Covid-19 Salgınının Siber Güvenlik Üzerindeki Etkileri



  Covid-19 Salgınının Siber Güvenlik Üzerindeki Etkileri

Ahmet Öztürk

Özet

Pandemi sürecinde her alanda etkilenildiği gibi en çok etkilenen alanlardan biri de siber güvenlik olmuştur. Nitekim bu süreç evden çalışma modelini beraberinde getirmiştir. Bu model yeni zorluklara ve problemlere beraberinde yol açmıştır. Bu zorlukların başında siber güvenlik ve siber suçlar gelmektedir. Bu çalışmada da sizlere koronavirüs salgınının siber güvenlik üzerindeki etkilerinden ve siber riskleri azaltmaya yönelik alınabilecek önlemlerden bahsedilecektir.

Anahtar kelimeler: siber güvenlik, siber suçlar, covid-19

Giriş

Koronavirüs salgınından dolayı devletlerin zorunlu olarak getirmiş olduğu kısıtlamalar insanları evde kalmalarına hatta çalışmalarına teşvik etmiştir (URL-1). Bu tedbirlerden “Uzaktan Çalışma” uygulaması herhalde bu döneme damgasını vuran ve bundan sonrasında da giderek yaygınlaşması beklenen yeni iş modeli olacaktır. Uzaktan Çalışma, pek çok İşletme ve Kurum için yeni olan bir olgu olduğundan uygulamanın ilk aşamalarda bazı şüphelerin oluşmasına da neden olmuştur (Atalay, 2020). Çalışanlara iş verilmesi, işin paylaştırılması, işin yönetimi, çalışma zaman ve süreleri, verimlilik, güvenlik vb. pek çok konuda daha önce bir birikim ve deneyim olmadığından 1-2 hafta süren test ve deneme süreçlerinin yaşanması söz konusu olmuştur. Ancak birkaç haftalık uygulamaların sonuçlarını değerlendiren çok sayıda İşletme ve Kurum, Uzaktan Çalışma modeline ilişkin şüphe ve çekincelerin yersiz olduğu, bu uygulamaya gelecekte de devam edilebileceği sonucuna varmışlardır. Uzaktan Çalışma modeli, çalışana “güven”i esas alan, gerekli altyapının oluşturulması durumunda geleneksel yerinden çalışma modeline göre daha verimli ve daha az maliyetli bile olabileceği bir iş model olarak Covid-19 sonrasına miras kalacak bir uygulama olarak değerlendirilmektedir. Bu yeni iş modeli altyapıda “Dijital Dönüşüm” ve anlayışta “Kültür Değişimi” gerektirdiği de aşikardır (Atalay, 2020, Akça ve Küçükoğlu, 2020). Bu pandemi süreci teknolojiyi hem iş hem de özel hayatta daha da önemli hale getirmiştir. İş toplantılarının geleneksel olarak yüz yüze yapıldığı yerlerde, artık çoğunun sanal olarak gerçekleştirildiği bir süreci yaşamaktayız. Teknoloji ihtiyacı artışına rağmen, birçok kuruluşun hala siber güvenli bir uzaktan çalışma ortamı sağlamadığı dikkati çekmektedir (URL-1). Uzaktan çalışmada ki artış siber riske daha fazla maruz kalmayı ve dolayısıyla siber güvenliğe daha fazla odaklanmayı beraberinde getirmiştir (Akça ve Küçükoğlu, 2020). Siber saldırganlar pandemiyi, evden çalışan çalışanların savunmasızlığından yararlanarak ve insanların koronavirüs ile ilgili haberlere (örneğin, kötü niyetli sahte koronavirüs ile ilgili web siteleri) olan güçlü ilgilerinden yararlanarak suç faaliyetlerini hızlandırmak için bir fırsat olarak görmektedirer (URL-1).Veri Güvenliği ve Siber Güvenlik

“Dijital Dönüşüm” ile birlikte “Veri Güvenliği ve Siber Güvenlik” konusu birlikte ele alınmalıdır. Covid-19 sürecinde yaşananlar, bu konuda alınması gereken çok mesafe olduğunu göstermiştir. Bu süreçte yaşanan en önemli sorunlardan bazıları şunlardır (Atalay, 2020);

  • Sistemlere yetkisiz erişim,
  • Veri mahremiyetinin ihlali, veri hırsızlığı,
  • Veri bütünlüğünün bozulması, değiştirilmesi,
  • Sosyal mühendislik, yalan haber, siber zorbalık
  • Hizmete erişimin engellenmesi, sistemlerin tahrip edilip bozulması,

Bir “Risk Yönetim Süreci” olarak ele alınması gereken bu konunun insan, sistem ve teknoloji olmak üzere 3 boyutu vardır. Bu 3 boyutun aynı hassasiyetle ele alınması ve sistematik bir şekilde yönetilmesi başarı için elzemdir (Atalay, 2020). Bu süreçte özellikle Uzaktan Çalışma (Teleworking) ile birlikte Video Konferans, VPN, vb. çok sayıda yeni terim hayatımıza girmiş olup özellikle Siber Saldırılar nedeniyle yukarıda bahsi geçen çok sayıda sorun ile mücadele etmek zorunda kalınmıştır (Atalay, 2020). Covid-19 sürecinde uzaktan çalışma, evde kalma zorunlulukları, sokağa çıkma yasakları, seyehat kısıtlamaları vb. nedenlerle dünyada ve ülkemizde İnternet ve Sosyal medya kullanımı büyük ölçüde artmıştır. İş ile ilgili işlemler, alışveriş, bankacılık, eğitim, eğlence gibi günlük hayatın pek çok faaliyeti İnternet üzerinden yapılmış bundan sonra da yapılmaya devam edilecektir (Atalay, 2020). Küresel Siber Güvenlik firması TrendMicro tarafından yayınlanan aşağıdaki verilere göre 2020 yılının 1. çeyreğinde Siber Tehdit ve Saldırılarında daha önce görülmemiş miktarda artışlar görülmektedir (Atalay, 2020). 2020 yılının ilk 3 ayında bir önceki döneme göre 220 kat artışla 900 binin üzerinde isimsiz yada istenmeyen mesaj (spam message), Covid-19 konulu 700 den fazla kötücül yazılım (malware), önceki döneme göre %260 artışla 48 bin kötücül yada sahte Internet adresi (URL) gibi çok sayıda Siber tehdit insanlara hayatı zorlaştırmıştır (Atalay, 2020).

Video Konferans Hizmetlerine Siber Saldırılar

Bilgisayar korsanları çalışanların kimlik bilgilerine erişmek için kimlik bilgileri doldurma tekniklerini kullanmakta ve çalınan verileri diğer siber güvenlik suçlularına satılmaktadır (URL-1). Video konferans platformlarına güvenen işletmeler için bu durum ciddi bir aksaklık doğurmaktadır. Kimlik bilgisi doldurma aynı zamanda bilgisayar korsanlarının diğer hesaplara erişmek için daha önce çalınan kullanıcı adı ve şifre kombinasyonlarını kullandığı bir siber saldırı şeklidir. Bireylerin birden fazla hesapta aynı kullanıcı adı/şifre kombinasyonunu kullanmasının çok yaygın bir durum olması bu saldırı şeklini doğurmaktadır. İstenmeyen ve davetsiz üyelerin sanal toplantılara erişim sağlaması hassas bilgileri kamuya açık hale getirerek veya başka bir tarafa satarak şirketin itibarını zedelemektedir (URL-1).Siber tehdit ortamı çeşitlidir:

Çağımızın yaygın sorunlarından biri olan siber saldırılar ve tehditler; kişileri, şirketleri ve devletleri zor durumda bırakabilmektedir. Tüm dünya 2000’li yılların başından beri bu sorunla boğuşmaktadır. Ancak Covid-19 sürecinde bu risk daha büyük boyutlara ulaşmıştır.Siber Suç Aktörleri Tehdit ve Saldırını çok sayıda değişik teknik ve yöntemle gerçekleştirmektedir (Atalay, 2020). Bunlardan bazıları şunlardır;

  • Başkası yerine geçme (Masquerading)
  • Oltalama/yemleme (Phishing)
  • Yoğun e-posta gönderimi (Spam)
  • Hedef IP’lerin izlenmesi/kaydı
  • Sosyal mühendislik (Social engineering)
  • Kötücül yazılım (Malware) bulaştırma
  • Truva atı (Trojan)/Virus yerleştirme
  • Şifre kırılarak/çalınarak yetkisiz erişim
  • Elegeçirilen bilgisayar ve sistemleri köleleştirme
  • Uzaktan mikrofon yada kamera açılarak dinleme, izleme
  • Şebeke tarama (Network scanning) yöntemi ile yapılanları izleme
  • Hedef sistemin güvenlik duvarı aşılarak sisteme sızıp veriler çalma
  • Hedef sistemde barınan ve verilen hizmetleri serviş dışı bırakma (Denial of Service)
  • Sahte IP adresi üzerinden saldırı kaynağı gizlenerek işlem gerçekleştirme (İp Spoofing

Daha az denetimli ve daha az teknik kontrol ile evden çalışan bazı kötü niyetli çalışanlar, dolandırıcılık veya farklı suç faaliyeti gerçekleştirmeye teşvik edilebilmektedir (URL-1). Siber saldırılardaki ani artışın nedenlerinden biri, bazı küçük ve orta ölçekli işletmelerin 'Kendi Cihazını Getir' yaklaşımını benimsemesi yani çalışanların kurumsal bilgilere erişmek için kendi kişisel cihazlarını (telefon, tablet veya dizüstü bilgisayar) kullanmasından kaynaklanabilmektedir (URL-1). Evden bu şekilde çalışmak, ofis ortamında çalışma ile aynı düzeyde siber saldırılara karşı güvenliğin sağlanmasını garanti edemez. Kurumsal dosya ve verilere erişmek için kişisel cihazların kullanıcılar tarafından bu şekilde kullanılması kurumları siber saldırılara karşı açık hedef haline getirmekte veya daha fazla maruz bırakmaktadır (URL-1). Örneğin, ofis ortamında çalışanlar düzenli olarak bir virüsten koruma veya kötü amaçlı yazılımdan koruma taraması yaparken, ev ortamında, gelişmiş kurumsal önleme ve algılama önlemlerine sahip olamamaktadır. Bu duruma ek olarak, ev Wi-Fi ağlarına saldırmayı daha açık hale getirmekte hatta kolaylaştırmaktadır.

Bu tehditlerin çoğu, COVID-19 salgını sırasında ortaya çıkan fırsatlar nedeniyle yoğunlaştı.

Teknolojinin kullanımı sırasında olabilecek insan hatası pandemiden önce "siber güvensizliğin" başlıca nedeniydi (URL-1). Çalışanlar bilmeden veya pervasızca yanlış kişilere erişim izni veriyordu ancak ancak pandemi süreci ile birlikte evde çalışma ile bu sorun daha da büyümüştür. Evden çalışma sırasında çalışanların yaptıkları iş aile üyeleri veya sosyal ziyaretçiler tarafından kesintiye uğrayabilir ve bu dikkat dağıtıcı unsurlar, bireyleri daha dikkatsiz hale getirebilmektedir. Bilgisayar tabanlı sistemlerinin, çalışma uygulamalarındaki bu değişikliklere ve insan hatasındaki artışa uyum sağlaması gerekmektedir. Güvenliği artırmak için kilit bilgi sistemlerine zaman aşımlarını dahil etmek, "dört göz ilkesini" uygulamak için kontrolleri geliştirmek ve otomatik kontrolleri uygulamak gibi birçok yolla gerçekleştirilebilir (URL-1).  Siber saldırıların değişen doğası

Bilgisayar korsanlarının çoğu oyunları yükselterek veya şirketlerin uzaktan çalışmaya geçişlerinden yararlanarak kötü amaçlı yazılımlar geliştirerek şirketlerin sistemlerine sızmaktadırlar (URL-1). Pandemi öncesinde, siber saldırıların yaklaşık %20'si daha önce görülmemiş kötü amaçlı yazılım veya yöntemler kullanılarak yapılırken pandemi sırasında ise bu oran %35'e yükselmiştir. Saldırılardan bazıları, ortamına uyum sağlayan ve tespit edilmeyen bir tür makine öğrenimi kullanmaktadır (URL-1). Örneğin, oltalama kampanyaları için aşı geliştirmeleri ile ilgili haberler kullanılmakta SMS ve ses gibi farklı kanallar ilave edilerek daha karmaşık hale getirilmektedir. Bilgisayar korsanları kurbanları fidye ödemeye ikna etmek için veri sızıntısı saldırılarını fidye yazılımlarıyla birleştirerek daha da karmaşık hale getirmektedirler. Sofistike siber saldırılardaki bu artış tehdidini karşılamak için "kullanıcı ve varlık davranışı analizi" veya "son teknoloji" algılama mekanizmalarını kullanmak gerekmektedir (URL-1). Bu mekanizmalar kullanıcıların normal davranışlarını analiz eder ve analiz edilen bu bilgi ile normal kalıplarda anormal sapmaların meydana geldiği durumları tespit etmek için uygulamaktadır.

İşletmeler yeni siber güvenlik risklerine hazır mı?

Uzaktan çalışma, birçok küçük ve orta ölçekli şirket için zorluklar yaratmıştır: karmaşık siber saldırılardaki artışa yeterince hazırlıklı olmadıkları ve siber güvenlik bilincini artırmak için bu alanda yol almaları gerekmektedir. Uzaktan çalışma yeteneklerinin hızlı bir şekilde devreye alınması sırasında siber güvenlik şirketler tarafından ne yazık ki öncelikli olarak dikkate alınmamıştır (URL-1). Örneğin, bazı şirketler, varsayılan olarak tasarlanmadıkları bir işi yapmak için sanal özel ağ (VPN) teknolojilerine güvenerek, çalışanları kurumsal verilere erişmeden önce kişisel cihazların standart güvenlik korumalarıyla donatıldığını kontrol etmezler. Şirketlerin müdahaleci olmadan güvenlik önlemleri uygulayabilmelerinin yolları vardır. Örneğin, ana bilgisayar denetimi, kurumsal uygulamalara erişime izin vermeden önce kişisel cihazlarda bireysel gereksinimleri doğrulayan bir teknolojidir. VPN'lerde ki güvenlik açıkları keşfedildiğinde ve bunlarla başa çıkmak için yamaların üretilmesi ve bu yamaların mümkün olduğunca en kısa zamanında uygulanması önemlidir (URL-1).

Şirketlerin ve çalışanların siber güvenliği nasıl artırabileceğine dair örnekler

Evden çalışan ve kişisel bilgisayarlarını kullanan (ve hatta şirkete ait bir cihazı kullananlar) çalışanlar, temel siber güvenlik uygulamalarına geçmelidirler. Bunlar uygulamalar şunları içermelidir (URL-1). Antivirüs koruması; Çalışanlara, kişisel bilgisayarlarında kullanılmak üzere virüsten koruma ve kötü amaçlı yazılım lisansı verilmelidir. Bu antivürüs programları güvenli bir koruma sağlamasa da birçok düşük seviyeli saldırıyı engelleyecektir (URL-1). Siber güvenlik bilinci; Personel, e-postaların veya diğer içeriğin özel e-posta adreslerine ve/veya bulut depolamaya gönderilmesini düzenlemeye yönelik en iyi uygulamalar ve prosedürler hakkında bilgilendirilmelidir (URL-1). Kimlik avı farkındalığı; Çalışanlar e-posta alırken dikkatli olmalı ve gönderenin adresinin doğruluğunu kontrol etmelidir. Ev ağı güvenliği; Çalışanlar ev Wi-Fi ağlarının güçlü bir parola ile korunmasını sağlamalıdır. VPN kullanımı; Sanal özel ağlar, evden internet kullanımına ek bir koruma katmanı ekler. Siber saldırıları önlemek için kendi başlarına güvenli değillerdir, ancak siber saldırılara karşı yararlı bir engel olabilirler (URL-1).

İşletmelerin benimseyebileceği bazı temel siber güvenlik stratejileri vardır.

Zayıf noktaları belirlemek; Tüm Bilgisayar Tabanlı sistemlerinin zayıf yönleri vardır. Şirketler, bunları belirlemek için testler yapmalı ve en kritik güvenlik açıklarını mümkün olan en kısa sürede düzeltmelidir. Güvenlik açığı taraması veya çeşitli türde sızma testi alıştırmaları şeklinde olabilir (URL-1).  Sürekli incelemeler yapılmalı; Şirketler, siber güvenlik riskine maruz kalmayı düzenli olarak değerlendirmeli ve mevcut kontrollerin yeterince sağlam olup olmadığını belirlemelidir. Bu incelemeler sırasında yakın zamanda ortaya çıkan yeni siber saldırı biçimleri dikkate alınmalıdır (URL-1). İş sürekliliği ve kriz planlarını yenilenmesi; İş kolları Yöneticilerinin iş sürekliliği planlarını güncel tutmaları ve siber saldırı senaryolarını göz önünde bulundurmaları gerekir (URL-1).Alınabilecek Daha Gelişmiş Önlemler Şunları İçerir:

Yeni teknoloji ve araçlar kullanmak; Şirketler uzaktan çalışmanın güvenliğini güçlendirmek için ana bilgisayar denetimi (kurumsal bilgi sistemlerine erişime izin vermeden önce bir uç noktanın güvenlik durumunu kontrol etmeye yönelik bir araç) gibi gelişmiş araçları kullanabilir (URL-1). İstihbarat teknikleri; İşletmeler ilgili saldırı göstergelerini belirlemek ve bilinen saldırıları ele almak için siber tehdit istihbaratının proaktif kullanımını teşvik etmelidir. Risk yönetimi; İşletmeler gelişmiş risk yönetimi için yönetişim, risk ve uyumluluk çözümlerini uygulayabilir. Risk ve uyumluluk çözümleri, şirketin maruz kaldığı risklerin ayrıntılı bir görünümünü sağlar ve çeşitli risk disiplinlerini (ör. siber güvenlik, operasyonel riskler, iş sürekliliği) birbirine bağlamaya yardımcı olur (URL-1). Saldırılara hazırlanın; Bu yüksek riskli zamanlarda, şirketlere bir siber saldırıya karşı tepkilerini hazırlamak için sık sık siber kriz simülasyon egzersizleri yapmaları tavsiye edilir (URL-1). Sıfır Güven; CISO (Baş Bilgi Güvenliği Yöneticisi)'lar ve CIO (Bilişim Kurulu Başkanı)'lar, siber güvenliğe sıfır güven yaklaşımı uygulamayı düşünmelidir. Bu yalnızca kimliği doğrulanmış ve yetkili kullanıcıların ve cihazların uygulamalara ve verilere erişmesine izin verilen bir güvenlik modelidir. "Varsayılan olarak verilen erişim" kavramına karşı koymaktadır (URL-1).

Sonuç

Siber güvenlik, çoğu şirketlerin yürütme kurulu toplantılarının gündeminde yer almakta, ancak pandemi sırasında artan tehditler göz önüne alındığında belki de daha fazla dikkat edilmesi gerekmektedir. Koronavirüsün ikinci dalgasının ve potansiyel bir üçüncü dalganın endişelerinin ortasında, şirketler tehditleri ele almada proaktif olmalı ve başarılı siber saldırılar gerçekleştiğinde yanıt vermek yerine onları önlemenin yollarını planlamalıdır. Ancak önleme tedbirleri önemli olmakla birlikte, siber saldırı tespit, müdahale ve kurtarma yeteneklerine de ihtiyaç vardır. Bu salgın siber saldırılarla ilgili riskleri başarıyla atlatabilmek için hazırlıklı olmak gerektiğini öğretmiştir. Öngörülemeyen olaylara hızlı tepki verme yeteneği, bir siber saldırının etkisini azaltmaya yardımcı olur. Güvenli uzaktan çalışma özelliklerinden yararlanan şirketler, siber tehditlerin sürekli artışıyla yüz yüze kalacağından siber saldırılara karşı daha hazırlıklı olacaktır. Hazırlıksız yakalanan şirketler, siber tehditlere maruz kalma durumlarını hızla değerlendirmeli ve önerilen uygulamalarla siber güvenlik açıklarını gidermek için girişimlere öncelik vermelidir. Ayrıca, şirkete ait cihazlar, gizli ve hassas verilere uzaktan erişime izin veren şirketler için bir standart oluşturulmalıdır. Kişisel bir cihazdan kurumsal verilere erişim kabul edilebilir olduğunda, siber riskler de değerlendirilmeli ve siber tehditlere maruz kalmayı sınırlamak için önlemler alınmalıdır. Aslinda şirketlerin "eğer saldırıya uğrarlarsa" bakış açılarını "ne zaman" olarak değiştirmeleri ve veri gizliliği veya fidye yazılımı ihlallerinden kaynaklanan etkilerin mali açıdan yıkıcı olabileceğini kabul etmeleri gerekmektedir. Siber saldırıların arkasındaki tek nedenin finansal kazanç olmadığı da göz ardı edilmemeli ve sosyal ve politik meseleler için savaşma amacı güden ve ticari itibara zarar vermek isteyen yapıların tehditleri de dikkate alınmalıdır.

Kaynaklar

Akça, M., Küçükoğlu, M.P. 2020. Covıd-19 ve İş Yaşamına Etkileri: Evden Çalışma, Journal of International Management, Educational and Economics Perspectives, 8(1), 71-81.

Atalay, A.H. 2020. Gazi Üniversitesi-Bilişim Enstitüsü Etik Hacker Dersi, Ders Notları.

URL-1 :https://www2.deloitte.com/ch/en/pages/risk/articles/impact-covid-cybersecurity.html

 


İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları