SİBER GÜVENLİK İHLALLERİNİN KURUMSAL DENEYİMLERİNİ KEŞFETMEK
1)SÖZLÜK
Siber Güvenlik: Siber güvenlik, kuruluşların ağlarını, bilgisayarlarını, programlarını veya sahip oldukları verileri hasardan, saldırıdan veya yetkisiz erişimden korumak için uyguladıkları tüm süreçleri, uygulamaları veya teknolojileri içerir.
Siber Saldırı: Siber saldırı, bir kişi veya kuruluş tarafından başka kişi veya kuruluşun bilgi sistemini ihlal etmeye yönelik kötü niyetli ve kasıtlı girişimdir.
Güvenlik İhlali: Güvenlik ihlali, temel güvenlik mekanizmalarını atlayarak verilere, uygulamalara, hizmetlere, ağlara ve/veya cihazlara yetkisiz erişimle sonuçlanan herhangi bir olaydır.
Sonuç: Bir saldırının olumsuz sonucu, bir kuruluştan para veya veri kaybı gibi maddi bir kayıptır.
Etki: Kuruluşlar üzerindeki olumsuz bir etkinin maddi bir kayıp içermesi gerekmiyor. Bu, personel kesintisi veya kuruluşta yeni önlemlerin uygulanmasıyla ilgili sorunlar da olabilir.
Mikro İş: 1-9 çalışanı olan işletme.
Küçük İşletmeler: 10-49 çalışanı olan işletme.
Orta Ölçekli İşletme: 50-249 çalışanı bulunan işletme.
Büyük İşletme: 250 ve daha fazla çalışanı olan işletme.
Düşük gelirli hayır kurumu: 100.000 £ ‘dan az geliri olan hayır kurumları.
Yüksek gelirli hayır kurumları: 500.000 £ veya daha fazla geliri olan hayır kurumları
Çok Yüksek gelirli hayır kurumları: 5.000.000 £ veya daha fazla geliri olan hayır kurumları.
Bulut Bilişim: Bulut bilişim, verileri depolamak veya aktarmak için yerel bir sunucu veya kişisel bir bilgisayar yerine internet üzerinden erişilen bir harici sunucular ağını kullanır. Bu, örneğin bir web sitesini veya kurumsal e-posta hesaplarını barındırmak veya veri dosyalarını depolamak veya aktarmak için kullanılır.
Hizmet Reddi Saldırısı (DoS): Hizmet Reddi saldırısı, bir makineyi veya ağı kapatarak hedeflenen kullanıcılar tarafından erişilemez hale getirme amaçlı bir saldırıdır. DoS saldırıları, hedefi trafikle doldurarak veya bir çökmeyi tetikleyen bilgiler göndererek bunu başarır.
Dağıtılmış Hizmet Reddi Saldırısı (DDoS): Dağıtılmış Hizmet Reddi saldırısı, hedeflenen bir sunucunun, hizmetin veya ağın normal trafiğini, hedefi veya çevresindeki altyapıyı bir internet trafiği akışıyla ezerek bozmaya yönelik kötü niyetli bir girişimdir.
Kötü Amaçlı Yazılım: Kötü amaçlı yazılım (“kötü amaçlı yazılım”ın kısaltması), kullanıcının izni olmadan bilgisayarlara sızmak ve zarar vermek için tasarlanmış bir bilgisayar programı türüdür (ör. virüsler, solucanlar, Truva atları vb.).
Yönetilen Servis Sağlayıcı (MSP): Sürekli destek ve aktif yönetim yoluyla ticari müşterilere IT hizmetleri portföyü sunan ve tümü tipik olarak bir Hizmet Düzeyi Sözleşmesi ile desteklenen tedarikçi. Bir Yönetilen Hizmet Sağlayıcı, kendi Yönetilen Hizmetlerini sağlayabilir veya diğer IT sağlayıcılarının hizmetleriyle birlikte kendi hizmetlerini sunabilir.
Yama Yönetimi: Yazılım güvenlik güncellemelerini 14 gün içinde uygulamaya yönelik politikaya sahip olmak.
Penetrasyon Testi: Penetrasyon testi, personelin veya yüklenicilerin, siber güvenlikte nerede zayıflıklar olabileceğini göstermek için bir kuruluşun siber güvenliğini kasten ihlal etmeye çalıştığı durumdur.
Kişisel Olarak Sahip Olunan Cihazlar: Şahsi cihazlar, akıllı telefonlar, tabletler, ev dizüstü bilgisayarları, masaüstü bilgisayarlar veya USB bellekler gibi şirkete ait olmayan ancak işle ilgili faaliyetleri yürütmek için kullanılabilecek şeylerdir.
E-dolandırıcılık: Sahtekarlık, e-posta yoluyla gönderilen bir bağlantı veya ek aracılığıyla sızma yoluyla personelden şifreler gibi önemli bilgileri almaya çalışır.
Kimlik Avlama Şekli “Smishing” : Bir “smishing” saldırısı, aktörün, hedeflenen alıcıları bir bağlantıya tıklamaları ve aktör bilgilerini göndermeleri veya bir akıllı telefona kötü amaçlı programlar indirmeleri için kandırmak için zorlayıcı bir metin mesajı kullandığı bir kimlik avı biçimidir.
Sosyal Mühendislik: Kuruluşun kimliğine bürünme girişimi yoluyla sızma yoluyla personelden şifreler gibi önemli bilgileri almaya yönelik sahtekarlık girişimleri.
Yemleme Kancası: Hedefli kimlik avı, bir kuruluş içindeki belirli kişileri veya grupları hedefleyen bir kimlik avı yöntemidir.
Fidye Yazılımı: Bir miktar para ödenene kadar bir bilgisayar sistemine erişimi engellemek için tasarlanmış bir tür kötü amaçlı yazılım.
Çıkarılabilir Aygıtlar: Çıkarılabilir cihazlar, USB çubuklar, CD’ler, DVD’ler vb. gibi verileri depolayabilen taşınabilir şeylerdir.
IT Yöneticisini ve Erişim Haklarını Kısıtlama: IT yöneticisi ve erişim haklarının kısıtlanması, yalnızca belirli kullanıcıların, örneğin yazılım indirmek veya yüklemek için kuruluşun ağında veya bilgisayarlarında değişiklik yapabileceği durumlardır.
Akıllı Cihazlar: Kişisel asistanlar, kilitler, alarmlar veya termostatlar gibi ağa bağlı cihazlar.
Tehdit İstihbaratı: Tehdit istihbaratı, bir kuruluşun bir personel veya yüklenici istihdam edebileceği veya kuruluşun karşılaştığı tüm siber güvenlik riskleri hakkında bilgi ve tavsiye toplamak için bir ürün satın alabileceği yerdir.
İki Faktörlü Kimlik Doğrulama: İki Faktörlü veya Çok Faktörlü Kimlik Doğrulama, bir kullanıcının bir ağa veya uygulamaya ancak iki veya daha fazla kanıt parçası sunması ile kimlik doğrulamanın gerçekleşeceği mekanizmadır.
Avlanmak: Sesli kimlik avı; kimlik avı saldırılarını gerçekleştirmek için telefon kullanımıdır.
2) ARAŞTIRMA AMAÇLARI
Mart 2021’de Dijital, Kültür, Medya ve Spor Dairesi (DCMS), Ulusal Siber Güvenlik Programının bir parçası olarak Birleşik Krallık işletmeleri, hayır kurumları ve eğitim kurumlarının Siber Güvenlik İhlalleri Anketini yayınladı. (Çalışma 2022’de yeniden yapıldı ve şimdi yeni bir rapor yayınlandı). Bulgular, işletmelerin ve kuruluşların karşılaştıkları siber güvenlik tehditlerinin doğasını ve önemini ve başkalarının güvende kalmak için ne yaptığını anlamalarına yardımcı olur. Ayrıca, Hükümetin bu alanda gelecekteki politikayı şekillendirmesini destekler.
Bu daha önceki araştırmayı temel alarak, Ocak 2022’de DCMS, siber güvenlik ihlallerinden etkilenen bir dizi işletme ve kuruluşla derinlemesine bir nitel araştırma görevlendirdi. Bu araştırmanın özel amaçları aşağıdaki gibidir:
- Bir ihlalden önce mevcut siber güvenlik düzeyini anlamak
- Kuruluşun maruz kaldığı siber saldırının türünü belirlemek
- İşletmelerin ve kuruluşların bir ihlalin hemen, orta ve uzun vadede nasıl hareket ettiğini anlamak
- İşletme veya kuruluşlar üzerindeki etkileri derhal ve geleceğe yönelik araştırmak
- Bir siber ihlalin ardından siber güvenlik düzenlemeleri nasıl değiştiğini anlamak
şeklindedir.
3) METODOLOJİ
Saha çalışması 23 Şubat – 21 Mart 2022 döneminde gerçekleştirilmiştir.
Microsoft Teams aracılığıyla, aralarında son üç yılda çeşitli türlerde siber güvenlik ihlali yaşayan on kuruluştaki çalışanlarla nitel görüşmeler yapıldı.
İhlalin ayrıntılı ve kapsamlı bir resmini oluşturmak için her kuruluşta en az iki çalışanla görüşmeler yapıldı. Görüşmeler, genellikle, ihlalle ilgilenen bir IT veya siber güvenlik rolündeki biriyle ve bundan doğrudan etkilenen başka bir personel üyesiyle gerçekleştirildi. Konunun hassas olması nedeniyle görüşmeler ayrı ayrı yapılmıştır.
Katılımcı kuruluşların deneyimleri, 4. bölümdeki on vaka incelemesinde detaylandırılmıştır. Vaka incelemelerinin kuruluşlar tarafından bildirilen çeşitli olaylarla ilgili gerçekleri sunduğunu ve bunların yeterliliği veya uygunluğu hakkında yargıda bulunmadıklarını veya yorum yapmadıklarını vurgulayacağız.
4) ÖNEMLİ BULGULAR
Bu çalışmaya katılan on kuruluşun tümü, son dört yıl içinde ciddi bir siber güvenlik saldırısına maruz kaldı. Kuruluşlar ölçek, IT kaynak düzeyi, saldırıdan önce uygulanan siber güvenlik önlemleri ve saldırıya tepkileri açısından büyük farklılıklar gösterdiğinden, aralarındaki benzerlikler büyük ölçüde burada sona ermektedir.
Bununla birlikte, bu farklı çalışma katılımcıları grubundan birkaç tema ortaya çıkıyor;
- İlk olarak, siber saldırıların hem hacim hem de teknik gelişmişlik açısından artmasıyla birlikte, siber suçun önemli ve büyüyen bir iş riski olduğu konusunda bir fikir birliği vardı. Bununla birlikte, hızla değişen bu “tehdit ortamı” hakkında bilgi, çalışma katılımcıları arasında önemli ölçüde farklılık göstermiştir.Artan bu risk seviyelerine yanıt olarak, neredeyse tüm katılımcılar, birkaç yıl önce uygun olan kontroller artık daha az etkili olarak görüldüğünden, siber güvenliğe her zamankinden daha fazla dikkat ve yatırım yapılması gerektiğini kabul etti.
- Bununla birlikte, orta ve büyük kuruluşlardan görüşülen kişiler, daha fazla siber güvenlik yatırımı için ayrılmış resmi planlara ve bütçeye sahip olma eğiliminde olduklarını söylerken, daha küçük kuruluşlardan görüşülen kişiler, büyük ölçüde kaynak kısıtlamalarına atıfta bulunarak, yapmadıklarını iddia etme olasılıkları daha yüksekti. Algılanan artan siber güvenlik riskine verdikleri yanıt bu nedenle büyük ölçüde parça parça ve reaktif görünmektedir.
- Şaşırtıcı olmayan bir şekilde, araştırmaya dahil edilen kuruluşların geniş bir karışımı göz önüne alındığında, uygulanan siber güvenlik düzenlemeleri ve teknoloji de çok çeşitliydi. Bununla birlikte, neredeyse tüm katılımcılar, kuruluşlarının siber güvenliği ihlalden önce ‘ciddiye’ aldığını belirtti; gerçekten de çoğu, düzenlemelerini akranlarıyla eşit veya onlardan daha iyi olarak nitelendirdi.
- Çoğunluk, kuruluşlarının güvenliği sağlamak için çalışanlardan çok teknolojiye daha fazla önem verdiğini hissetti. Bazıları için teknoloji, insanların ve kültürün, kuruluşlarında konuşlandırılan teknolojiden daha çok bir siber güvenlik “zayıf noktası” olduğu şeklindeki yaygın görüşü yansıtan “insanların doğru şeyi yapmasına yardımcı olan” bir araçtı.
- Katılımcılar ayrıca, kendi kuruluşlarındaki liderlik ekiplerinden siber güvenliğe farklı seviyelerde destek ve ilgi bildirdiler. Cesaret verici bir şekilde, çoğu, liderlerinin siber güvenliğin önemini kavradığını ve buna yatırım yapmayı giderek daha fazla desteklediğini, bazılarının zaten “kurul düzeyinde bir iş sorunu” olarak ele aldığını söyledi.
- Aynı zamanda, hepsi liderlik ekiplerinin büyüyen siber güvenlik sorununu karşılamak için gereken “tehdidin ölçeğini” veya “kültürel geçişi” tam olarak anladığından emin değildi. Bu nedenle, çok sayıda katılımcı için, yaşadıkları ihlallerin olumlu bir sonucu, liderlik için “bu siber tehditlerin gerçek olduğunu” göstermeleri ve siber güvenliğin önemini vurgulamasıydı.
- Sonuç olarak, bu çalışmadaki birçok kuruluş için liderlik, ihlal sonrasında siber güvenlik sorunuyla daha fazla meşgul oldu ve o zamandan beri kuruluşun gelişmesine yardımcı olmak için daha ciddi bir niyet gösterdi.
İhlallerin kendilerine dönersek, çoğu durumda çalışmadaki kuruluşlar, genellikle dış tedarikçilerin desteğinden yararlanarak nedeni belirleyebildi ve “zayıflığı” düzeltebildi. Bazı katılımcılar için ihlal, önemli bir kişisel stres ve karışıklığa neden olurken – bazıları uzun sürdüğünü kanıtladı – diğerleri daha iyimserdi ve bölümü bir felaketten ziyade bir rahatsızlık olarak nitelendirdi.
İhlalleri giderildikten sonra, çalışmadaki nispeten az sayıda kuruluş bunun finansal etkisini doğru bir şekilde ölçmeyi denedi veya başardı (ancak çoğu katılımcı, tipik olarak kayıp satışların maliyetini, çalışan kesinti süresini ve IT danışmanlığını kapsayan geniş tahminler sunabildi).
Benzer şekilde, çalışmadaki çok az kuruluş, ihlalin ardından resmi bir “alınan dersler” süreci uyguladı. Buna rağmen, çoğu katılımcı, siber güvenlik teknolojilerinin, politikalarının veya personel eğitimlerinin güçlendirilmiş yönlerinin ardından, şimdi saldırı öncesine göre daha iyi korunduklarını hissettiler.
5) İNGİLİZ HÜKÜMETİNİN SİBER SALDIRI AÇISINDAN ROLÜ
Katılımcılar, siber güvenlikle ilgili olarak hükümetten sağlanan desteğin yanı sıra siber suçlarla mücadeledeki daha geniş rolü olduğunun altını çizdiler. Ulusal Siber Güvenlik Merkezi (NCSC) veya diğer kuruluşlarla çalışma deneyimlerinin, Devlet kurumlarından aldıkları bilgilerin veya Genel Veri Koruma Düzenlemelerinin (GDPR) siber güvenlik ve siber suçlarla mücadele noktasında etkili çözümler sunduğunu belirttiler.
Hükümetin kuruluşların karşı karşıya kaldığı büyüyen siber güvenlik sorunlarını çözmek için başka neler yapması gerektiği sorulduğunda, araştırmaya katılan görüşmecilerin yaklaşık yarısı, öncelikle farkındalığı artırmaya ve eğitime odaklanması gerektiğini düşündü.
Bazı katılımcılar, ‘tüketiciler zarar görmeye devam ettiğinden’ ve ‘insanların tehlikeye atılmasını durdurmaları’ gerektiğinden, hükümetin odak noktasının şirketler yerine genel halk arasında farkındalık yaratmak olması gerektiğini savundular.
Bununla birlikte, katılımcıların küçük bir kısmı, hükümetin siber güvenliğin iyileştirilmesi yönünde daha fazla müdahalesine gerek olmadığını düşündü. Sebep olarak; insanların siber güvenlik hakkında kayıtsız olduğunu ve hükümetin şirketleri siber güvenlik konusunda bilgilendirecek yeterli kaynağı olmadığını sundular.
Görüşülen bazı kişiler, caydırıcı bir yöntem olarak siber suçlar için daha sert cezalar önererek ve ‘bu saldırıların bazılarının arkasında yabancı devletlerin olduğunu kabul ederek’ ve buna değinerek, hükümetin siber güvenliği ‘daha ciddiye alması’ gerektiğini iddia etti.
Son olarak, bu araştırmaya katılan yirmi kişiden ikisi siber güvenliğin işbirliği için önemli olmasından ötürü daha bölgesel tabanlı siber farkındalık eğitimi talep ederken, bir diğeri hükümetten ‘akademisyenleri, devleti ve iş dünyasını bir araya getirmek için daha fazlasını yapmasını istedi.
6) CASE STUDİES
- CASE STUDY 1
- ÖN BİLGİ
Şirket 10-49 çalışanı olan özel sektör kuruluşudur. Genel Müdür ve Bilgi İşlem Müdürü ile görüşmeler yapılmıştır.
Ağustos 2021’de kuruluş, bir e-posta kimlik avı saldırısına uğradı. Bilinmeyen aktör, Microsoft 365 yönetici hesabının kontrolünü ele geçirmeyi başardı ve bunu, Kötü Amaçlı Yazılım içeren kimlik avı e-postalarını kuruluşun çoğu harici müşterisine ve ilgilisine göndermek için kullandı.
- İHLAL ÖNCESİ SİBER GÜVENLİK SEVİYESİ
İhlalden önce, finansal ve kaynak sağlama kısıtlamaları nedeniyle, güvenlik dahil olmak üzere kuruluşun IT işlevlerinin çoğu, aynı yerde bulunan yerel bir sağlayıcıdan dış kaynak kullanımıyla sağlanıyordu. Genel Müdür’e göre, işletmenin üst yönetimi, ‘o zaman sağlayıcımızın her şeyi kapsadığını ve su geçirmez olduğumuzu düşündük’ olarak, siber ihlal olasılığını pek düşünmedik. Bununla birlikte, geriye dönüp baktıklarında “habersiz” ve “naif” olduklarını hissettiler.
IT Müdürü ayrıca üst yönetimi, potansiyel siber tehditlerden büyük ölçüde habersiz ve genel olarak IT hakkında çok az ilgi veya bilgi sahibi olan “ne olup bittiğinin gerçekten farkında olmayan” olarak nitelendirdi ve personelin genel olarak özellikle “bilgisayar okuryazarı” olmadığını belirtti. Buna rağmen, IT yöneticisi “bulut tabanlı olduğu için korumanın oldukça iyi olmasını bekliyordu” ve dış sağlayıcılarına güvendikleri için kurulumdan “oldukça mutluydu”. Ayrıca işi, yerinde, anti-virüs yazılımı ve ‘bazı suç önleme yazılımları’ ile ‘rakiplerimizin biraz ilerisinde ve güvenlik açısından bir adım yukarıda’ olarak nitelendirdiler.
İşletmenin resmi siber güvenlik süreçleri veya personel eğitimi çok azdı veya hiç yoktu ve siber beklenmedik durum veya acil durum planlama prosedürleri yoktu. IT yöneticisinin sözleriyle, ‘Afetten kurtarmayı daha çok düşünüyordum, bu yüzden örneğin binanın alev alması durumunda sistemin bulut yedeklerini aldık… Bu tür fiziksel saldırıların siber saldırılara nazaran daha çok karşılaşılacağını düşünüyordum.’
- İHLAL VE KURUMUN HIZLI YANITI
İhlal, Genel Müdür’ün Ağustos 2021’de Salı öğleden sonra bir müşteriye faturayı e-postayla göndermesinden sonra ortaya çıktı. Ertesi sabah bu müşteriyle yapılan görüşmede, e-postanın ele geçirildiği ve faturadaki banka ayrıntılarının değiştirildiği ortaya çıktı. Sonuç olarak, müşteri farkında olmadan bilinmeyen bir banka hesabına para aktarmıştır. (Bu fonlar müşterinin bankası tarafından derhal alındı.)
Bilgi sahibi olduktan sonra, IT Yöneticisi hemen IT destek şirketiyle iletişime geçti ve yanıt vermemelerinden dolayı hayal kırıklığına uğradı, çünkü ‘bize geri dönmeleri oldukça uzun sürdü. Yaklaşık iki veya üç saat oldu. Bu arada kuruluş, Microsoft 365 kontrol merkezine erişti ve güvenliğinin ihlal edildiğini fark etti. IT sağlayıcısı daha sonra müdahale etti ve ‘birkaç saat sonra her şeyin düzenlendiğini söylediler ve kapının kapalı olduğundan emin oldular’.
Ertesi sabah (Perşembe) IT Yöneticisi 365 kontrol merkezine tekrar erişti ve ‘yalnızca bir 365 yönetici hesabımız olması gerektiği için her şeyin değiştiğini, ancak iki veya üç tane olduğunu’ fark ettiklerini söyledi. IT sağlayıcısı bunu araştırdı ve aktörün tekrar içinde olduğunu söyledi. Kısa süre sonra, aktörün hesabı “tüm müşterilerimize bir kimlik avı e-postası göndermek için” kullandığını fark ettiler. Bu, birkaç bin e-postaydı, ardından git gide büyüdü’. E-posta, PowerPoint eki biçiminde kötü amaçlı yazılım içeriyordu. IT sağlayıcısı sonunda saldırganı kapatmayı ve 365 hesabını güvenceye almayı başardı.
Perşembe günü, kimlik avı e-postalarından haberdar olur olmaz Genel Müdür, müşterilere e-postaları açmamalarını söyleyebilmeleri için tüm personeli konuyla ilgili uyardı. Bundan kısa bir süre sonra, IT sağlayıcısı tüm müşterilere ‘önceki e-postamızı açmayın’ mesajıyla e-posta gönderdi.
O gün, Genel Müdür ve Finans Direktörü de etkilenmiş olabileceklerini düşünerek banka ve finans kurumlarını ihlalden haberdar etti. Bununla birlikte, ‘bazılarının e-postayı durdurmak için sistemleri vardı ve aslında kötü amaçlı yazılım olarak işaretleyerek bize geri gönderdi’. Ayrıca, Genel Müdür ve ekibi ‘çok sayıda’ müşteriyle konuşmak zorunda kaldı.
Saldırganın kimliği hiçbir zaman belirlenemedi, ancak kuruluş, IT sağlayıcısının yardımıyla ihlalin nedenini hızla belirleyebildi. GM’ye göre, ‘eski IT sağlayıcımızın bir e-postada bir ağ geçidi şifresi gönderdiği ortaya çıktı, bu daha sonra saldırıya uğradı ve bize sızılmasına izin verdi… Asla gönderilmemeliydi.
Ayrıca, IT yöneticisi saldırının olduğu haftanın Perşembe ve Cuma günleri daha fazla güvenlik açığı tespit etti. Microsoft 365’i okuduktan sonra, “sağlayıcımız tarafından pek çok şeyin doğru şekilde ayarlanmadığını” gördü. Ancak sağlayıcımızla iletişime geçtiğimde özür dilemediler… beni teknik konuşmalarla kandırmaya çalıştılar’.
- KURULUŞ ÜZERİNDEKİ ETKİSİ
Kuruluş, saldırının finansal maliyetini ölçmedi ancak personelin “telefonlara cevap vermesi ve kimlik avı e-postasını açmamak için e-postalar göndermesinden” kaynaklanan kesinti süresinin yanı sıra, “çok büyük olmadığını” kabul etti. Benzer şekilde, itibarlarına ve müşteri ilişkilerine verilen zarar uzun süreli olarak görülmedi ve personelin morali üzerinde herhangi bir etkisi olmadı.
Kişisel düzeyde GM, kötü niyetli e-posta kampanyasının e-posta adreslerini kullanması ve bazı kişisel verilerinin de çalınması nedeniyle bu deneyimi “yıkıcı” ve bir saldırı olarak gördü. Buna ek olarak, müşterilerini artan bir siber saldırı riskine maruz bıraktıklarından ötürü “utanmış” hissettiler. Takip eden haftalarda “yumurta kabuğu üzerinde yürüdüklerini” hissettiler.
IT Yöneticisi ayrıca, “Altyapıyı ben kuracaktım” diyerek bu deneyimi üzücü buldu. Omuzlarımda oturuyor, bu yüzden yönetmenlerimizden çeneye takmak zorunda kaldım ve kendimi hayal kırıklığına uğrattığımı hissettim. Bununla birlikte, üst yönetimin ihlal dönemi boyunca destekleyici olduğunu gördüler.
- SİBER SALDIRI, SİBER GÜVENLİK DÜZENLEMELERİ NASIL DEĞİŞTİRDİ?
Görüşülen her iki kişi de, ihlalin, özellikle üst düzey yönetim düzeyinde kuruluşu daha uyanık hale getirdiğini ve siber güvenlik düzenlemelerini ve dış desteği gözden geçirmeye ve iyileştirmeye sevk ettiğini belirtti. Bununla birlikte, bazı süreçleri gelişmiş olmasına rağmen, kuruluş iç politikalarında resmi değişiklikler yapmamıştır.
Mevcut IT sağlayıcılarının gönül rahatlığının onları ilk etapta saldırılara karşı savunmasız hale getirdiğini belirledikten sonra – ihlal sırasındaki yavaş yanıtlarıyla birleşen bir başarısızlık – Genel Müdür ve IT Müdürü, başlamak için Kurullarından hemen imza alabildiler. Yeni bir IT sağlayıcısı için ihale süreci başlatıldı.
IT yöneticisi, yeni sözleşme için ihaleye davet edilen yedi şirket belirledi. Her şirketle yüz yüze görüşülerek, her ikisi de benzer bir yaklaşım sunan iki sağlayıcının kısa bir listesi elde edildi. Amaç kilit bir seçim kriteri, yanıt verebilirlik sunacak bir “ortak” bulmaktı. Sonuç olarak, kısa listeye alınan iki sağlayıcıdan en yerel olanı seçtiler, çünkü onlara ve bize yardım etmek için gelebilecek insanlara kolay erişim istedik dediler.
Genel Müdür’ün sözleriyle, yeni sağlayıcı ‘topun üzerinde’ ve ‘şeffaf’. İlk görevleri, kuruluşun 365 hesap yapısını doğru güvenlikle yeniden oluşturmaktı. Ayrıca, tüm Microsoft oturumları için Çok Faktörlü Kimlik Doğrulama’yı (MFA) uyguladılar ve olası sahte mesajları kimin açacağını görmek için düzenli test e-postaları göndererek çalışanların farkındalığını artırmaya çalıştılar. Ayrıca, çalışanların IT sağlayıcısına taranmak üzere potansiyel olarak dolandırıcılık amaçlı e-postalar göndermeleri için artık bir süreç bulunmakta.
Kuruluş şu anda herhangi bir siber güvenlik sertifikasına sahip değil, ancak donanım, yazılım ve yeni sistemlere daha fazla yatırım yapmış olan Cyber Essentials Plus için çalışıyor. IT yöneticisinin sözleriyle, ‘Şimdi çok daha mutlu hissediyorum ve bence günlük aktörünüz bu kadar çok yerinde güvenliğimizi aşmak için mücadele eder’.
- CASE STUDY 2
- ÖN BİLGİ
10-49 çalışanı olan özel sektör kuruluşutır. Dijital Başkanı ve Uyum Yöneticisi ile yapılan görüşmeler ele alındı.
Ekim 2021’de kuruluş, e-ticaret ve Müşteri İlişkileri Yönetimi (CRM) platformlarını etkileyen bilinmeyen bir aktörden Dağıtılmış Hizmet Reddi (DDoS) saldırısına uğradı.
- İHLAL ÖNCESİ SİBER GÜVENLİK ÖNLEMİ
Dijital Başkanı, kuruluşun hızla büyüyen e-ticaret kanallarının yanı sıra tüm IT altyapısı ve güvenliğinden sorumlu deneyimli bir geliştiricidir. Örgütü, ihlalden önce “temelleri ele alacak kadar teknoloji meraklısı” olarak nitelendirdiler. Gerçekten de, benzer büyüklükteki diğer kuruluşlarla karşılaştırıldığında, “sektörümüzden biri için oldukça ileri teknolojiye sahip bir şirket olduğumuz için ortalamada hatta biraz daha iyi” olduğunu düşünüyorlar.
Tüm IT hizmetleri, “tuhaf bir etkinlik görürsek onları kapatabilmeleri” için bulut kontrollüydü. Ayrıca, önemli bilgiler, yalnızca iki kişinin erişebildiği, güvenlik duvarlı ve ayrı bir ağda tutuldu. Bu nedenle, eğer bir ‘dizüstü bilgisayar çalınırsa, birisi sadece çok sınırlı bilgiye erişebilir’.
Bununla birlikte, her iki katılımcı da siber güvenliğin yöneticilerin veya çalışanların ‘gerçekten akıllarında olmadığına’ dikkat çekti ve Dijital Başkanı, ‘örneğin iki faktörlü kimlik doğrulama ile onları temel konulara sokma çabası olduğunu’ belirtti. Sonuç olarak, Dijital Başkanı, deneyimlerinde bunun çok fazla norm olduğunu yansıtsalar da, siber güvenlikle ilgili iç politikaları genel ve ‘temel’ olarak gördüler – ‘sadece standart bir şablon kullandıkları her yerde aynı. ] bir hükümet web sitesinden indirildi’.
Uyum Başkanı, “oldukça proaktif” olduklarından, ihlalden önce siber ihlal olasılığı konusunda kişisel olarak endişe duymadıklarını belirterek, yürürlükteki dahili politikalar ve süreçler konusunda daha emindi. Güç, Zayıflık, Fırsat, Tehdit (SWOT) analizinde, bir siber saldırıyı “ilk beş tehditten” biri olarak belirlediler, bu yüzden şimdiye kadar yalnızca raporlama prosedürlerini belgelemiş olsalar da nasıl azaltabileceklerine de bakmışlardı.
- İHLAL VE KURUMUN HIZLI YANITI
2018’den bu yana, “standart sahtekarlık ve spam e-postalarınızı açan birkaç kişi” vakası oldu, ancak bunların ticari bir etkisi olduğuna karar verilmedi. Tek önemli siber ihlal Ekim 2021’de meydana geldi ve kuruluşun ana web sunucusuna yapılan bir saldırıydı. Bu, müşteri verileri veya başka herhangi bir bilgi kaybı olmamasına rağmen, “herhangi bir hasarın verildiği” tek örnektir.
İhlal yalnızca Dijital Başkan tarafından ele alındı. Bunu ‘benim için büyük bir rahatsızlık ama başka kimse gerçekten neler olduğunu bilmiyordu’ olarak tanımladılar. İhlali çözecek bilgi ve beceriye sahip organizasyondaki tek çalışan oldukları için iş arkadaşlarını dahil etmediler.
Kuruluş, e-ticaret platformu olarak WordPress için açık kaynaklı bir e-ticaret eklentisi kullanıyor. Dijital Başkanı, ticaret eklentisinde ‘insanların bir komut dosyasını uzaktan çalıştırmasına ve yama yapılmadığı takdirde yazılıma özel kod aktarmasına olanak tanıyan’ bir güvenlik açığını tanımladı.
Bu güvenlik açığını zaten düzeltmiş olmalarına rağmen, sitelerinde sürekli olarak bir komut dosyası çalıştırılarak kuruluşun veritabanına “sahte kullanıcılar” yazıyordu (aslında dakikada “yaklaşık 500” kullanıcı hesabı oluşturuyordu). Bu, sunucularını ‘boğdu’ ve bir DDoS ile karşı karşıya kaldılar. Saldırı, kuruluşun ABD e-ticaret platformunu hedef aldı, ancak bu, yerel e-ticaret sitesiyle aynı kaynaktan geldiği için “İngiltere de etkilendi”.
Kuruluşun tüm e-ticaret ve CRM platformu yaklaşık beş saat boyunca kapalıydı ve bu süre zarfında çevrimiçi sipariş alamıyorlardı. Dijital Başkanı, işten eve giden trende bu sorunu öğrendi. O akşam “veritabanını temizleyerek” ve ardından “hiçbir şeyin okunmadığından ve veri alınmadığından emin olmak için günlüklerimizi manuel olarak inceleyerek” sorunu çözdüler. Kısa sürede veri ihlali olmadığından emin oldular.
Dijital Başkanı daha sonra ‘saldırının kaynağı olan kötü IP’leri [İnternet Protokolü adresleri] engellemeye’ odaklandı. Bunlar sürekli değişiyordu ve bu, ihlal yanıtının en çok zaman alan yönüydü. Neyse ki, saldırılar bir ‘Azure platformundaki bir bot çiftliğinden’ yürütülüyordu ve bu da ‘tüm IP adresleri belirli bir aralıkta olduğu için bir seferde yalnızca yaklaşık 15 IP adresinden gelen saldırılarla karşı karşıya kaldığımız için’ başa çıkmayı kolaylaştırdı. Dijital Başkanı, saldırıyı İşletim Sistemini sağlayan satıcıya bildirdi, ancak bir yanıt alamadı, bu nedenle satıcının bot çiftliğine karşı harekete geçip geçmediğini bilmiyordu. İletişim eksikliğinden dolayı hüsrana uğradıklarını bildirdiler. Takip eden iki ya da üç hafta boyunca, organizasyon “birkaç küçük saldırı” ile karşı karşıya kaldı, ancak bunlar söndü. Bu süre zarfında herhangi bir veri kaybı olmadığı için resmi kurumlara veya kuruluşun müşterilerine herhangi bir bildirim yapılmadı.
Üst yönetim durum hakkında bilgilendirildi, ancak üst yönetim çözüme doğrudan dahil olmadı ya da olaylardan özellikle endişe duymadı. Uyum Başkanı’nın da belirttiği gibi, ‘yönetmenler bizimle çok ilgililer ve neler olup bittiğini biliyorlar ve bize güveniyorlar. Hatalardan ders aldığımız sürece hata yapmanın sorun olmadığı bir kültür olduğunu düşünüyorum. Dijital Başkanı genişledikçe, ‘kurum içi geliştirici olduğum için şanslılar, bu yüzden onu raylarında durdurabildim. Bana sahip olmasalardı, [gerçekten başları belaya girerdi]”.
- KURULUŞ ÜZERİNDEKİ ETKİSİ
Dijital Başkan için bir ‘acı’ olmasına rağmen, organizasyon üzerindeki etkisi önemsizdi. Resmi olarak nicelleştirilmedi, ancak satış kaybı şeklinde çok az finansal maliyet olduğunu ve itibarına veya müşteri ilişkilerine herhangi bir zarar gelmediğini tahmin ediyorlar.
Uyum Başkanı, ihlalin kişisel olarak farkındalık yaratmaya hizmet ettiğini ve siber güvenliğe bakma isteği uyandırdığını ve aslında daha fazla girdi alabilmek ve daha fazla destek verebilmek için daha fazla eğitim talep ettiğini belirtti.
- SİBER SALDIRI, SİBER GÜVENLİK DÜZENLEMELERİNİ NASIL DEĞİŞTİRDİ?
Dijital Başkanı, üst yönetim toplantısında gözden geçirilen ihlal hakkında bir rapor yazdı. Kuruluş daha sonra ‘daha iyi hizmetleri sürdürmek için önemli bir yatırım’ yaptı ve şimdi önceki kurulumlarından daha pahalı olan Google bulutunda barındırılıyor – ‘yaklaşık dört kat daha fazla’. Ayrıca ABD ve diğer uluslararası e-ticaret sitelerini ana İngiltere sitesinden ayırdı, böylece bir saldırıdan etkilenirse hepsini etkilemeyeceği düşünüldü.
Buna ek olarak, bu yılın sonlarında yeni bir e-ticaret platformu piyasaya sürüyorlar ve standart bir platform kullanmayacaklar, bunun yerine Dijital Başkanın sözleriyle, ‘bir platform ne kadar yaygın olarak kullanılırsa, hacklemek daha kolay, bu yüzden geliştirmeyi kendin yapmak daha iyi’.
Dijital Başkanı, dışarıdan birisinin artık kırılmayı zor bulacağı için mevcut kurulumu “oldukça güvenli” olarak görüyor. Başlıca maruz kaldıkları şey, birinin “dizüstü bilgisayara erişim kazanması ve bizden e-posta yoluyla fidye yazılımı göndermesidir”.
- CASE STUDY 3
- ÖN BİLGİ
250’den fazla çalışanı olan özel sektör kuruluşudur. Baş Güvenlik Görevlisi (CSO) ve Güvenlik Operasyonları Başkanı (HSO) ile yapılan görüşmeler ele alındı.
3 Temmuz 2021’de kuruluş bir DDoS saldırısına uğradı. Bilinmeyen aktör, kuruluşun üçüncü taraf barındırma sağlayıcısına saldırdı ve bu da web sitesinin ve e-ticaret platformunun 41 dakika boyunca çalışmamasına neden oldu. Bu durum organizasyon için önemli bir mali kayıpla sonuçlanmıştır.
- İHLAL ÖNCESİ SİBER GÜVENLİK SEVİYESİ
Bu, oldukça büyük bir IT ayak izine sahip büyük ve karmaşık bir organizasyondur. 1000’den fazla perakende satış noktasında faaliyet gösteren çok sayıda franchise sahibi grup için lojistik, üretim ve e-ticaret platformundan sorumludur. Sonuç olarak, ihlalden önce, Kurula rapor veren ve siber risk ve bilgi riski yönetimi ile ilgili her şeyden sorumlu olan STK tarafından yönetilen önemli bir siber güvenlik kaynağına sahipti.
STK’ya göre, 2020’de kuruluşa katıldıklarında güvenliği “değişken” idi. O zamandan beri, “olgunlaşmamış”tan “oldukça iyi”ye geçti, ancak hala gelişiyor. Saldırıdan önce, STK, bizim “çok sayıda test” ve “bulutta ön uç saptırma çalışması” yaptığımız için kuruluşu “web sitesi koruma açısından iyi bir yerde” olarak nitelendirdi. Bu nedenle, platformlarına karşı dağıtılmış bir hizmet reddi (DDoS) saldırısıyla karşı karşıya kalırlarsa, bu saldırı saptırılırdı.
Ancak STK, siber güvenliği emsalleriyle kıyaslamaz. “Tehditlerimize uygun kontroller kuruyorum. ayrıca bir e-ticaret platformu, lojistik platformu ve bir üretim işletmesi olduğumuz için kendimizi kiminle kıyaslayacağız” diyerek hiçbir değer görmüyor.
Son yıllarda kuruluş, ticari etkisi olan iki saldırıyı atlattı. Bunların ötesinde, STK’ya göre ‘sürekli taranıyor, inceleniyor ve teşhir ediliyor’. Ancak, HSO’nun sözleriyle, dışa dönük tüm varlıklarının korunması için Acronis de dahil olmak üzere (yani, web güvenlik duvarı DDoS coğrafi engelleme) ‘başarılı olmalarını durdurmak için birçok azaltma ve kontrole sahibiz’.
- İHLAL VE KURUMUN HIZLI YANITI
DDoS, 3 Temmuz 2021’de saat 20:00’de başlayan ‘İngiltere-Ukrayna maçına beş dakika kala’ gerçekleşti. Bu, DDoS koruması nedeniyle daha az savunmasız olan ve kuruluşun doğrudan web sitesinde olmayan üçüncü taraf ev sahibi sağlayıcısına yapılan bir saldırıydı. yazılım.
Örgüt, web sitesi çöktüğünde saldırıdan anında haberdar oldu ve ‘bilmediğimiz tek şey neden olduğuydu’. Kuruluşun olay müdahale ekibi hemen harekete geçti ve web sitesi 50 dakikadan daha kısa bir sürede yeniden çalışmaya başladı. Bu süre zarfında müşteriler sipariş veremedi ve şirket çevrimiçi sistemlerini kontrol edemedi. Ertesi sabah saat 3:00 civarında, bilinmeyen aktör sistemi tekrar kapatmaya çalıştı, ancak HSO’ya göre etki ‘ihmal edilebilir’di.
Olaydan sonra (5 Temmuz Pazartesi sabahı) siber güvenlik ekibi ne olduğunu ve ‘bu boşluğu nasıl gözden kaçırdık?’ konusunda bir toplantı yaptı. Parti ana bilgisayar sağlayıcısı, bunun bir DDoS saldırısı olmadığını bildirdi. Bununla birlikte, kuruluş giriş sistemlerine girdi ve bazı analizler yaptı ve bunun bir DDoS saldırısı olduğuna dair ‘bol miktarda kanıt’ bularak ‘bunu onlara söyledik ve ‘evet, haklısın’ dediler. Kuruluş, üzerinde özel bir altyapıya sahip olduğu için üçüncü taraf ana bilgisayar sağlayıcısına yapılan saldırıdan etkilenen tek varlıktı.
O hafta, olayı daha fazla araştırmak için bir IT danışmanı görevlendirildi. HSO’ya göre, tavsiyeleri bunun ‘kaçırılmış bir yapılandırma olduğu ve veri merkezinde bir sürecin düzgün bir şekilde takip edilmediği…’ şeklindeydi. onlar tarafından yeterli durum tespiti yapılmadı.’ Sonuç olarak, bir cihaz ağdan sızdı ve bilinmeyen aktörün altyapıya saldırmasını sağlayan DDoS’a sahip değildi. HSO, danışmanların kendilerine zaten bilmedikleri bir şey söylemediğini düşünse de, ‘yeni bir bakış açısıyla doğrulama almak faydalıydı… Bu incelemeden sonra bulgularını bize ve sağlayıcıya sundular, yapıcı bir yaklaşımdı.’
STK ve ekibi, olayı veri bütünlüğü veya gizliliği açısından bir güvenlik ihlali olarak sınıflandırmadığı için kurum ve bayileri dışında hiç kimse olaydan haberdar edilmedi, bu nedenle zorunlu bir bildirim gerekliliği görmediler.
- KURULUŞ ÜZERİNDEKİ ETKİSİ
STK, olaydan yaklaşık 30 dakika sonra ihlal konusunda bilgilendirildi. Daha sonra üçüncü taraf ev sahibi sağlayıcı ile telefon görüşmeleri yapıyorlardı, ‘bu yüzden farkında olduğum sadece 11 dakika oldu’. Sonuç olarak, özellikle stresli bir süreç olmadığı belirtildi. Ayrıca, STK, son derece destekleyici olarak nitelendirdikleri kişileri doğrudan Kurul’a rapor eder. STK örgüte katıldığında Kurula siber güvenliğin “düzeltilmesinin zaman alacağını ve bir süre orada olacak çok sayıda açık ve ihlal riski olduğunu” söylediler. Sonuç olarak, ihlal anında Kurul, ‘henüz kurşun geçirmez olmadığımızı’ ve STK’nın suçlanmayacağını anladı.
HSO, ihlalin meydana geldiği Cumartesi gecesi deneyimi ‘çok stresli’ buldu çünkü Pazar sabahı saat 2:30’a kadar çalıştılar ve Pazar sabahı saat 6:00’da kalktılar ‘o noktada nedenini bulamadığımız için, sıkıntılı bir süreçti’.
Organizasyon üzerindeki mali etki, Cumartesi akşamı yaklaşık 50 dakika boyunca işlem yapmaması nedeniyle 500.000 £ aralığında olduğu tahmin edilen gelir kaybıyla önemliydi. Buna ek olarak, ‘insanların ihlalde bulunmak için günlük işlerini bırakmasıyla’ toplam yüzlerce IT saatine denk gelen bir ‘zaman ve emek operasyonel maliyeti’ vardı. Mağaza açılışları ve hemen ihlalin ardından öğrenilen bir ders süreci var.’
Buna ek olarak, e-ticaret platformunun kapalı olduğu süre boyunca organizasyonun franchise’ları ‘çok seslidir, bu yüzden çok sayıda telefon görüşmesi yaptık’.
- SİBER SALDIRI, SİBER GÜVENLİK ÖNLEMLERİNİ NASIL DEĞİŞTİRDİ?
Kuruluş, ‘sahip olduklarınızı düzeltmek, daha iyi olmayan yeni bir tane bulmaktan daha kolay’ olduğu için kısa vadede üçüncü taraf barındırma sağlayıcısıyla birlikte kaldı ve ayrıca hesaplarındaki iyileştirmelerden de yararlandı. sağlayıcıdaki ekip. Ancak kuruluş, tüm üçüncü taraf altyapılarının her zaman DDoS koruması altında olması için değişiklikler yaptı (özellikle, değişiklik yönetimi prosedürlerini yeni altyapıyı kurarken ‘hemen üst düzey korumaya sahip olacak’ şekilde revize ettiler).
Bununla birlikte, STK, tekrarlanmamasını sağlamak için bunu ‘kısa vadeli hızlı bir kazanç’ olarak nitelendiriyor. Uzun vadede ‘daha büyük bir dönüşüm’ üzerinde çalışıyorlar, nihayetinde web sitelerinin yeni bir yuvası olacak – ‘yaptığımız şeylerin çoğu, temel nedeni ele almak yerine tazminat önlemleri ve ikincil önlemler, çünkü bizim gibi bunu yapmanın bir anlamı yok. her halükarda web sitemizi değiştireceğiz’.
Kuruluş, tehditlerini takip eder ve sürekli tehdit avı tatbikatları gerçekleştirilerek düzenli güvenlik testleri yapar. STK, Kurul için sekiz farklı türde siber güvenlik riski belirledi ve süreçlerin bu riskleri ve bu tür ihlallerin olasılığını azaltmaya yönelik olduğunu söylüyor. Onların sözleriyle, ‘İhlalden önce Kurul’un %100 desteğini aldığımı söylerdim ve ihlal sonrasında %110 destek olduğunu söyleyebilirim… Bunun programımın birçok öğesinin teslimini hızlandırmaya yardımcı olduğunu söyleyebilirim’ .
Son olarak, HSO ayrıca kuruluşun “iyi kontrollere ve iyi güvenlik açığı yönetimine” sahip olduğu kabul edildi. Doğru beceri seviyelerini sunan çok sayıda aday bulunduğundan, onların gözünde yeteneği güvence altına almak artık organizasyonun en büyük siber güvenlik sorunudur.
- CASE STUDY 4
- ÖN BİLGİ
250’den fazla çalışanı ile inşaat sektöründe özel sektör kuruluştur. IT Direktörü ve İş Sistemleri Teknisyeni ile yapılan görüşmeler ele alınmıştır.
2019’un sonlarında kuruluş, iki hafta boyunca IT sistemlerini etkileyen bir fidye yazılımı saldırısına uğradı. Bilinmeyen aktör, birden fazla sunucudaki dosyalara erişebildi.
İHLAL ÖNCESİ SİBER GÜVENLİK SEVİYESİ
IT Direktörüne göre, 2019 saldırısından önce kurum içinde üst düzey düzeyde siber güvenlik konusunda nispeten az bir çalışma vardı. Ek olarak, ‘[saldırıdan] önce uyguladığımız politikalar ve süreç sağlamdı, ancak yeterince güçlü bir şekilde denetlenmediklerini’ belirttiler.
IT Direktörü, ihlal öncesi siber güvenlik kurulumunu “yeterli” ve “bunu geliştirmek için bir planın mevcut” olduğunu belirtti. Danışmanlık ve teknik yatırımları kapsayacak şekilde bu plan için fonlar tahsis edildi. Onların sözleriyle, ‘Bir zayıflığımız olduğunu bildiğimiz için saldırıya gerçekten üzüldüm ve ne yazık ki bunu ele almak için henüz toparlanamadık’, çünkü diğer taahhütler öncelikli geldi.
Benzer şekilde, İş Sistemleri Teknisyeni, siber güvenliğin kıdemli personel için ‘büyük bir endişe’ olmadığını ve ‘gözden uzakta olduğunu’ belirtti. Organizasyonu makul ölçüde güvenli olarak görüyorlardı çünkü dikkate alınmayacak bir konumda olduğumuzu düşündüm, bu yüzden çok fazla dikkat çekmeyeceğiz ve sistemlerimizin kilitli ve işe uygun olduğunu varsaydım’. Ayrıca, tüm sistem geliştirme ve bakımından sorumlu olan üçüncü taraf sağlayıcılarına güvendiklerini belirttiler. Bununla birlikte, geçmişe bakıldığında bazı ‘old hat system sahip olduklarını ve muhtemelen oldukça savunmasız olduklarını’ yansıttılar.
İHLAL VE KURUMUN HIZLI YANITI
Kuruluşun altyapısı, tam olarak yönetilen bir hizmetin parçası olarak üçüncü bir tarafa yaptırılıyordu. Saldırı sabah 03:00’te gerçekleşti ve IT Direktörüne – onların gözünde biraz gecikmeli olarak – yaklaşık iki saat sonra bildirildi; bu sırada kötü amaçlı yazılım ağlarının çoğunu kapatmaya başladı, dallara ayrıldı ve sunucularında çok sayıda dosyasına erişti. İş Sistemleri Teknisyeninin sözleriyle, ‘işler durana kadar dikkatimizi çekmedi. Bağlantıları kaybettik ve ardından çığ gibi büyüdü ve kuruluştaki insanlar klasörlere veya dosyalara erişemedi ve aniden her şeyin bozulduğunu fark ettik!’
IT Direktörü, işin ciddiyetini belirlemek için o sabah erken saatlerde taşeronlarıyla bir toplantı yaptı. Bunu, sabah saat 10:00’da bir acil yönetim kurulu toplantısı izledi ve bu sırada, bilinmeyen saldırganlardan sistemlerinin geri yüklenmesi karşılığında Bitcoin talep eden e-postalar aldılar.
Kuruluşun fidye taleplerini asla ödememek için bir politikası vardı, bu nedenle Kurul bunun yerine sistemi saldırıdan önceki durumuna geri getirmek için bir “bare metal restore” (“tam iş sürekliliği geri yüklemesi”) yapmaya karar verdi. IT Direktörü, ilerlemeye yönelik hızlı karar için Kurula gerçekten minnettar olduğunu belirtti.
İki dosya sunucusu ve iki bilgisayar etkilendi ancak IT Direktörü başkalarının virüs bulaşma riskini azaltmak istediği için tüm merkez ofis bilgisayarları çevrimdışına alındı. Kuruluş ’60/40 bulutta’ olduğundan, bazı iş birimleri ihlalden etkilenmedi ve sistem kaybı yaşamadı. IT Direktörü, tüm sistemleri geri yüklemenin ne kadar süreceğini hafife aldığını belirtti. iki hafta’tahriş edici’ idi. Bununla birlikte, çalışanların e-posta ve telefon erişimi olduğu için günlük işleri aşırı derecede etkilemedi, sunucudaki dosyalara erişemediler. Bu süre zarfında, İş Sistemleri Teknisyeni bir IT rolünden daha çok bir ‘İK rolü’ oynadıklarını hissetti, çünkü ‘insanlara daha çok destek oluyorsunuz… insanları mutlu etmeye ve özellikle kıdemli insanları bilgilendirmeye çalışıyorsunuz. Bu yüzden, insanlara ne yapmaları gerektiğini söylememiz gereken çok fazla durumla karşılaştık’.
Restorasyon planı, ilki “işletim sistemini hızlı bir şekilde geri almak” olan önceliklere dayanıyordu. İşletim sistemini yeniden yüklemeden önce üç farklı virüsten koruma yazılımı aracı dağıttılar. Ardından, altı saat içinde geri yüklenen “birinci düzey veriler” ile hangi verilerin geri yükleneceğine öncelik vermeleri gerekiyordu.
İş Destek Teknisyeni’ne göre, ‘üçüncü taraf görevli hızlı bir şekilde yanıt verdi ve her şeyin kilitlenmesini sağladılar ve tehdidin artık orada olmadığından emin oldular’. İki hafta boyunca “15 ila 20 sanal sunucuyu yeniden oluşturduk ve paylaşılan dosyalarda yaklaşık 12 terabaytlık şirket verisini yüklenmeden önce yeniden taradık”.
Ardından, tam olarak ne olduğunu belirlemek için üçüncü taraf sağlayıcı tarafından bir “adli inceleme” yapıldı. Kötü amaçlı yazılımın kuruluşun sisteminde yaklaşık 18 aydır hareketsiz kaldığını belirlediler. Bununla birlikte, aktif hale gelmesini neyin tetiklediğini belirleyemediler. IT Direktörüne göre, bir dosya sunucusunda yayına girdikten sonra, “makinedeki belirli güvenlik politikalarını kapatarak harici erişime izin verdi… Çok karmaşık bir saldırıydı, bu yüzden çok şanssızdık.
KURULUŞ ÜZERİNDEKİ ETKİSİ
İhlalin IT Direktörü üzerinde duygusal olarak “büyük bir etkisi” oldu. ‘Şirketin güvenliğini sağlayamadıklarından’ Yönetim Kurulu’na derhal istifalarını sundular. Başkan onların talebini reddetti ve Kurul ‘daha sonra gerekli tüm güvenliği yerine koymam için beni teşvik etti’.
İş Destek Teknisyeni ayrıca kuruluşun liderliğini “anlayışlı” ve sıkı çalışmaları için minnettar olarak nitelendirdi, ancak bu iki hafta içinde “iş para kaybetmeye başladıkça” değişmeye başladı.
Daha sonra, kuruluş adli soruşturmaya, penetrasyon testleri ve ek güvenlik testlerine yaklaşık 10.000 £ yatırım yaptı. Gelir kaybı, ihlali araştırmak ve düzeltmek için harcanan zaman veya çalışan verimliliği ve müşteri ilişkileri üzerindeki etki gibi diğer maliyetleri ölçmek için hiçbir girişimde bulunmadılar.
Ayrıca, hiçbir müşteri verisi kaybolmadığı veya indirilmediği için kuruluş, herhangi bir resmi kuruma veya müşterisine bilgi vermedi.
SİBER SALDIRI, SİBER GÜVENLİK DÜZENLEMELERİNİ NASIL DEĞİŞTİRDİ?
IT Direktörü şimdi çok daha iyi bir yerdeyiz’ dedi. Daha önce sunucu erişim yöntemi, dışa dönük bir sunucu üzerinden yapılıyordu ve bu, temel güvenlik zayıflığı olarak tanımlanıyordu. Kötü amaçlı yazılım parola politikasını kapattı ve ardından binlerce denemeden sonra parolayı kırabilen bir kaba kuvvet saldırısı başlattı.
Sonuç olarak, kuruluşun artık dışarıya bakan sunucuları yoktur ve personelin sisteme erişmek için üç kimlik doğrulama biçimiyle Çok Faktörlü Kimlik Doğrulamayı (MFA) kullanması gerekir. Ayrıca minimum parola karmaşıklığını artırdılar.
Ayrıca kuruluş, güvenlik duvarını ve antivirüs korumasını değiştirdi ve artık sunucular ve dizüstü/masaüstü bilgisayarlar için farklı antivirüs sistemleri kullanıyor.
İhlalden bu yana kuruluş, siber güvenliği sağlamak için insanlardan daha fazla teknolojiye önem verdi. Ancak IT Direktörüne göre çalışanlar, “birçok yönden en zayıf halkadır, bu nedenle bireyler için yeni BİT ve siber tehdit güvenliği eğitimimizin yanı sıra aylık iletişim bülteni ve yılda iki kez güvenlik tazelememiz var”.
Kısa ve orta vadedeki hedefleri, her şeyin Microsoft’ta bir hizmet olarak barındırılmasını ve bunun getirdiği tüm esneklikle ‘bununla birlikte, bu veri merkezi çökerse, sadece biz değil, binlerce şirket etkilenecek. ‘.
IT Direktörü, ‘Bundan çok memnunum, özellikle personelin eğitimine ve farkındalığın artırılmasına odaklanıldığında artık çok daha iyi bir yerdeyiz’ dedi. İş Destek Teknisyeni ayrıca, ‘çok fazla yükseltme yaptık, şu anda rekabette önde olmasak da eşit durumdayız, bu nedenle bazı yönlerden saldırının faydalarından yararlanıyoruz’ dedi. Ayrıca, şu anda ‘daha fazla tarama ve izleme yapan ve bize güvenlikle ilgili daha fazla rehberlik ve bilgi ve güncellemeler veren’ sağlayıcılarının hizmetinde bir iyileşmeye yol açtı.
CASE STUDY 5
ÖN BİLGİ
10’dan az çalışanı olan özel sektör kuruluşu. Genel Müdür ve Finans Direktörü ile yapılan görüşmeler ele alınmıştır.
Ocak 2022’de kuruluş, internet ve İnternet Üzerinden Ses Protokolü (VoIP) hizmetlerini üç gün boyunca kesintiye uğratan bir DDoS saldırısına uğradı.
İHLAL ÖNCESİ SİBER GÜVENLİK SEVİYESİ
Kuruluşun küçük boyutu göz önüne alındığında, Genel Müdür kendilerini ağ yönetimi, sunucular ve IT altyapısı dahil olmak üzere “her şeyden sorumlu” olarak nitelendirdi.
Genel Müdür, siber saldırıdan önce kuruluşun benzer büyüklükteki ortalama bir şirketten daha iyi korunduğunu kaydetti. Kendi deyimiyle, ‘aslında bizden on kat büyük şirketlerle çalışıyorum ve siber güvenlik için yapılan harcamaları bir şey değil, bu konuda kafalarını kuma gömüyorlar’.
Kurum, ihlalden önce siber saldırı tehdidinin bilincinde olduklarını bildirdiler ve “firmware güncellemelerini ve yazılım güncellemelerini dini bir şekilde takip ettikleri” için “bu konuda bıkkın değillerdi”. Ayrıca internet servis sağlayıcılarından siber güvenlik hizmetleri almışlar ve tüm dizüstü, masaüstü ve telefonlara antivirüs yazılımı yüklemişlerdi.
İHLAL VE KURUMUN HIZLI YANITI
Kuruluş, 2018’den bu yana her biri dağıtılmış DDoS saldırıları olmak üzere dört saldırı yaşadı. İlk üçü Ağustos ve Kasım 2021 arasında gerçekleşirken, dördüncü ve en etkili saldırı 21 Ocak 2022’de saat 16:09’da gerçekleşti. Bu, kuruluşun internet erişimini “sıkışan” ve aynı zamanda “çekirdek yönlendiricisine” yapılan bir saldırıydı. Üçüncü bir tarafça işletilen VoIP internet telefonlarını devre dışı bıraktı.
Saat 15:00 civarında, çalışanlar sistemlerinin “özellikle e-postalar olmak üzere” giderek yavaşladığını fark ettiler. Finans Direktörü ayrıca, müşterilerden gelen normalden çok daha az siparişle alışılmadık bir şekilde sessiz olduğunu tespit etti. Genel Müdür bu konuda uyarıldı ve sistemlerini hemen yeniden başlattı. Bunu takiben, ‘internet normal şekilde geri geldi ama sonra tekrar yavaşladı ve daha fazla kontrol ettiğimde gelen trafiğimizin ölçeğin dışında olduğu ortaya çıktı’.
Genel Müdür, IP’lerinin bir DDoS saldırısı tarafından hedef alındığını bildiren internet servis sağlayıcısı ile temasa geçti. İnternet servis sağlayıcısı o öğleden sonra IP adresini değiştirdi ve bu saldırıya ‘acil bir çözüm’ oldu. Genel Müdür daha sonra kuruluşun Alan Adı Sistemi (DNS) ayarlarını yeniden yapılandırmak ve değiştirmek zorunda kaldı. ‘Her şeyin düzgün çalışması 72 saat sürdü, ancak bu süre zarfında posta sunucularımıza uzaktan kaynaklı oldukları için erişebildik bu nedenle süreç bizim için sıkıntılı geçmedi’ IP adresleri değiştiği için VoIP’lerini bozdu; sonuç olarak, üç gün boyunca kesintili telefon hizmeti yaşadılar.
KURULUŞ ÜZERİNDEKİ ETKİSİ
Genel Müdür, bunun bazı satış kayıplarına yol açtığını, ancak bunun organizasyon üzerinde büyük bir mali etki yaratamayacak kadar kısa süreli bir saldırı olduğunu düşündüğünü söyledi. Buna karşılık Finans Direktörü daha az iyimserdi ve ölçeği tahmin edememelerine rağmen gelir üzerinde anlamlı bir etkisi olduğunu belirtti.
Kuruluş ayrıca, birincil satış kanallarında, çoğunlukla ürünlerin ertelendiğini söyleyen olumsuz müşteri geri bildirimleri yaşadı. Finans Direktörü, ‘eBay söz konusu olduğunda ürünleri aynı gün göndermeye devam etmeniz gerekiyor… ama bilgisayarlara erişimimiz olmadığı için süreci takip edemedik, bu yüzden çok fazla şikayet aldık’. Sonuç olarak, eBay derecelendirmeleri “genellikle beş yıldızlı incelemeler alıyoruz, ancak sonuç olarak biraz düştü” şeklinde olumsuz sonucu dile getirdi. Çok rekabetçi bir ortam ve bir kez bir müşteriyi kaybettiğinizde size geri dönmeleri pek mümkün değil’.
Finans Direktörü için müşteri şikayetleriyle uğraşırken aynı zamanda onların ‘sınırlı IT bilgim göz önüne alındığında yanlış bir şey yaptıklarından’ endişe ettiğim ‘zorlu dönemdi’. Sorunun bilgim olduğunu sanıyordum.’
Genel Müdür ayrıca, saldırının ne kadar süreceğini bilmedikleri için bu deneyimi “oldukça stresli” buldu. Bununla birlikte, geriye dönüp bakıldığında, ‘genel bir saldırıydı, hedef alınmadık. Daha kötüsü olabilirdi’. Bununla birlikte, Genel Müdür ve diğer çalışanları siber güvenlik konusunda daha bilinçli hale getirdi.
SİBER SALDIRI, SİBER GÜVENLİK DÜZENLEMELERİNİ NASIL DEĞİŞTİRDİ?
Kuruluş kısa süre önce 400 sterline yeni bir güvenlik duvarı satın aldı ve bu güvenlik duvarı, “diğer şeylerin yanı sıra kullanır kullanılmaz IP adreslerini engelleyecektir”. Genel Müdür ayrıca, “garip görünen e-postaları” açmadan önce tüm çalışanların kendilerine gitmesi gereken “resmi olmayan bir politika” dan benimsemiştir.
Bunun dışında kurum, siber güvenlik eğitimi, donanımı veya yazılımına daha fazla yatırım yapmak için fonları olmadığı için başka bir işlem yapmadı. Mali Direktör’ün sözleriyle, ‘teknik kurulum söz konusu olduğunda, buna binler harcayabilecek bir şirket değiliz’ dedi.