Şirketinizin bir siber saldırının kurbanı olması nasıl bir his? Şirketinizin daha fazla zarar görmemesi için neler yapmanız gerekir? Fidye ödemeniz gerekir mi? Siber güvenlik şirketi Forcepoint, gerçek hayatta yaşanmış birçok deneyimden yola çıkarak bir siber saldırı tatbikatı gerçekleştirdi. İngiliz haber kanalı BBC de bu senaryoyu sayfalarına taşıdı. İşte adım adım bir siber saldırıyı püskürtme girişimi hikâyesi:
Senaryo:
Blink Wink adılı hayali bir gözlükçünün (optik firmasının) bilgi teknolojileri çalışanları bir e-dolandırıcılık e-postasıyla oltaya geliyorlar. Çalışanlardan biri, yasal olduğunu düşündüğü bir e-postaya tıklayarak e-postanın yönlendirdiği kurmaca bir web sitesine ulaşır. Fakat bu internet sitesi yasal değildir. Bu olay iki ay önce yaşanmıştır. Bugün ise bir skandala dönüşür…
Salı – 08:30
Blink Wink’in bilgi teknolojileri yöneticisi, güne şirketin müşterilere açık e-posta kutusunu standart spam ve gereksiz e-postalardan temizleyerek başlamıştır. İçerinden biri dikkatini çeker. Midesine sancılar girmeye başlar…
Zira e-postada şunlar yazmaktadır: “Elimde bunlardan çok daha fazlası var. Kısa bir süre sonra isteklerimizle yeniden karşınızda olacağız.” Yazı bir müşterinin adı, soyadı, kredi kartı bilgileri ve e-posta adresinin hemen altında yazmaktadır.
Tony ilk önce bunun bir oyun ya da şaka olduğunu umut eder; fakat risk de alamaz. Zar zor yutkunarak firmanın güvenlik sorumlusu Doug Hughes’u arar. Doug New York’ta tatildedir ve saat de gece yarısı 3,30’dur. Tony şüpheli e-postayı Doug’a yönlendirir. Doug, “Kredi kartı numarasını doğruladık mı? Kart sahibi müşterilerimizden bir mi?” diye sorar. Tony henüz bilmediğini söyler. Doug bu kez e-postanın kaçta geldiğini sorar. Tony düşündükten sonra, “Sanırım dün biz işten çıktıktan hemen sonra geldi, bu yüzden sabaha kadar fark etmedim” diye cevap verir. “En az 12 saati var o halde” diye yanıtlar Doug.
Salı – 13:30
Tony, Doug’a ikinci bir e-posta aldıklarını ve gönderenlerin 15 bin Euro’luk fidye istediklerini ve bunu Litecoin adlı kripto para birimi ile ödenmesini istediklerini aktarır. Ve devam eder: “İngiltere saati ile 22.00’ye kadar parayı ödememiz gerektiğini yazmışlar. Aksi takdirde bütün müşteri kayıtlarımızı sileceklermiş.”
Doug, “Ne?” diye haykırır ve devam eder: “Ben ellerinde sadece bir müşterinin bilgileri var sanıyordum” Tony, şantajcıların tüm müşterilerin bilgilerine sahip oldukları iddiasını aktarır.
Doug acilen Blink Wink’in hukuk danışmanı Grace Bolton’ı arar. Grace’in sesi kesik kesik gelmektedir. “Bu açık bir potansiyel güvenlik ihlali. Cevap vermeyin. Mevcut kanunları gözden geçirmek için zaman ihtiyacım var. Böylece nerede durduğumuzu bilebiliriz” der. Doug polisi aramaktan bahseder. Ya da enformasyon komiserini ya da Avrupa Birliği Veri Koruma Yönergesi?
Salı – 15:30
Blink Wink için işler kontrolden çıkmaya başlamıştır. Hackerler bazı müşterilerin isimlerini ve kredi kartı bilgilerini Pastebin’de yayınladıklarına dair görüntü atmışlardır. Pastebin, kullanıcıların bilgisayarlarındaki bir yazı, makale ya da kodu uzaktaki arkadaşları ile online olarak paylaşmasını sağlayan bir platform. Doug artık bilgilerin doğruluğunu teyit etmiştir. Tony web sitesini kapatmayı teklif eder, böylece riski azaltacaklarını düşünür.
Grace araya girer: “Bunu yapmadan önce kime söylememiz gerekir? Veri ihlali politikamız tam olarak nedir?” Doug ise bunun yasal olduğunu söyler. Gracei, Tony’ya, “Veri koruma yetkilisi sen değil misin?” diye sorar. Tony, “Yok, değilim” der. Doug’un ümitsiz bir halde sorar: “Nasıl yani ben miyim? Neyse, siteyi kapatırsak bu dikkatleri daha fazla üzerimize çekmez mi? Bunun iyi bir fikir olduğundan emin değilim.”
Grace, Doug ile aynı fikirdedir.
Blink Wink’in Halkla İlişkiler Müdürü Sandra Ellis araya girer ve durumun hiç de iç açıcı olmadığını ifade eder: “Müşterilerimizin kişisel bilgilerini korumakta başarısız olduk. Bunun sonuçları ağır olabilir.” Bu arada Ellis’in aklına firmanın “bir alana bir bedava” kampanyası gelir ve kampanya dolayısıyla web sitesine çok sayıda insanın giriş yaptığını düşünerek sorar: “Onların da bilgileri çalınmış mıdır?” Doug büyük olasılıkla çalınmış olabileceğini söylerken ekler: “Bir şekilde siteyi ya da bir kısmını kapatmalıyız. Ve fidyeyi ödeyip ödememe konusunda karar vermeliyiz.”
Salı – 17:00
Sandra Ellis bir basın açıklaması hazırlar fakat açıklamayı insanlar sorular sormaya başlayana kadar yayınlamamayı önerir. Bir olay yaşadıklarını ve buna karşılık siteyi kapattıklarını söylemeyi teklif eder. Doug düzeltir: “Olay değil, ihlal.” Grace ise olayın dallanıp budaklanmasından endişelenerek bu kelimeyi kullanmamak gerektiği üzerinde durur. Tony telekonferans konuşmasına pat diye dahi olur: “Karantinaya giren bir eposta gelmişti ve neymiş diye kontrol etmeye karar verdi. Bir de eki vardı. Bu olabilir.” Doug sorar: “Ona tıkladığını söyleme lütfen? “ Tony cevap verir: “Ben sadece bunun işleri hızlandıracağını düşünmüştüm.”
Doug küfreder ve başka bir zararın olup olmadığını görüşmek üzere güvenlik ekibi ile iletişime geçer. İngiltere Bilgi Komisyonu Ofisi’ni (ICO) arar. Telefondakilere “İsterseniz telefonla ya da online olarak rapor edebiliriz. Ancak problemi azaltmak için ne yapmamız gerektiğini söylememiz gerekiyor.” Tony olan biteni şu şekilde anlatır: “Pekâlâ, geçtiğimiz yıl tehdit saptama yazılımının son versiyonunu almaya niyetlenmiştik. Fakat bununla ilgilenen çocuk işten ayrıldı ve yerine de kimse alınmadı.”
“Böyle bir şey olmadı. Bunu ICO’ya söylemeyin sakın,” diye bağırır Grace ve ekler: “Mevcutta yeterli denetimimiz olduğunu gösteremezsek başımız belaya girer ve siber sigortacılar ödeme yapmak istemezler.”
Daha sonra Doug, en son gelen e-dolandırıcılık mailinin dikkat dağıtma amaçlı gönderildiğini teyit ederken ekibi bilgilendirir: “İki ay önce gönderilen ve bizim bulut sağlayıcılarımızdan biriymiş gibi görülmesi için yapılan sisteme giriş sayfasına bağlanan bir e-dolandırıcılık maili buldular. Bu şekilde girdiler.” Doug bundan sonra olayları daha iyi bir şekilde ele almak gerektiği sonucuna varır ve ekler: “Bu yine olacak ve daha kötüye gidecek”
Peki Blink Wink ne yapmalıydı?
Forcepoint Baş Mühendisi Richard Ford, geç tepki vermenin Blink Wink’i köşeye sıkıştırdığını düşünüyor. Bu tip durumlarda hızlı hareket edilmesi gerektiğini söyleyen Ford, aksi halde saldırganların istediklerini zorla kabul ettireceklerini ifade ediyor. Ford, veri ihlali yasalarına dair kısıtlı bilgiye sahip olmanın şirketleri korunmasız duruma düşürdüğünü söylerken ekliyor: “Açık bir şekilde bir veri ihlali politikaları yok ve kimin ne yapması gerektiğine dair bir bilgileri de bulunmuyor”
Ford ‘şirket neler yapmalıydı’ sorusunu ise şunları sıralayarak cevap veriyor:
-Adım adım neler yapılması gerektiğine dair bir veri ihlali planı hazırlamalıydılar.
-Bu planı personelle birlikte tatbik etmeliydiler.
-İhlal sırasında kimin neyden sorumlu olduğunu tasarlamış olmalılardı.
– Yöneticilerin durumdan haberdar olmadı için planı düzenli olarak güncellemeliydiler
– Üçüncü tarafları ve tedarikçileri bilgilendirmeliydiler.
– Olayı nasıl ele aldıklarını göstermek için Bilgi Komisyonu’na (ICO) kanıtlar sunmalıydılar.
– Siber sigorta sağlayıcılarını arayıp tavsiye istemeliydiler.
-Herhangi bir zarar durumu ile mücadelede onların elini güçlendirmesi için müşterilere yönelik bir açıklama hazırlamalıydılar
-Fidyeyi ödemeyi reddetmeliydiler. Zira verileri geri alma garantileri bulunmuyor.
Ayrıca firmanızın bir veri ihlalinin kurbanı olması halinde Ford’un yapılması gerekenlere dair listesi şu şekilde:
-İstek/ fidyenin nereden geldiğini belirleyin.
-Zarar görmüş cihazları çevrimdışı duruma getirin.
– Ne kadar makinenin zarar gördüğünü tespit edin.
– Kayıp bilgilerin yedeklerden geri getirin
-Bilgilerinin gizliliği ihlal edilmiş müşterilere haber verin.
-Bunun bir daha yaşanmaması için plan yapın.
Siber Bülten abone listesine kaydolmak için formu doldurunuz