Dr. Nazif Burca

Geçtiğimiz ay 12 Mayıs sabahı  ağırlıkta Avrupa ülkeleri olmak üzere, tüm dünya genelinde “WannaCry” adlı bir siber saldırı gerçekleştirildi. Uzmanlar saldırının bugüne kadar yaşanmış en büyük ve en yaygın saldırı olduğunu belirtiyor. Saldırıdan özellikle hastaneler olmak üzere birçok kuruluş etkilendi. Sizler de belki şahit olmuşsunuzdur. 15 Mayıs’ta eşimle birlikte Ankara’da bir hastaneydik, hastane sistemlerinde işlemlerin yapılamaması nedeniyle iki saatten fazla bekledik ve işlemlerimiz tamamlanamadan hastaneden ayrılmak durumunda kaldık. Saldırı, siber saldırıların en yaygın çeşitlerinden olan fidye  yazılım (ransomware) saldırısıydı. Saldırıdan etkilenen bilgisayarların tüm verileri şifrelenerek, kullanıcı erişimi engelleniyor ve şifrelenen verilere ulaşabilmek için 300 Dolar değerinde Bitcoin fidye olarak isteniyordu. Eğer bu fidye ödenmezse üç gün içerisinde ikiye katlanıyor ve bir hafta içinde ödenmezse bilgilerinizin silineceği belirtiliyordu. Saldırıdan 150  ülkede 230 bin civarında bilgisayarın etkilendiği belirtiliyor. Siber saldırılar birçok kişi, kurum ya da kuruluşa çok ciddi maliyetlere neden oluyor: bilgilerine erişemeyen insanlar, hizmet veremeyen firmalar, müşteri kayıpları, gizli bilgilerin istenmeyen kişilerin eline geçmesi, itibar kayıpları, mali kayıplar, regülasyon cezaları vb. Siber saldırıların maliyetinin 2020 yılına kadar 3 trilyon Dolara ulaşacağı tahmin edilmektedir. Medyadan edindiğim bilgiye göre, bu son saldırıda ülkemizin fazla etkilenmediği belirtilmektedir. Bununla birlikte, STM firması tarfından hazırlanan “Siber Tehdit Durum Raporu Ekim-Aralık 2016” raporunda; ülkemizin, 2016 yılında Avrupada bölgesinde fidye yazılımı saldırılarını en fazla yaşayan ülke olduğu, dünyada ise Amerika ve Brezilya’dan sonra üçüncü sırada yer aldığı ifade edilmektedir.

Olayın gelişimini kısaca hatırlarsak; Amerikan Ulusal Güvenlik Ajansı (NSA, National Security Agency) Windows işletim sistemlerinde bir zaafiyet/açık tespit ederek, bu açığı depoluyor. NSA’nın depoladığı kod “TheShadowBrokers” isimli bir hacker grubu tarafından ele geçiriliyor. Bu durum  basına sızdıktan sonra  Microsoft bu zaafiyeti giderecek bir yama (patch) geliştiriyor ve 14 Mart tarihinde güvenlik güncellemesinin duyurusunu yapıyor. Bu güncellemeden yaklaşık iki ay sonra 12 Mayıs’ta bu saldırı gerçekleşiyor. Zararlı yazılımın (malware)  bilgisayara ilk olarak nasıl bulaştığı konusu çok net değil ancak Avrupada bir bilgisayar kullanıcısının e-mail ekinde gelen zararlı yazılım barındıran bir dosyayı açması sonucunda bulaştığı belirtiliyor. Zararlı yazılım ağlar (network) üzerinden kendiliğinden yayılma yeteneği olduğu için bilgisayardan bilgisayara bulaşarak yayılıyor.

Sizce bu saldırının yaygın bir şekilde etkili olabilmesinde ve zarara uğrayan firma ve kuruluşlarda sorumluluk kime veya kimlere ait?

• Bu açığı tespit eden, bu tür açıkları gerektiğinde kendi amaçları için kullanmak üzere depolayan, zaafiyet kodunun siber korsanların eline geçmesini engel olacak sağlamlıkta iç kontrollerini geliştiremeyen Amerikan Ulusal Güvenlik Ajansı mı?
• Üzerinde açık barındıran işletim sistemini geliştiren, bu tür açıkları başkalarından önce kendileri tarafından tespit edilmesini sağlayacak iç kontrollerini geliştiremeyen ve bu açığı barındıran Windows XP gibi eski işletim sistemlerini desteklemeyen Microsoft mu?
• Zararlı yazılımı barındıran e-mail ekini açarak, zararlı yazılımın bilgisayarlara bulaşmasına neden olan, çalıştıkları kurumların (varsa) güvenlik prosedürlerini ihlal eden son kullanıcılar mı?
• Açığı giderecek yama aylar öncesinden geliştirilip duyurulmasına rağmen, bu yamayı ilgili işletim sistemlerine uygulamayı başaramayan, Microsoft tarafından güncellenme desteği sağlanmayan saldırıya açık eski işletim sistemlerini kullanmaya devam eden, firma ya da kuruluş çalışanlarını zararlı yazılımlar konusunda yeterince eğitmeyen ve onların farkındalığını artırmayan, güvenlik konusundaki iç kontrollerin tasarlanması ve uygulanmasında en başta sorumluluğa sahip olan IT birimleri mi?
• Saldırıya uğrayan firma ya da kuruluşların genel olarak iç kontrollerinin tasarlanması, uygulanması ve risklerin yönetiminden sorumlu olan üst yönetimleri mi?
• Güvenlik vb risklerin yönetilmesi konusunda birinci seviye yönetim birimlerine yardımcı olan, yönlendiren ve monitör etmesi gereken risk yönetimi ve uyum gibi ikinci seviye savunma hattını oluşturan birimler mi?
• Saldırıya uğrayan kuruluşlarda iç kontrollerin etkinliğini test etmek, güvence vermekten sorumlu olan ve üçüncü savunma hattında yer alan iç denetim birimleri mi?
• Firma ve kuruluşların maruz kaldığı risklere karşı, iç kontrollerin gözetiminden sorumlu olan yönetim kurulları ve alt komiteleri (denetim komitesi, risk komitesi) mi?

Olaya bir de şu yönden bakalım: Eğer saldırıya uğrayan firma ve kuruluşların güncelleme yamalarının ilgili işletim sistemlerine zamanında uygulanmasını güvence altına alan, dizayn yönünden etkin yani sağlam iç kontrolleri olsaydı ve bu kontroller amaçlandığı gibi çalışsalar yani operasyonel olarak etkin olsalardı bu saldırıların gerçekleşmesi mümkün olmazdı. Çünkü bu zararlı yazılım ancak güncelleme yapılmamış işletim sistemlerini kullanarak yayılmayı başarabiliyordu. İç kontroller belirlenen hedeflere ulaşılmasına engel olabilecek risklerin etki ve olasılıklarını azaltan böylece hedeflere ulaşılması konusunda makul güvence sağlayan tedbirlerdir. Saldırıya maruz kalan kuruluşların süreçlerinde bulunması gereken bazı temel iç kontrolleri şöyle  sıralayabiliriz:

• Geliştirilen yamaların firma veya kuruluşta bulunan işletim sistemlerinin tamamına, zamanında ve doğru bir şekilde uygulamasını güvence altına almayı sağlayan önleyici (preventive) kontroller, bu yamalar amaçlanan şekilde uygulanamamışsa bu durumu ortaya çıkaracak tespit edici (detective) Örneğin yamaların otomotik olarak yapılmasını sağlayan sistem varsa bunun aktif edilmesi ve güncelleme geldiğinde otomotikman bu güncellemelerin yapılmasını sağlayan otomotik ve önleyici bir kontrol. Böyle bir otomotik kontrolümüz yoksa, güncellemelerin takibini sağlayan manuel bir kontrol. Böylece gelen tüm yamaların öngörülen şekilde ilgili tüm sistemlere yüklenildiğinden emin olabiliriz. Böyle bir otomotik veya manuel bir kontrolümüz yoksa yukarıda açıkladığımız siber saldırılar da kaçınılmaz olur. Otomotik kontroller manuel kontrollere tercih edilir. Ayrıca kontrol sonuçlarının dokümante edilmesi de kritiktir. Aksi takdirde bu kontrollerin gerçekleştirilip gereçekleştirmediğini ispat etmek mümkün olmaz. Tabi yama yapmanın zorluklarını da unutmamak gerekir. Yama yapmak yürüyen bir arabayı tamir etmek gibi bir işlem olduğundan bu işlemin yama yapılan sistemin yürüttüğü hizmetlerin aksatılmadan yapılması çok önemlidir.
• Olası tehlikelere karşı yedeklemelerin periyodik olarak yapılmasını, yapılmadığında bunların ortaya çıkarılmasını sağlayan önleyici ve düzeltici (corrective) kontroller.
• Kötü niyetli dosya barındıran e-mailleri kişilerin mail kutusuna düşmeden bunları tespit eden ve etkisiz hale getiren sistemsel, otomotik ve önleyici kontroller,
• Bir şekilde personelin mail kutusuna düşmüş olan şüpheli maillerin açılmaması konusunda çalışanlarımızın farkındalıklarını artıran eğitimlerin alındığını güvence altına alan önleyici kontroller.
• Saldırı gerçekleştirildiğinde saldırıların etkilerini azaltan, düzeltilmesini sağlayan ve gerekli önlemlerin hızlıca alınmasını temin eden düzeltici kontroller.

Bu kontroller bu saldırı çerçevesinde ilk akla gelen kontroller, ancak işletme süreçlerinde ilave diğer IT kontrolleri bulunmalıdır.

İç kontroller hedeflere ulaşılmasını yüzde yüz garanti etmez. İnsan kararlarının yargıya dayalı olması ve hatalar (jugments and breakdowns), yönetimin iç kontrolleri hükümsüz kılması (management override), yönetim, personel ve üçüncü tarafların kontrolleri atlatması (collusion) organizasyonun kontrolü dışındaki dış etkenler (external events) gibi iç kontrolleri sınırlayan ve yüzde yüz güvence vermesini engelleyen faktörler söz konusu olabilmektedir. Bu sınırlamalar nedeniyle iç kontroller ancak makul güvence sağlarlar. Bu şekilde iç kontrolleri hükümsüz kılan unsurlar olmadığı müddetçe, sağlam iç kontroller  üzerine düşen vazifeyi her zaman yapacaktır.

Bu saldırıların bu derece başarılı olmasında ve kurum ve kuruluşların zarara uğrasında, zararlı yazılım barındıran e-mail ekini açan çalışanlardan başlamak üzere, iç kontrollerin gözetiminden sorumlu olan en üstteki yönetim kurullarına kadar; iç kontrollerini etkin bir şekilde oluşturamayan, çalıştıramayan, gözetleyemeyen ve denetleyemeyen tüm birimlerin sorumluluğu olduğu kanaatindeyim.

İç kontrollerin iyi işletilememesinin en önemli bazı sebeplerini; kontrol ortamının zayıflığı, kontrollerin süreç sahibi birimlerce yeterince sahiplenilmemesi, kontrollerin sahipliği konusunda farkındalığın zayıf olması, kontrollerin dokümante edilmemesi, kontrollerin gereksiz bürokrasi oluşturduğu yönündeki yanlış kanaatler, kontrollerin iç denetimin işi olduğunun zannedilmesi olarak ifade edebiliriz.

“İç kontrol” sık sık “iç denetim”le karıştırılır. İç kontrollerin iç denetimin işi olduğu zannedilir. Oysa, iç kontrollerin her türlü sorumluluğu firma veya kuruluşun ilgili süreçlerinde yer alan personel ve yöneticilere aittir. İç denetçiler ise, bu kontrollerin etkinliğini denetleyerek üst yönetime ve yönetim kurullarına güvence sağlamakla ve gerektiğinde danışmanlık yapmakla görevlidirler.

Bu saldırılar iç kontrollerin bulunmasının ve sağlıklı olmalarının önemini bir kez daha net bir şekilde göz önüne serdi. Şimdi saldırıdan etkilenen bir çok firma kontollerini güçlendirmek için güvenlik harcamalarını artırmaktadır. Oysa bir saldırıdan önce güçlendirilen önleyici kontrollerin maliyeti, problem ortaya çıktıktan sonra geliştirilen kontrollerden daha düşüktür. Firma ve kuruluşlarda görevli bir personel, aile içerisinde bir birey, toplum içerisinde bir vatandaş olarak her birimiz hayatımız ve iş süreçlerimiz içinde yer alan tüm iç kontrollerimizi sağlam ve taze tutalım, böylece istemediğimiz olaylara maruz kalma olasılığımızı en aza indirelim lütfen.

Siz de değerli görüş ve yorumlarınızı paylaşırsanız çok memnun olurum.