Başarısız Bir Siber Risk Yönetimi Örneği: Equifax

Geçtiğimiz ay, 7 Eylül günü, dünyanın en büyük, kredi raporlama hizmeti veren firmalarından Amerikan Equifax firması, sistemlerine yetkisiz erişim tespit ettiklerini ve  143 milyon (bu sayı en son 145.5 milyon olduğu belirtildi) Amerika’lının sosyal güvenlik numarası, adı, doğum tarihi ve adresi gibi hassas bilgilerine, 209 bin kişinin kredi kartı bilgilerine, 182 bin kişinin de kimlik bilgilerini içeren kişisel verilerine erişilmiş olunabileceğini açıkladı. Bunların yanında, İngiltere ve Kanada’daki bazı müşterilerin kişisel bilgilerine de erişilmiş olunabileceğini duyurdu.

Saldırıdan Amerikalıların yaklaşık yarısı etkilenmiş durumda. Ayrıca bazı haberlere göre 44 milyon (%68) İngiliz vatandaşının da etkilenmiş olabileceği belirtilmektedir. Saldırı, boyutları ve etkisi itibariyle Amerikan tarihinin en büyük siber saldırısı olarak gösterilmektedir. Bilgileri etkilenen insanlar, çok tedirgin durumdalar çünkü, saldırganlar, ele geçirdikleri hassas verilerle; kredi kartına başvurabilir, kredi alabilir ve akla gelmedik bir çok kimlik sahtekarlığını gerçekleştirebilirler.

Veri ihlalinin duyulmasının akabinde;  firmanın piyasa değeri yaklaşık üçte bir oranında değer kaybına uğradı, firma hakkında 70 milyar dolara varabileceği belirtilen davalar açıldı, kongre incelemesi başlatıldı ve firma büyük bir itibar kaybına uğradı.

Müşterilerine, bilgi teknolojisi çözümleri, veri, analitik ve kimlik hırsızlığından koruma gibi, teknoloji hizmetleri sunan Equifax, siber risklerini neden yönetemedi?

Firma, saldırganların, bir web servisi uygulamasındaki zaafiyetten faydalanarak sistemlerine sızmayı başardıklarını açıklamıştır. Söz konusu zaafiyetin, kritik olarak sınıflandırılan, bir güvenlik güncellemesinin zamanında yapılmamasından kaynaklandığı belirtilmiştir. Mart ayı (3 Mart) başında, ilgili firma tarafından güncelleme (Apache Struts CVE-2017-5638) duyurusu yayınlanmıştır. Equifax 17 Mart günü güvenlik zaafiyetinin farkına varmış, ancak güncellemeyi Temmuz ayı sonuna kadar tamamlayamamıştır. Firma açıklamalarına göre, Mayıs ayı ortalarında başlayan yetkisiz erişim, yaklaşık iki buçuk ay boyunca, Equifax’ın ihlali fark ettiği, 29 Temmuz tarihine kadar devam etmiştir. Bu durum, firmanın çok önemli bir güvenlik güncellemesinin tamamlanmasında ve veri ihlalinin tespitinde çok geciktiğini ve başarısız olduğunu göstermektedir. 

Firma esas olarak, tüketicilere borç veya kredi sağlayan banka ve benzeri kuruluşlarının bireysel müşterileri hakkında kredi değerlemesi yapıyor. Bu amaçla, kişilerin bilgilerini topluyor ve değerleme yaparak ilgili kurumsal müşterilerine sunuyor. Müşteriler kişisel bilgilerini doğrudan bu firmaya vermemişlerdir, ancak muhatab olmadıkları bu kurumun zaafiyeti nedeniyle, mağdur olmuşlardır. Equifax, banka ve diğer kuruluşlar için üçüncü parti konumundadır. Bu durum, kuruluşların sadece kendi güvenliklerini sağlamalarının yeterli olmadığını, hizmet aldıkları bu tür üçüncü parti kurumların güvenliğine de dikkat etmelerinin ne kadar önemli olduğunu bir kez daha ortaya koymuştur.

Bu veri ihlali yaşandıktan sonra, bir güvenlik firması, Equifax’ın Arjantinde bulunan biriminde çalışan personelin kullanımında olan portalı, güvenlik yönüyle incelediğinde, kullanıcı adı ve şifresinin, herkesin tahmin edebileceği bir kombinasyondan oluştuğunu (admin/admin) tespit etmiştir. Bu şifreyi kullanarak sisteme girdiklerinde, firmanın orada çalışan 100’den fazla personelinin kimlik numarasına, mail adresine erişebildiğini, kullanıcı eklenebildiği, değiştirilebildiğini ve silinebildiğini görmüşlerdir. Bunun yanında personelin kullanıcı ismi ve şifrelerine de kolayca erişilebildiğini, şifrelerin ve kullanıcı isimlerinin aynı olduğunu, dolayısıyla; personelin isminin bilinmesi halinde kolaylıkla bu portale girilebileceğini, portalin bir sayfasında ise Arjantinli müşterilerin geçmiş kredi anlaşmazlıklarıyla ilgili bilgilerinin ve bu kişilerin sosyal güvenlik numaralarının güvenliksiz bir ortamda tutulduğunu tespit etmişlerdir. Ayrıca, daha önce, 2016 Nisan – 2017 Mart döneminde, Equifax’ın bordro, insan kaynakları ve vergi  hizmeti veren bir iştiraki de (TALX) saldırıya uğramıştır. Bu saldırının, ikinci bir güvenlik faktörü olmadan, sadece 4 rakamlı şifre kullanılması nedeniyle yapılabildiği belirtilmiştir. Belirtilen bu iki durumda olduğu gibi, firmanın sistemlerine  kolayca girilebilmesi, temel güvenlik tedbirlerinin uygulanmasında, çok ciddi zaafiyetlerinin bulunduğunu göstermektedir.

Firma, kişilere kredi notu verirken, ahlaki yönlerini araştırması, komşularından bilgi toplaması, hatta çöplerine kadar araştırdığının ortaya çıkması, imajını olumsuz etkilediği için, bunu düzeltebilmek gayesiyle, daha önceki adını (Retail Credit Corporation) 1975 yılında Equifax olarak değiştirmiştir. Firmanın geçmişteki bu tür uygulamalarının, bugünlerde yaşanan olaylara ışık tutabileceği ifade edilmiştir. Bu durum firmanın etik anlayışı ve yaklaşımları hakkında bir fikir vermektedir. Maalesef, bu yaklaşımları, insana meşhur İtalyan düşünürü Nicolo Machiavelli’nin “Amaç için, her araç meşrudur.” sözünü hatırlatmaktadır. 

Firmanın CFO dahil, üç üst düzey yöneticisinin, firmada veri ihlali ortaya çıktıktan sonra, kamu oyuna açıklama yapılmadan önceki dönemde (1, 2 Ağustos) toplam 1.8 milyon dolar değerindeki hisselerini sattığı anlaşılmıştır. Firma, bu yöneticilerin ihlalden haberlerinin olmadığını açıklamıştır. Ancak, bu durumun üst yöneticilerin  yaklaşımları hakkında bir fikir verdiği değerlendirilmektedir.

Diğer çok tartışılan bir husus ise, firmanın güvenlikten sorumlu üst düzey yöneticisinin (CISO, Susan Mauldin) üniversitenin müzik bölümü mezunu olmasıdır. Kişiler değişik bölümlerden mezun olabilirler ancak görevinin gerektirdiği her türlü donanıma sahip olmaları gerekmektedir. İlgili yöneticinin, sadece müzik bölümünden mezun olduğuna bakarak onun yeterliliği hakkında bir sonuca varılamaz, ancak yukarıda belirtilen temel güvenlik önlemlerinin alınmasındaki zaafiyetlerin, firmanın insan kaynağı yetkinliklerinin yetersizliğine işaret ettiği kanaatindeyim. Bunun yanında firmanın web sayfasına bakıldığında 15 Eylül itibariyle 17 adet siber güvenlik personeli ihtiyacının olduğu belirtilmiştir. Bu kadar yüksek sayıda güvenlik personeli açığı varken, güvenliğin sağlanamamasının şaşırtıcı olmadığı, siber güvenlik personelinin bulunmasının çok zor olduğu bu günlerde, bu kadar eksiğin, temel güvenlik tedbirlerinin neden alınamadığının bir göstergesi olduğu şeklinde değerlendirilmektedir.

Bu konuyla ilgili bir husus da, güvenlikten sorumlu üst düzey yöneticinin (CISO) Hukuk Genel Müdür Yardımcısına (Başkan, VP) raporlamasıdır. Bu durum belki görevler ayrılığı ilkesi açısından anlamlı gözükse de, güvenlik alanında yetkinliği olmayan hukuk başkanına, güvenlik üst düzey yöneticisinin raporlamasının, organizasyonel ve farklı açılardan, etkinliğinin değerlendirilmesi gerektiği kanaatindeyim. Hukuk başkanı olarak bu kişi, yönetim kurulundan 2016 yılında güvenlikle ilgili çalışmaları nedeniyle “mükemmel” değerlendirmesi almıştır.

Firmanın bilgiden (Chief Information Officer) ve güvenlikten sorumlu (Chief Security Officer)  iki üst düzey yöneticisi 15 Eylül tarihi itibariyle, emekli edilmek suretiyle, görevlerinden ayrılmışlardır. Genel Müdür ve Yönetim Kurulu Başkanı Richard Smith de, 26 Eylül tarihinde, 12 yıldır yapmakta olduğu görevinden ayrılmak zorunda kalmıştır.

Şirket veri ihlalinden haberdar olduğu tarihten 6 hafta sonra, bu ihlali kamuoyuyla paylaşmıştır. Amerikada veri ihlallerini duyurma yükümlülüğü eyaletlere göre değişmektedir. 48 eyalette aydınlatma yükümlülüğü vardır.  Sadece 8 tanesinde, 15-90 gün arasında değişen sürelerde bildirim yükümlülüğü vardır. Firmanın kurulu olduğu eyalette, bu konuda bir süre belirlenmemiştir.  Bu derece ciddi bir veri ihlalinde müşterilerin tedbir alması için,  gerekli duyuruların daha önceden yapılmaması insanları çok rahatsız etmiştir.

Veri ihlali duyulduktan sonra, olayın yönetimi ve iletişiminde çok başarısız oldukları belirtilmiştir: Firma, insanların ihlalden etkilenip etkilenmediklerini öğrenmeleri amacıyla bir site kurmuş ancak bu siteye girişte kimlik numarasının  son altı hanesi ve soyadını istemesi, yaşanan bu veri ihlalinin arkasından firmaya duyulan güvensizlik nedeniyle, kişileri çok rahatsız etmiştir. Söz konusu sitenin çalışmasında da önemli aksaklıklar (desktop bilgisayardan sayfaya girince veri ihlalinden etkilenmediğinin belirtilmesi, mobilden girince etkilendiğinin belirtilmesi, bazı sorgulamalara hiç cevap alınamaması, firmadan atılan tweetlerle insanların yanlış sayfaya yönlendirilmesi, bazı tarayıcılarda bu sayfada oltalama riski bulunduğu uyarısı vermesi gibi) yaşanmıştır. Bunun yanında, olay duyurulduktan sonra verilen çağrı merkezi hizmeti de rahatsızlıklara (insanların sordukları sorulara cevap alamamaları, sistemsel problemler olduğunun belirtilmesi vb) neden olmuştur. Bir diğer önemli husus ise, olaydan sonra firma ücretsiz kredi değerlemesi hizmeti vereceğini belirtilmiş, ancak bu hizmeti kişilerin uğrayacağı olası kimlik hırsızlıklarına karşı firmayı dava etmeyeceği şartına bağlaması, insanları çok rahatsız etmiştir (bildiğim kadarıyla bu husus tepki alınca sonradan düzeltildi). Yaşanan bu durumlar firmanın böyle bir veri ihlaline ne kadar hazırlıksız olduğunun, iyi hazırlanmış bir cevap planlarının olmadığını göstermiştir.

Equifaxda risk farkındalığının nasıl olduğunu anlamak amacıyla yapılan bir araştırmada bazı kelimeler  (risk yönetimi, siber risk, mahramiyet (privacy), veri güvenliği, veri ihlali ve bilgi güvenliği)  5 yıllık dönem boyunca (2012-2016) firmanın yıllık raporlarında aranmıştır. Aşağıdaki tabloda da görüleceği üzere, finansal risklerin yönetimiyle ilgili birkaç kelime ve 2013 yılındaki bir kelime haricinde, yıllık raporlarında siber risklerin yönetimine ilişkin kelimelerin geçmediği anlaşılmıştır. Bunun yanında firmanın büyüme, hissedar, yatırım ve müşteri kelimelerin çok defa geçtiği görülmektedir. Bu durum, firmanın büyümeye ve karlılığa verdiği önem kadar, siber risklerin yönetimine gereken hassasiyeti göstermediği şeklinde değerlendirilmektedir.

equifax

Equifax’ın siber risk yönetimi başarısız olmuştur. Firmanın savunma hatları gerektiği gibi çalışmamıştır. Firmanın siber güvenliğin sağlanmasına ilişkin iç kontrolleri etkin çalışmamıştır. Firmanın kontrol ortamı ve risk farkındalığının zayıf olduğu, etik yaklaşımlarında ve insani yetkinliklerinde problemler olduğu görülmektedir. Firmanın ayrılmak zorunda kalan Genel Müdür ve Yönetim Kurulu Başkanı  Richard Smith, kongre komisyonuna yaptığı açıklamada olayın insani ve teknoloji hatalarından kaynaklandığını belirtmiştir. Ancak yukarıda yapılan tespitler, problemin daha  derinlerde olduğunu göstermektedir. Kongrede  konuyu inceleyen komisyonun bir üyesinin (Frank Pallone) söylediği söz, aslında problemin köklerini göstermektedir: “Eğer Equifax işine devam edebilmek istiyorsa, şirket kültürünün tamamının değişmesi gerekmektedir” Kongre  komisyonuna katılan diğer bir üye (Greg Walden) ise firmanın durumunu;Fort Knox’taki (Amerika’nın milyarlarca dolar değerindeki altınlarının saklandığı kasaların bulunduğu şehir) muhafızların kapıları kilitlemeyi unutması ve kasaları boşaltan hırsızları fark etmemesi gibi birşey” şeklinde ifade etmiştir. Bu sözler, bir teknoloji firması için çok üzücü bir durum ve büyük itibar kaybıdır.

Equifax karlı ve büyüyen bir şirkettir. 2016 yılında yaklaşık 489 milyon dolar kar etmiştir. Dolayısıyla firmadaki problem, teknolojik olarak gerekli tedbirlerin alınamamasından ziyade, yönetim kurulu ve üst yönetimin bakış açısı, güvenlik sorununa yaklaşımları ile ilgili olduğu kanaatindeyim. Siber risklerin herkesin gündeminde olduğu son yıllarda, hazırlanan yıllık raporlarında, 5 yıldır, bir defa bile siber riskden bahsedilmemesi, maalesef, siber risklerin firmanın esas öncelikleri arasında yer almadığı/alamadığının belirgin bir işaretidir. Hassas verileri kullanan bir firma olması, kimlik hırsızlıklarına karşı koruma hizmeti vermesi ve IT çözümleri sunması, güvenlik risklerini daha iyi yönetmesi açısından kendisine bir faydası olmamıştır. Bu yıl yaşanan en büyük siber saldırılarda güvenlik yamalarının zamanında yapılmaması, görülen en büyük zaafiyet nedeniyken, bu saldırılardan ders çıkarılmaması, zaafiyet oluştuğu öğrenilmesine rağmen, güncellemenin zamanında yapılamaması firmanın teknolojik olmaktan ziyade, yönetişim ve kültür problemi olduğunu gösterdiği kanaatindeyim.

İç kontrollerin etkinliği ve risk yönetiminin başarısında, firmanın tüm yönetim, gözetim ve denetim kademelerinin sorumluluğu vardır. Bu çerçevede, şirket yönetimi tarafından icra edilen siber risk yönetimi faaliyetlerinin, yönetim kurulu tarafından, etkin bir şekilde gözetiminin yapılmasının çok kritik olduğu düşüncesindeyim. Yönetim kurulu, risklerin gözetiminden sorumludur.  Yönetim kurulunun, şirket yönetiminin siber risk yönetimi aktivitelerini,  etkin bir şekilde takip etmesinin (örneğin; ilgili üst yöneticileri çağırarak düzenli bir şekilde onlardan bilgi alması, toplantılarında bu konuya yeterince zaman ayırması, konuya verdikleri önemi üst yönetime yeterince göstermesi, belirlenen siber risk yönetimi performans ölçütleriyle siber güvenliğin gidişatını izlemesi ve trendleri sorgulaması, iç denetim birimi veya bağımsız bir kuruluştan siber risk yönetiminin etkinliği hakkında bağımsız ve objektif değerlendirmeler alması, üst yönetim tarafından kendilerine sağlanan bilgilerle yetinmeyip, siber güvenlik konusunda yöneticiler tarafından kendilerine sunulan bilgileri sorgulayacak derecede siber güvenlik okur yazarlıklarını artırmış olması.. vb) siber risklerin oluşması olasılığını çok düşüreceği kanaatindeyim.

Siber risk yönetimi uygulamalarının başarısında , CEO ve diğer üst düzey yöneticilere de çok büyük sorumluluk düştüğü kanaatindeyim. CEO olarak, etkin bir  şekilde görevlerin yürütülmesinin (örneğin; zaafiyet tespit edildikten sonra yamaların zamanında yapılıp yapılmadığını, ekipleriyle birlikte yakından takip edilerek, zamanında sonuçlandırılması, siber güvenliğe verdiği önemi herkese göstererek firmanın kontrol ortamını güçlendirebilmesi, firmanın karlılığı kadar, firmanın en değerli varlığı olan müşteri bilgilerinin korunması için, gerekli bütçe vb her türlü desteği vererek sistem, süreç ve insan kaynağı ile ilgili eksikliklerinin giderilmesi için gerekli takip ve koordinasyonu sağlayabilmesi,  firmanın etik yaklaşımları ve kültürünün değişimi için gereken çabayı gösterebilmesi, olası bir veri ihlali halinde nasıl bir cevap planı uygulanacağı konusunda, ekibiyle birlikte gerekli hazırlıkları yapabilmesi, kurumsal risk yönetimi, uyum gibi brimlerinden maksimum derecede faydalanarak gerekli takip görevlerinin düzenli bir şekilde yapılmasını sağlaması, iç denetimden gerekli desteği alarak firmanın siber güvenlikle ilgili iç kontrol, risk yönetimi ve yönetişimle ilgili eksikliklerin tespit edilmesini sağlayarak, gerekli aksiyonları alabilmesi.. vb) bu derece büyüklükte siber risklerin yaşanma olasılığını büyük oranda azaltacağı kanaatindeyim.

Siber risk yönetiminde başarı sağlanabilmesinde, CEO’ya bağlı üst düzey yöneticilerin her birinin rolleri de çok önemli. Ancak en önemli hususun, tüm üst yöneticiler ve onlara bağlı birimlerin, aralarında mükemmel bir iletişim ve iş birliği içerisinde risk yönetimi çalışmalarını yürütmeleri ve silo bazlı (her birimin kendi risklerini yönetmeye çalışması) çalışmalar yapmamaları, olduğu kanaatindeyim.

Maalesef, Equifax veri ihlali, başarısız bir risk yönetiminin nasıl olacağına ilişkin, bir örnek olay niteliğindedir. Kurumların her kademesindeki sorumlularının, bu ve benzeri örneklerden ders çıkararak, başlarına bir olay gelmeden, proaktif bir şekilde, gerekli tüm tedbirleri almaları çok kritik gözükmektedir. Ancak daha önce sizlerle paylaştığım gibi, KPMG tarafından 28 ülkede 800 şirketin faaliyet raporu incelenerek yapılan bir araştırmaya göre; ülkemizden katılan 20 şirketten sadece 2’si (%10) faaliyet raporunda siber güvenliğe yer verirken maalesef % 90’ı tek satır bile yer ayırmadığı tespit edilmiştir. Araştırmaya katılan 28 ülkedeki tüm şirketlerin %56’sı siber güvenliğe gereken önemi vermediği anlaşılmıştır. Umarım bu sonuçlar, siber saldırganlara daha çook iş çıkacağının göstergesi olmaz.

Başarısız Bir Siber Risk Yönetimi Örneği: Equifax” için bir yorum

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s