Dr. Nazif Burca

27 Haziran Salı günü; başta Ukrayna, bazı Avrupa ülkeleri ve Amerika olmak üzere 64 ülkede Petya (PetrWrap, ExPetr) adı verilen yeni bir siber saldırı gerçekleştirildi. Saldırı fidye yazılımı (ransomware), olmakla birlikte, fidyeden daha büyük ve kalıcı zararlar vermeyi hedeflediği belirtiliyor. Saldırıdan çok sayıda kurum ve kuruluş etkilendi. 12 Mayıs’ta global olarak yaşanan WannaCry  siber saldırısı kadar yaygın olmamakla birilikte, ondan daha büyük zararlar verebilecek nitelikte olduğu belirtilmekte. Bu saldırıdan ülkemizin fazla etkilenmediği belirtilmekle birlikte, STM firması tarafından hazırlanan raporda, 2016 yılında ülkemizin Avrupa bölgesinde en çok fidye yazılımı saldırısı yaşanan ülke olduğu ifade edilmektedir. Bu saldırıların nasıl ve neden oluştuğuna ilişkin kök nedenlerin detaylı incelenmesi,  bundan sonraki olası saldırılara karşı tedbirlerin güçlendirilmesi açısından büyük önem arz etmektedir. İç kontroller, organizasyonların karşı karşıya olduğu riskleri minumuma indirmeyi amaçlayan, genel olarak sistem, süreç ve insanlardan oluşan tedbirlerdir. İç kontrollere ilişkin olarak, bu saldırıdan çıkarılabilecek bazı dersleri şöyle özetleyebiliriz:

1. Güvenlik yamaların yapılması: Saldırıda kullanılan zararlı yazılımın yayılmasını önleyen güvenlik yaması (MS17-010) Microsoft tarafından 12 Mart tarihinde yayınlanmış olmasına rağmen saldırı tarihine kadar bu yamayı uygulamayı başaramayan kuruluşlar bu saldırıdan daha çok etkilendi.  Bu durum, kısa bir süre önce yaşanan WannaCry saldırısının da en önemli kök nedenleri arasında olmasına rağmen, yamaların zamanında tamamlanmadığını gösteriyor. Öncelikle, güvenlik yamalarının eksiksiz bir şekilde ve zamanında yapılmasını sağlayan sistemsel ve manuel kontrollerin tesis edilmesi kritik önem taşıyor.
2. Tedarik zinciri güvenliğinin sağlanması: Saldırının, Ukrayna merkezli bir yazılım firmasının güncelleme dosyaları içerisinde gönderilen zararlı yazılımın sistemlere bulaştırılmasıyla başladığı belirtiliyor. Daha önce gerçekleştirilen birçok büyük saldırı gibi (2013 Target, 2014 Home Depot, 2015 RSA ve U.S. Office of  Personnel veri ihlalleri vb) bu saldırı da, hedef kurumun networküne bağlı olan üçüncü parti firmalar üzerinden gerçekleştirildi. Saldırıyı yapanlar hedef organizasyonların güçlü iç kontrollerini aşamadıklarında, o firmalara mal veya hizmet sağlayan firmaların açıklarını kullanmayı tercih ediyorlar. Bu durum firmaların, sadece kendi iç kontrollerini sağlamlaştırmasının yeterli olmadığını, mal veya hizmet aldıkları firmaların da (dışkaynak firmaları, tedarikçileri, partnerleri) güvenlik risklerini kaygı çekmelerinin ve onların iç kontrollerinin yeterliliğinden emin olunması gerektiğini bir kez daha net bir şekilde ortaya koydu. Bu nedenle, ana firmaların; tedarik zincirlerinde yer alan firmaların, sistem, süreç ve insan kaynaklarına ilişkin iç kontrollerini gözden geçirecek mekanizmaları kurmaları (örneğin tedarikçi firmalarla yapılan sözleşmelere güvenlik süreçlerinin denetim hakkının konulması gibi) önem arz etmektedir.
3. Personel eğitimleri ve farkındalığının artırılması: Saldırıda kullanılan zararlı yazılımın, hedef kuruluşlara gönderilen (spear phishing, hedefe odaklı oltalama) e-posta ekindeki zararlı yazılımın kullanıcılar tarafından açılması sonucunda yayıldığı belirtilmektedir. Bu durum güvenlik zincirinin en zayıf halkası addedilen insan unsurunun bilgi güvenliği farkındalığında zaafiyetlere işaret etmektedir. Politika ve prosedürlere uyumun sağlanmasına ilişkin klasik eğitimler genellikle bu tür sosyal mühendislik saldırıları karşısında yetersiz kaldığı için, daha sonuç odaklı ve eğitimlerin başarısını ölçen diğer bir ifadeyle test yöntemleriyle desteklenen eğitimlerin alınması önem taşıyor. Üst yönetim de dahil olmak üzere tüm firma çalışanlarını bu tür saldırılara karşı bilinçlendirecek kaliteli eğitim programlarının başlatılması önem taşımaktadır.
4. Yüksek yetkili kullanıcıların yetkilerinin sınırlandırılması: Saldırıda yüksek yetkili kullancıların yetkileri kullanılarak zararlı yazılımın yayıldığı belirtildiğinden, yüksek yetkili kullanıcılara (admin) ilişkin kontrollerin (minimum yetki verme, gereksiz yetkilerin kısıtlanması, güçlü şifre, şifrelerin periyodik değiştirilmesi gibi)  güçlendirilmesi çok önem arz etmekte.
5. Sistemsel kontrollerin güçlendirilmesi: Zararlı yazılım barındıran e-postaların sistemsel kontrolleri (saldırıyı önleyici sistemler, antivirüs, e-posta sunucu kontrolleri vb) aşarak, kullanıcıların e-posta kutusuna düşmesi, önleyici sistemlerin eksik veya hatalı yapılandırılmış olabileceğine işaret ettiğinden, bu sistemlerin gözden geçirilerek, zararlı yazılımları engelleyebilecek niteliğe kavuşturulması önem taşıyor.
6. Sızma ve zaafiyet testlerinin yapılması: Kurumsal ağlardaki güvenlik zaafiyetlerinin önceden tespit edilerek önlem alınmasına yönelik zaafiyet ve  sızma testlerinin mutlaka yapılması ve bu tür saldırılar öncesinde zaafiyetlerin giderilmesi gerekliliğine işaret ediyor. Eğer bu testler yapılmaktaysa, bu testlerin kalitelerinin gözden geçirilerek, zaafiyetleri önceden tespit edecek niteliğe kavuşturulmaları önem taşıyor.
7. Yedeklemelerin yapılması: Zararlı yazılım bulaştığı makinaları şifreleyerek kullanıcıların dosyalarına erişimini engellendiği için, yedeklemelerin düzenli olarak ve kurallarına uygun şekilde yapılması gerekliliğine işaret ediyor.
8. Kontrol ortamının güçlendirilmesi: Kontrol ortamı, süreç sahipleri ve üst yönetimin iç kontrolleri sahiplenmesi, farkındalıklarının yüksek olması, çalışanlara iç kontrollere verdikleri önemi göstermeleri (tone at the top) anlamına geliyor. Kontrol ortamı diğer iç kontrol unsurlarının temelini oluşturduğu için, kontrol ortamının güçlü olması diğer kontrol unsurlarının da sağlam temellere dayanması anlamına gelir. Ayrıca, iç kontrollerin kurulması ve işletilmesi sorumluluğu süreç sahibi birimler ve üst yönetimindir. Bu nedenle, güvenlikle ilgili iç kontrollerin sahiplenilmesi, bu konuda çalışanlara örnek olunması ve tespit edilen aksaklıkların öncelikli olarak giderilmesi çok önem taşımaktadır.
9. Yönetim kurullarının gözetim görevini yerine getirmesi: Yönetim kurulları, kurum ve kuruluşların maruz kalabileceği risklerin en üst düzeyde gözetiminden sorumludur.  Yönetim kurullarının, yukarıda belirtilen konularda, bulundukları kurumların ne durumda olduğu hakkında üst yönetimden bilgi isteyerek ve gerektiğinde kaynak eksiklerini gidererek, gözetim görevlerini yerine getirmeleri önem taşımaktadır.
10. Risk yönetimi, uyum ve benzeri birimlerin gözetimi: İkinci savunma hattını oluşturan bu birimlerin, yukarıdaki kontrol noktalarının amaçlanan şekilde çalışması için, operasyonel birimlere rehberlik etmeleri ve daha etkin bir şekilde ilgili süreçleri takip etmeleri gerekmektedir.
11. İç denetim birimlerinin sibergüvenliği periyodik olarak denetlemesi: İç denetim birimlerinin, yukarıda belirtilen ana kontrol noktalarını denetleyip denetlemediklerini gözden geçirerek, denetlemedikleri kontrol noktalarını denetim planlarına almaları ve hızlı bir şekilde denetlemeleri gerekmektedir. Ayrıca, bu kontrol noktalarını daha kısa periyotlarla denetleyebilecek nitelikte “sürekli denetim” süreçlerini oluşturmaları, denetim sonucunda tespit edilen eksiklikler hakkında düzeltme önerilerini üst yönetimle paylaşarak, bu konularda yönetim kuruluna objektif güvence vermeleri önem taşımaktadır.

Sizler de konuya ilişkin değerli görüş ve yorumlarınızı paylaşırsanız memnun olurum.