Yeni tip koronavirüs (COVID-19) salgını ekonomik, sosyal ve siyasal yapılara oldukça büyük zararlar verdi. Buna ek olarak, dijitalleşme ve sanallaşma trendleri, sosyal mesafe ve sokağa çıkma yasakları gibi alınan önlemler doğrultusunda salgın boyunca daha da görünürlük kazandı. Fırsatı olan çalışanlar büyük oranda uzaktan çalışmak zorunda kaldı, tüm konferanslar, toplantılar ve görüşmeler sanal ortama aktarıldı. Fakat tüm bunları gerçekleştirirken sistemlerimiz gerçekten güvenilir, dirençli ve saldırılara karşı dayanıklı bir halde miydi? Hastanelerden hasta bilgileri gibi özel bilgilerin çalınması, video-konferans uygulamalarındaki güvenlik açıkları aslında siber güvenliğin yeniden keşfedilmesine de sebep oldu. Nitekim, salgın tüm hızıyla devam ederken, siber saldırganlar, verilerin gizliliğine, bütünlüğüne ve kullanılabilirliğine zarar vererek, onları ele geçebilmek için her yolu denedi [1].
Tüm bu gelişmeler değişen iş süreçlerinin ve iş yapma kültürünün, teknolojik gelişmeler ve siber güvenlik önlemleri çerçevesinde yeniden gözden geçirilmesi gerektiğine işaret ediyor. Nitekim, COVID-19’un hayatımıza getirmiş olduğu hızlı ve yeni değişiklikler nedeniyle, işgücünün büyük bir kısmı kendini dijital ortama taşıyor. Birçok şirket bu hızlı değişimin ardından, var olan ve potansiyel siber zafiyetlere karşı kendine geçici korunma önlemleri edindi. Ancak, bu geçici çözümlerin farkına varan siber suçlular siber güvenlik politikalarını zorlayacak ve onların ihlal edilmelerine neden olacak yolları aramaya başladı bile [2].
Bazı güvenlik firmalarının analizlerine göre, yeni tip koronavirüs bilgi güvenliği üzerinde oldukça önemli bir etki yarattı ve saldırganlar pandemi ile öne çıkan kaos, infodemi ve toplumsal krizi kendi lehlerine kullanmaktan çekinmedi. Bazı şirketlerin araştırmalarına göre, salgın süresince yaşanan siber saldırı olayları analiz edildiğinde saldırganların iki ana metodu kullanma eğilimi ortaya çıkıyor: kötücül e-posta saldırıları ve kullanıcıların kimlik bilgilerine yapılan saldırılar[3].
COVID-19 Siber Riskleri Nasıl Arttırdı?
Sosyal etkinlikler, dolaşım ve seyahat kısıtlamaları arttıkça, saldırganlar dijital dünyadaki faaliyetlerini arttırdı. Okulların kapanmasıyla online olarak devam eden eğitim ve şirketler toplantıları dijital araçlar kullanılarak devam etti. Ayrıca evdeki boş zamanlarında insanlar, internet üzerinden alışveriş yaptı, kitap okudu ve sosyalleşti. Dijital alanda yoğunlaşan aktiviteler siber güvenlik kuralları ve operasyonları üzerinde büyük bir baskı ve stres oluşturdu.
Araştırmalara göre, artan dijital faaliyetler çerçevesinde göze çarpan başlıca siber güvenlik açıkları aşağıdaki gibi sıralanıyor:
- Evden çalışmak siber saldırılara tam anlamıyla bir davetiye çıkarmış oldu. Evden çalışmaya yönelik düzenlemelere doğru yapılan hızlı geçiş, uzun süredir siber güvenlik açısından zaten var olan zorlukları daha da arttırdı. VPN kullanmayan kişiler tarafından güvenli olmayan verilerin aktarılması, risk azaltma davranışlarının uygulanmasında büyük bir ölçüde zayıflama gibi faktörler ön plana çıktı. Home Office çalışanlar, verilere ve sistemlere ne kadar çok erişmeye çalışırlarsa, şirketler riskli fakat geçici çözümleri bir o kadar fazla kullanmaya devam etmek zorunda kalacaklar. Bu durumda, siber güvenlik ekibinde olan kişilerin uzaktan çalışma sistemlerini daha güvenli bir hale getirmeleri, VPN’leri ve diğer kullanılan araçları test edip ölçeklendirmeleri gerekiyor. Ayrıca çalışanların internete bağlanabilen kanallar aracılığı ile kritik altyapılara güvenli bir şekilde bağlanabilmeleri için erişim politikalarının tekrardan incelemek gerekiyor.
- Sosyal mühendislik olayları COVID-19 ile hız kazandı. Saldırganlar gerçek kullanıcıları kandırarak korunan sistemlerden bilgi ve para çalmaya ya da sistemlere erişim kazanmaya çalışmaya devam ediyor. Örneğin, saldırganlar evden çalışma şartlarını kullanıp şirketlerin destek hatlarını arayarak “text phishing”, “voice phishing” gibi teknikler vasıtası ile kendilerini çalışan gibi tanıtarak gizli bilgilere ve sistemlere erişim sağlamaya çalıştılar.
- Saldırganlar, kötü amaçlı yazılımlarını aktarabilmek için zayıf güvenliğe sahip web sitelerini kullanıyor. Salgın ile savaşmak ya da bilgi paylaşmak adına yeni internet siteleri ve domainler oluşturuldukça saldırganlar bu yeni web siteleri üzerinde zayıf noktaları bularak sürücü indirmeleri yolu ile kötü amaçlı yazılımlarını kullanıcılara yayabiliyor. Örneğin yaşanmış bir vakada, bir siber saldırgan kamu kurumunu hedef alarak, oluşturmuş olduğu kötü amaçlı yazılımları salgın tedbirleri ile ilgili bir dokümana gömerek bunu resmi otoriterden gönderilmiş resmi bir tebliğ gibi yayınladı. Bu tür kötü amaçlı uygulamalar indirdiğiniz ortama yüklendikten sonra kullanıcının, -kredi kartı bilgileri, bitcoin-cüzdan anahtarları da dahil olmak üzere- tüm gizli verilerini çalabilir.
- Salgın süresinde siber tehditler özellikle kamu sektörü üzerinde büyük bir baskı yarattı. Örneğin, Kuzey Amerika’da büyük bir devlet kuruluşu, hizmetleri kesintiye uğratan ve halka yanlış bilgiler vermeyi amaçlamış bir hizmet reddi saldırısına uğradı. Avrupa’da ise büyük bir hastane işlemleri askıya alan ve BT ağını kapatıp, bakım gerektiren hastaların başka bir tesise taşımasını zorunlu kılan bir siber saldırı ile karşı karşıya kaldı. Bir diğer saldırıda ise, devletin içerisinde bir departmanın web sitesi bir fidye yazılım tarafından şifrelendi ve yetkililerin bilgi paylaşımı ve dosyalara erişimi engellendi.
Salgın, Dijitalleşme ve Çıkarılacak Dört Ders
Yanal Hareketleri Anlamak*: Çevrimiçi dünyada, saldırganlar öncelikle düşük değeri ve zayıf koruma kalkanı olan hedefleri seçiyor ve bu hedeflerdeki zafiyetlerinden faydalanarak ve daha üst katmanlara yayılarak daha değerli varlıkları elde etmeyi hedefliyorlar. Peki saldırganlar neden bu tarz bir yol izlemeyi seçiyor? Ağların tüm uç noktalarına kadar koruma sağlamak çok kolay değil. Bu nedenle, bir saldırgan öncelikle görece zayıf güvenlik kalkanına sahip bir konum ya da hesap bularak faaliyete geçiyor. Bir ağ geniş olmasına rağmen, düşünüldüğünün aksine bir yerden başka bir yere ulaşmak için çok fazla yanal hareket taktiğini uygulamayı gerektirmiyor. Bu çerçevede, sosyal ağların, çevrimiçi dünyasında "yanal hareket" aslında bir saldırganın cephanesinde olabilecek en iyi araçlardan bir tanesi olarak karşımıza çıkıyor. Bu nedenle, siber saldırılarla mücadelede, kötü amaçlı yanal hareketleri engellemek ve izlemek siber güvenliğin sağlanmasında önemli bir adım olabilir.
“Hastalığı” Tespit Etmek, Çerçevelemek ve Önüne Geçmek: Siber saldırıları yeni tip koronavirüs ile ilişkilendirecek olursak, salgına karşı mücadelede neden ülkelerin yapmış olduğu test sayısının önemli olduğunu anlamak önemli. Ülkeler aslında agresif test yapma yöntemine başvurarak hastalığın gerçekte nerede olduğunu görebiliyor ve önüne geçebiliyor. Gerçek dünya ile dijital ortam bu hususta benzeşiyor. Dijital ortamda da “enfeksiyonun” ve “anomalilerin” hangi bölgelerde olduğunu bilmek anında onlarla müdahale edebilmemiz için çok büyük bir önem taşıyor. Gerçek dünyadaki hastalıklar için temas izleme yöntemini kullanıyoruz. Bir kişinin testinin pozitif çıkması ile hemen etrafında olan kişilerin tespiti ve virüsün onlara bulaşıp bulaşmadığı salgının kontrol altına alınabilmesi için önem taşıyor. Fakat bu kural dijital ortamda çok daha farklı ve zor bir şekilde işliyor. Bunun nedeni ise, bilgisayarların bir ağ üzerinde çok farklı ve değişebilen yönlerde iletişim kurması. Bunu bir insanın her gün bir şehirden başka bir şehre uçması gibi düşünebiliriz. Çevrimiçi bir krizde, “bu hastalık buraya nasıl bulaştı ve bundan sonra nereye gidiyor?” sorusuna bulabileceğimiz basit bir cevap yok. Bu cevabı bulabilmek adına, güvenlik ekiplerinin bir saldırının çok öncesinde bir ağı haritalaması ve kuruluşun tüm erişim yolları ile normal bilgi akışının şemasını anlaması gerekiyor. Dijital dünyada bir davranışı analiz etmek kolay değil fakat insan düşüncesine meydan okuyabilen ve bu gibi soruların cevaplarını daha iyi analiz edebilmek için kullanılacak otomasyon ve algoritmalar geliştirilmeye devam ediyor.
Krizi Yavaşlatmak: Hastalığın yayılmasını engellemek için uygulanan evde kalma tedbiri aslında tıbbi sistemlerimiz üzerinde olan baskıyı azaltmak için atılan bir adım. Benzer şekilde, dijital bir ortamda olan saldırıyı yavaşlatmakta da bizlere çok büyük faydalar sağlayabilir. Dijital dünyada tespit edilen her saldırganın ve saldırının durdurulamayacağını biliyoruz fakat bu saldırıları yavaşlatabilmek ve karantina altına alabilmek gibi imkanları değerlendirmek önemli.
Hijyen Önemlidir: COVID-19 salgını ile mücadelede sıklıkla tekrarlanan tavsiyeler daima aynı: “Ellerinizi yıkayın”. Bu tedbir aslında yıllardır tüm endemi ve pandemilerle mücadelede ilk savunma hattı olarak görülüyor. Bu tedbir dijital ortamda da hemen hemen aynı şekilde tekrar edilebilir: “Siber hijyen önemlidir”. Dijital alanda hijyen dendiğinde, ağlarınızda ne olduğu, cihazlarınızın güvenli bir şekilde yapılandırılıp yapılandırılmadığı, ağınızın kurulumu, değişikliklerin sistemin güvenlik kısmını etkileyip etkilemediği ve değişikliklerin yönetimi gibi hususlara önem vermek olarak anlaşılabilir [4].
Sonuç olarak, salgınla mücadelede alınan önlemlerin ve en iyi uygulamaların dijital dünyada doğru olarak anlaşılması, dijital ve fiziksel dünyanın birbirinden çok da ayrışmadığı günümüz dünyasında siber güvenliğin sağlanması anlamında önemli çıktılar sunabilir. Salgın devam ettikçe ve bizleri değişime zorladıkça, siber saldırganlar da saldırı planlarını değiştirerek ve güncelleyerek bilgilerimizi çalmak için çabalarını sürdürmeye devam edecekler. Bu durum saldırıların tespit edilmesi, izlenmesi ve saldırılara müdahalenin de yanı sıra, sistemlerin ve yapıların dirençliliğini de sürekli kılmayı zorunlu hale getiriyor [5].
* Lateral Movement/Yanal Hareket: Bir ağa sızıldığı zaman ağ içinde sistemden sisteme atlamalar olarak tanımlanmaktadır.
Kaynakça:
[1] https://blog.logsign.com/coronavirus-impact-on-cyber-security/
[4] https://www.darkreading.com/operations/4-cybersecurity-lessons-from-the-pandemic/a/d-id/1337535
Derleyen: Ceyda Kahya