saldırı Açısından Rolü
Katılımcılar, Ulusal Siber Güvenlik Merkezi (NCSC) veya diğer kuruluşlarla çalışma deneyimlerinin, Devlet kurumlarından aldıkları bilgilerin veya Genel Veri Koruma Düzenlemelerinin (GDPR) siber güvenlik ve siber suçlarla mücadele noktasında etkili çözümler sunduğunu belirttiler.
Hükümetin kuruluşların karşı karşıya kaldığı büyüyen siber güvenlik sorunlarını çözmek için başka neler yapması gerektiği sorulduğunda, araştırmaya katılan görüşmecilerin yaklaşık yarısı, öncelikle farkındalığı artırmaya ve eğitime odaklanması gerektiğini düşündü.
Bazı katılımcılar, ‘tüketiciler zarar görmeye devam ettiğinden’ ve ‘insanların tehlikeye atılmasını durdurmaları’ gerektiğinden, hükümetin odak noktasının şirketler yerine genel halk arasında farkındalık yaratmak olması gerektiğini savundular.
Bununla birlikte, katılımcıların küçük bir kısmı, hükümetin siber güvenliğin iyileştirilmesi yönünde daha fazla müdahalesine gerek olmadığını düşündü. Sebep olarak; insanların siber güvenlik hakkında kayıtsız olduğunu ve hükümetin şirketleri siber güvenlik konusunda bilgilendirecek yeterli kaynağı olmadığını sundular.
Görüşülen bazı kişiler, caydırıcı bir yöntem olarak siber suçlar için daha sert cezalar önererek ve bu saldırıların bazılarının arkasında yabancı devletlerin olduğunu kabul ederek hükümetin siber güvenliği ‘daha ciddiye alması’ gerektiğini iddia etti.
Son olarak, bu araştırmaya katılan yirmi kişiden ikisi siber güvenliğin işbirliği için önemli olmasından ötürü daha bölgesel tabanlı siber farkındalık eğitimi talep ederken, bir diğeri hükümetten ‘akademisyenleri, devleti ve iş dünyasını bir araya getirmek için daha fazlasını yapmasını istedi.
4. Örnek Olaylar
1.Olay
Ön bilgi
10’dan az çalışanı olan özel sektör kuruluşu. Genel Müdür ve Finans Direktörü ile yapılan görüşmeler ele alınmıştır.
Ocak 2022’de kuruluş, internet ve İnternet Üzerinden Ses Protokolü (VoIP) hizmetlerini üç gün boyunca kesintiye uğratan bir DDoS saldırısına uğradı.
İhlal Öncesi Siber Güvenlik Seviyesi
Kuruluşun küçük boyutu göz önüne alındığında, Genel Müdür kendilerini ağ yönetimi, sunucular ve IT altyapısı dahil olmak üzere “her şeyden sorumlu” olarak nitelendirdi.
Genel Müdür, siber saldırıdan önce kuruluşun benzer büyüklükteki ortalama bir şirketten daha iyi korunduğunu savundu. Kendi deyimiyle, ‘aslında bizden on kat büyük şirketlerle de çalışıyorum ve siber güvenlik için yapılan harcamaları bir şey değil, bu konuda kafalarını kuma gömüyorlar’ dedi.
Kurum, ihlalden önce siber saldırı tehdidinin bilincinde olduklarını bildirdi. Ayrıca internet servis sağlayıcılarından siber güvenlik hizmetleri almışlar ve tüm dizüstü, masaüstü ve telefonlara antivirüs yazılımı yüklemişlerdi.
İhlal ve Kurumun Hızlı Yanıtı
Kuruluş, 2018’den bu yana dört DDoS saldırısı yaşadı. İlk üçü Ağustos ve Kasım 2021 arasında gerçekleşirken, dördüncü ve en etkili saldırı 21 Ocak 2022’de saat 16:09’da gerçekleşti. Bu, kuruluşun internet erişimini “sıkışan” ve aynı zamanda “çekirdek yönlendiricisine” yapılan bir saldırıydı. Üçüncü bir tarafça işletilen VoIP internet telefonlarını devre dışı bıraktı.
Saat 15:00 civarında, çalışanlar sistemlerinin “özellikle e-postalar olmak üzere” giderek yavaşladığını fark ettiler. Finans Direktörü ayrıca, müşterilerden gelen normalden çok daha az siparişle alışılmadık bir şekilde sessiz olduğunu tespit etti. Genel Müdür bu konuda uyarıldı ve sistemlerini hemen yeniden başlattı. Bunu takiben Genel Müdür, ‘internet normal şekilde geri geldi ama sonra tekrar yavaşladı ve daha fazla kontrol ettiğimde gelen trafiğimizin ölçeğin dışında olduğu ortaya çıktı’ dedi.
Genel Müdür, IP’lerinin bir DDoS saldırısı tarafından hedef alındığını bildiren internet servis sağlayıcısı ile temasa geçti. İnternet servis sağlayıcısı o öğleden sonra IP adresini değiştirdi ve bu hamle saldırıya ‘acil bir çözüm’ oldu. Genel Müdür daha sonra kuruluşun Alan Adı Sistemi (DNS) ayarlarını yeniden yapılandırmak ve değiştirmek zorunda kaldı. ‘Her şeyin düzgün çalışması 72 saat sürdü, ancak bu süre zarfında posta sunucularımıza uzaktan kaynaklı oldukları için erişebildik bu nedenle süreç bizim için sıkıntılı geçmedi’ dedi. IP adresleri değiştiği için VoIP’lerini bozuldu. Sonuç olarak, üç gün boyunca kesintili telefon hizmeti yaşadılar.
Kuruluş Üzerindeki Etkisi
Genel Müdür, bunun bazı satış kayıplarına yol açtığını, ancak bunun organizasyon üzerinde büyük bir mali etki yaratamayacak kadar kısa süreli bir saldırı olduğunu düşündüğünü söyledi. Buna karşılık Finans Direktörü daha az iyimserdi ve ölçeği tahmin edememelerine rağmen gelir üzerinde anlamlı bir etkisi olduğunu belirtti.
Kuruluş ayrıca, birincil satış kanallarında, çoğunlukla ürünlerin ertelendiğini söyleyen olumsuz müşteri geri bildirimleri yaşadı. Finans Direktörü, ‘eBay söz konusu olduğunda ürünleri aynı gün göndermeye devam etmeniz gerekiyor… ama bilgisayarlara erişimimiz olmadığı için süreci takip edemedik, bu yüzden çok fazla şikayet aldık sonuç olarak, eBay derecelendirmeleri genellikle beş yıldızlı incelemeler alıyoruz, ancak sonuç olarak biraz düştü’ şeklinde olumsuz sonucu dile getirdi.
Finans Direktörü ise müşteri şikayetleriyle uğraşırken aynı zamanda onların ‘sınırlı IT bilgim göz önüne alındığında yanlış bir şey yaptıklarından endişe ettiğim “zorlu bir dönemdi’ ve sorunun bilgim olduğunu sanıyordum.’ dedi.
Genel Müdür ayrıca, saldırının ne kadar süreceğini bilmedikleri için bu deneyimi “oldukça stresli” buldu. Bununla birlikte, geriye dönüp bakıldığında, ‘genel bir saldırıydı, hedef alınmadık. Daha kötüsü olabilirdi. Bununla birlikte, Genel Müdür ve diğer çalışanları siber güvenlik konusunda daha bilinçli hale getirdi.’ dedi.
Siber Saldırı, Siber Güvenlik Düzenlemelerini Nasıl Değiştirdi?
Kuruluş kısa süre önce 400 sterline yeni bir güvenlik duvarı satın aldı ve bu güvenlik duvarı, “diğer şeylerin yanı sıra kullanır kullanılmaz IP adreslerini engelleyecektir” dendi. Genel Müdür ayrıca, “garip görünen e-postaları” açmadan önce tüm çalışanların kendilerine gitmesi gereken “resmi olmayan bir politika” benimsemiştir.
Bunun dışında kurum, siber güvenlik eğitimi, donanımı veya yazılımına daha fazla yatırım yapmak için fonları olmadığı için başka bir işlem yapmadı. Mali Direktör, ‘teknik kurulum söz konusu olduğunda, buna binler harcayabilecek bir şirket değiliz’ dedi.
2.Olay
Ön Bilgi
Şirket 10-49 çalışanı olan özel sektör kuruluşudur. Konu ile ilgili Genel Müdür ve Bilgi İşlem Müdürü ile görüşmeler yapıldı.
Ağustos 2021’de kuruluş, bir e-posta kimlik avı saldırısına uğradı. Bilinmeyen aktör, Microsoft 365 yönetici hesabının kontrolünü ele geçirmeyi başardı ve bunu, Kötü Amaçlı Yazılım içeren kimlik avı e-postalarını kuruluşun çoğu harici müşterisine ve ilgilisine göndermek için kullandı.
İhlal Öncesi Siber Güvenlik Seviyesi
İhlalden önce, finansal ve kaynak sağlama kısıtlamaları nedeniyle, güvenlik dahil olmak üzere kuruluşun IT işlevlerinin çoğu, aynı yerde bulunan yerel bir sağlayıcıdan dış kaynak kullanımıyla sağlanıyordu. Genel Müdür’e göre, işletmenin üst yönetimi, ‘o zaman sağlayıcımızın her şeyi kapsadığını ve su geçirmez olduğumuzu düşündük’ olarak, siber ihlal olasılığını hesaba katmadıklarını belirtti. Bununla birlikte, geriye dönüp baktıklarında “habersiz” oldukları kanaatine vardılar.
IT Müdürü ayrıca üst yönetimin, potansiyel siber tehditlerden büyük ölçüde habersiz ve genel olarak IT hakkında çok az ilgi veya bilgi sahibi olduklarını bir başka deyişle “ne olup bittiğinin gerçekten farkında olmayan” olarak nitelendirdi ve personelin genel olarak özellikle “bilgisayar okuryazarı” olmadığını belirtti. Buna rağmen, IT yöneticisi bulut tabanlı olduğu için korumanın oldukça iyi olmasını beklediğinin altını çizdi ve dış sağlayıcılarına güvendikleri için kurulumdan “oldukça mutluydu”.
İşletmenin resmi siber güvenlik süreçleri veya personel eğitimi hiç yoktu ve siber beklenmedik durum veya acil durum planlama prosedürleri olmadığı ortaya çıktı. IT yöneticisinin sözleriyle, ‘Binanın alev alması durumunda sistemin bulut yedeklerini aldık… Bu tür fiziksel saldırıların siber saldırılara nazaran daha çok karşılaşılacağını düşünüyordum.’ dedi.
İhlal ve Kurumun Hızlı Yanıtı
İhlal, Genel Müdür’ün Ağustos 2021’de Salı öğleden sonra bir müşteriye faturayı e-postayla göndermesinden sonra ortaya çıktı. Ertesi sabah bu müşteriyle yapılan görüşmede, e-postanın ele geçirildiği ve faturadaki banka ayrıntılarının değiştirildiği ortaya çıktı. Sonuç olarak, müşteri farkında olmadan bilinmeyen bir banka hesabına para aktarmıştı. (Bu fonlar müşterinin bankası tarafından derhal alındı.)
Bilgi sahibi olduktan sonra, IT Yöneticisi hemen IT destek şirketiyle iletişime geçti ve yanıt vermemelerinden dolayı hayal kırıklığına uğradığını belirtti. ‘Bize geri dönmeleri oldukça uzun sürdü. Yaklaşık iki veya üç saat oldu. Bu arada kuruluş, Microsoft 365 kontrol merkezine erişti ve güvenliğinin ihlal edildiğini fark etti. IT sağlayıcısı daha sonra müdahale etti ve birkaç saat sonra her şeyin düzenlendiğini söyledi’ dedi.
Ertesi sabah (Perşembe) IT Yöneticisi 365 kontrol merkezine tekrar erişti ve ‘yalnızca bir 365 yönetici hesabımız olması gerekirken her şeyin değiştiğini, “iki veya üç tane olduğunu” fark ettiklerini söyledi. IT sağlayıcısı bunu araştırdı ve aktörün tekrar içeride olduğunu söyledi. Kısa süre sonra, aktörün hesabı “tüm müşterilerimize bir kimlik avı e-postası göndermek için” kullandığını fark ettiler. Bu, birkaç bin e-postaydı, ardından git gide büyüdü’ dedi. E-posta, PowerPoint eki biçiminde kötü amaçlı yazılım içeriyordu. IT sağlayıcısı sonunda saldırganı kapatmayı ve 365 hesabını güvenceye almayı başardı.
Perşembe günü, kimlik avı e-postalarından haberdar olur olmaz Genel Müdür, müşterilere e-postaları açmamalarını söyleyebilmeleri için tüm personeli konuyla ilgili uyardı. Bundan kısa bir süre sonra, IT sağlayıcısı tüm müşterilere ‘önceki e-postamızı açmayın’ mesajıyla e-posta gönderdi.
O gün, Genel Müdür ve Finans Direktörü de etkilenmiş olabileceklerini düşünerek banka ve finans kurumlarını ihlalden haberdar etti. Bununla birlikte, ‘bazılarının e-postayı durdurmak için sistemleri vardı ve aslında kötü amaçlı yazılım olarak işaretleyerek bize geri gönderdi’. Ayrıca, Genel Müdür ve ekibi “çok sayıda” müşteriyle konuşmak zorunda kaldı.
Saldırganın kimliği hiçbir zaman belirlenemedi, ancak kuruluş, IT sağlayıcısının yardımıyla ihlalin nedenini hızla belirleyebildi. GM’ye göre, ‘eski IT sağlayıcımızın bir e-postada bir ağ geçidi şifresi gönderdiği ortaya çıktı, bu saldırıya uğradı ve bize sızılmasına izin verdi… Asla gönderilmemeliydi.’ dedi.
Ayrıca, IT yöneticisi saldırının olduğu haftanın Perşembe ve Cuma günleri daha fazla güvenlik açığı tespit etti. Microsoft 365’i okuduktan sonra, ‘sağlayıcımız tarafından pek çok şeyin doğru şekilde ayarlanmadığını gördük, ancak sağlayıcımızla iletişime geçtiğimde özür dilemediler… beni teknik konuşmalarla kandırmaya çalıştılar’. dedi.
Kuruluş Üzerindeki Etkisi
Kuruluş, saldırının finansal maliyetini ölçmedi ancak personelin “telefonlara cevap vermesi ve kimlik avı e-postasını açmamak için e-postalar göndermesinden” ötürü maliyetin “çok büyük olmadığını” sonucuna vardılar. Benzer şekilde, itibarlarına ve müşteri ilişkilerine verilen zarar uzun süreli olarak görülmedi.
Kişisel düzeyde GM, kötü niyetli e-posta kampanyasının e-posta adreslerini kullanması ve bazı kişisel verilerinin de çalınması nedeniyle bu deneyimi “yıkıcı” ve bir saldırı olarak gördü. Buna ek olarak, müşterilerini artan bir siber saldırı riskine maruz bıraktıklarından ötürü “utanmış” hissettiklerinin, takip eden haftalarda “yumurta kabuğu üzerinde yürüdüklerini” hissettiklerini belirttiler.
IT Yöneticisi ayrıca, “Altyapıyı ben kuracaktım” diyerek bu deneyimi üzücü buldu. Bununla birlikte, üst yönetimin ihlal dönemi boyunca destekleyici olduğunu gördüler.
Siber Saldırı, Siber Güvenlik Düzenlemlerini Nasıl Değiştirdi?
Görüşülen her iki kişi de, ihlalin, özellikle üst düzey yönetim düzeyinde kuruluşu daha uyanık hale getirdiğini ve siber güvenlik düzenlemelerini ve dış desteği gözden geçirmeye ve iyileştirmeye sevk ettiğini belirtti. Bununla birlikte, bazı süreçleri gelişmiş olmasına rağmen, kuruluş iç politikalarında resmi değişiklikler yapmadılar.
Mevcut IT sağlayıcılarının onları ilk etapta saldırılara karşı savunmasız hale getirdiğini ve ihlal sırasındaki yavaş yanıtlarıyla birleşen bir başarısızlık örneği sergilediğini sonucuna vardılar. Bu nedenle yeni bir IT sağlayıcısı için ihale süreci başlatıldı.
IT yöneticisi, yeni sözleşme için ihaleye davet edilen yedi şirket belirledi. Her şirketle yüz yüze görüşülerek, her ikisi de benzer bir yaklaşım sunan iki sağlayıcı üzerinde duruldu. Amaç kilit bir seçim kriteri, yanıt verebilirlik sunacak bir “ortak” bulmaktı. Sonuç olarak, kısa listeye alınan iki sağlayıcıdan en yerel olanı seçtiler, çünkü ‘onlara ve bize yardım etmek için gelebilecek insanlara kolay erişim istedik’ dediler.
Yeni sağlayıcının ilk görevi 365 hesap yapısını doğru güvenlikle yeniden oluşturmaktı. Ayrıca, tüm Microsoft oturumları için Çok Faktörlü Kimlik Doğrulama (MFA) ve olası sahte mesajları kimin açacağını görmek için düzenli test e-postaları göndererek çalışanların farkındalığını artırmaktı. Ayrıca, çalışanların IT sağlayıcısına taranmak üzere potansiyel olarak dolandırıcılık amaçlı e-postalar göndermeleri de artık bir süreç olarak bulunmaktadır.
Kuruluş şu anda herhangi bir siber güvenlik sertifikasına sahip değil, ancak donanım, yazılım ve yeni sistemlere daha fazla yatırım yapmış olan Cyber Essentials Plus için çalışıyor. IT yöneticisinin sözleriyle, ‘Şimdi çok daha mutlu hissediyorum ve bence aktör güvenliğimizi aşmak için çok mücadele eder’.
3.Olay
Ön Bilgi
250’den fazla çalışanı olan özel sektör kuruluşudur. Baş Güvenlik Görevlisi (CSO) ve Güvenlik Operasyonları Başkanı (HSO) ile yapılan görüşmeler ele alındı.
3 Temmuz 2021’de kuruluş bir DDoS saldırısına uğradı. Bilinmeyen aktör, kuruluşun üçüncü taraf barındırma sağlayıcısına saldırdı ve bu da web sitesinin ve e-ticaret platformunun 41 dakika boyunca çalışmamasına neden oldu. Bu durum organizasyon için önemli bir mali kayıpla sonuçlanmıştır.
İhlal Öncesi Siber Güvenlik Seviyesi
Büyük bir IT ayak izine sahip büyük ve karmaşık bir organizasyondur. 1000’den fazla perakende satış noktasında faaliyet gösteren çok sayıda franchise sahibi grup için lojistik, üretim ve e-ticaret platformundan sorumludur. Sonuç olarak, ihlalden önce, Kurula rapor veren ve siber risk ve bilgi riski yönetimi ile ilgili her şeyden sorumlu olan STK tarafından yönetilen önemli bir siber güvenlik kaynağına sahipti.
STK’ya göre, 2020’de kuruluşa katıldıklarında güvenliği “değişken” idi. O zamandan beri, “olgunlaşmamış”tan “oldukça iyi”ye geçti, ancak hala gelişmekte olduğu belirtildi. Saldırıdan önce, STK, bizim “çok sayıda test” ve “bulutta ön uç saptırma çalışması” yaptığımız için kuruluşu “web sitesi koruma açısından iyi bir yerde” olarak nitelendirdi.
Son yıllarda kuruluş, ticari etkisi olan iki saldırıyı atlattı. Bunların ötesinde, STK’ya göre ‘sürekli taranıyor, inceleniyor ve teşhir ediliyor’. HSO, ‘dışa dönük tüm varlıklarının korunması için Acronis de dahil olmak üzere (yani, web güvenlik duvarı DDoS coğrafi engelleme) başarılı olmalarını durdurmak için birçok azaltma ve kontrole sahibiz’. dedi.
İhlal ve Kurumun Hızlı Yanıtı
DDoS, 3 Temmuz 2021’de saat 20:00’de başlayan ‘İngiltere-Ukrayna maçına beş dakika kala’ gerçekleşti.
Örgüt, web sitesi çöktüğünde saldırıdan anında haberdar oldu ve ‘bilmediğimiz tek şey neden olduğuydu’ dediler. Kuruluşun olay müdahale ekibi hemen harekete geçti ve web sitesi 50 dakikadan daha kısa bir sürede yeniden çalışmaya başladı. Bu süre zarfında müşteriler sipariş veremedi ve şirket çevrimiçi sistemlerini kontrol edemedi. Ertesi sabah saat 3:00 civarında, bilinmeyen aktör sistemi tekrar kapatmaya çalıştı.
Olaydan sonra (5 Temmuz Pazartesi sabahı) siber güvenlik ekibi ne olduğunu ve “bu boşluğu nasıl gözden kaçırdık?” konusunda bir toplantı yaptı. Kuruluş giriş sistemlerine girdi ve bazı analizler yaptı ve bunun bir DDoS saldırısı olduğuna dair ‘bol miktarda kanıt’ buldu. Kuruluş, üzerinde özel bir altyapıya sahip olduğu için üçüncü taraf ana bilgisayar sağlayıcısına yapılan saldırıdan etkilenmişti.
O hafta, olayı daha fazla araştırmak için bir IT danışmanı görevlendirildi. HSO’ya göre, ‘ bu kaçırılmış bir yapılandırma olduğu ve veri merkezinde sürecin düzgün bir şekilde takip edilmediği…’ şeklindeydi. Sonuç olarak, bir cihaz ağdan sızdı.
STK ve ekibi, olayı veri bütünlüğü veya gizliliği açısından bir güvenlik ihlali olarak sınıflandırmadığı için kurum ve bayileri dışında hiç kimse olaydan haberdar edilmedi, bu nedenle zorunlu bir bildirim gerekliliği görmediler.
Kuruluş Üzerindeki Etkisi
STK, olaydan yaklaşık 30 dakika sonra ihlal konusunda bilgilendirildi. Daha sonra üçüncü taraf ev sahibi sağlayıcı ile telefon görüşmeleri yapıyorlardı. Sonuç olarak, özellikle stresli bir süreç olmadığı belirtildi. STK örgüte katıldığında Kurula siber güvenliğin “düzeltilmesinin zaman alacağını ve bir süre orada olacak çok sayıda açık ve ihlal riski olduğunu” söyledi. Sonuç olarak, ihlal anında Kurul, ‘henüz kurşun geçirmez olmadığımızı’ ve STK’nın suçlanamayacağını anladıklarını belirtti.
HSO, ihlalin meydana geldiği Cumartesi gecesi deneyimi ‘çok stresli’ buldu çünkü Pazar sabahı saat 2:30’a kadar çalıştılar ve Pazar sabahı saat 6:00’da kalktılar ‘o noktada nedenini bulamadığımız için, sıkıntılı bir süreçti’ dedi.
Organizasyon üzerindeki mali etki, Cumartesi akşamı yaklaşık 50 dakika boyunca işlem yapmaması nedeniyle 500.000 £ aralığında olduğu tahmin edildi. Buna ek olarak, ‘insanların ihlalde bulunmak için günlük işlerini bırakmasıyla’ toplam yüzlerce IT saatine denk gelen bir ‘zaman ve emek operasyonel maliyeti’ vardı. Mağaza açılışları ve hemen ihlalin ardından öğrenilen bir ders süreci var.’ dendi.
Buna ek olarak, e-ticaret platformunun kapalı olduğu süre boyunca organizasyonun franchise’ları ile çok sayıda telefon görüşmesi yaptıklarını belirttiler.
Siber Saldırı, Siber Güvenlik Düzenlemelerini Nasıl Değiştirdi?
Kuruluş, tüm üçüncü taraf altyapılarının her zaman DDoS koruması altında olması için değişiklikler yaptı (özellikle, değişiklik yönetimi prosedürlerini yeni altyapıyı kurarken ‘hemen üst düzey korumaya sahip olacak’ şekilde revize ettiler).
Bununla birlikte, STK, siber saldırıyı ‘kısa vadeli hızlı bir kazanç’ olarak nitelendirdi. Uzun vadede ‘daha büyük bir dönüşüm’ üzerinde çalıştıklarını, nihayetinde web sitelerini değiştireceklerini belirttiler.
Kuruluş, tehditlerini takip etti ve sürekli tehdit avı tatbikatları gerçekleştirilerek düzenli güvenlik testleri yaptı. STK, Kurul için sekiz farklı türde siber güvenlik riski belirledi ve süreçlerin bu riskleri ve bu tür ihlallerin olasılığını azaltmaya yönelik olduğunu söylediler. Kuruluş, ‘İhlalden önce Kurul’un %100 desteğini aldığımı söylerdim ve ihlal sonrasında %110 destek olduğunu söyleyebilirim…’ dedi.
Son olarak, HSO ayrıca kuruluşun “iyi kontrollere ve iyi güvenlik açığı yönetimine” sahip olduğu kabul edildi.