ABD geçtiğimiz iki haftadır bir yatırım firması, bir siber güvenlik şirketi ve bir de sağlık cihazı üreticisinin karıştığı daha önce örneği olmayan bir siber güvenlik olayını tartışıyor.
Kalp ile ilgili cihazlar üreten St. Jude Medical, medikal cihazların siber güvenliğine yoğunlaşan MedSec ve Muddy Waters adlı bir yatırım firmasını aynı hikayenin kahramanları haline getiren olay MedSec için çalışan hackerların St Jude’un ürettiği medikal cihazlarda çok ciddi güvenlik açıklarını bulduğunu iddia etmesiyle başladı.
Birçok ‘meslektaşının’ aksine St Jude’a siber saldırı düzenleyen hackerlar, şirkete mail atıp kriptoladığı veriler karşılığında fidye istemedi; ya da sistemlerde bulduğu sıfırıncı gün açıklıklarını şirkete satmaya çalışmadı. Bu alternatiflerin yerine farklı bir yol seçen MedSec hackerları bir yatırım şirketinin kapısını çalmayı tercih etti.
Mayıs ayında Muddy Waters Capital yatırım şirketinde yönetici olarak çalışan Carson Block’a ulaşan siber saldırganlar, yatırım uzmanını ellerinde St Jude’u piyasada çok ciddi sıkıntıya sokacak bilgilerin bulunduğuna ikna etti. Buna göre St Jude’un ürettiği kalp temposunu ayarlayan ve kalbin normal dışı atımını tekrar normal ritmine dönmesini sağlayan cihazlarda (defibrillator) hastaların hayatını tehdit eden güvenlik açıkları bulunuyor. MedSec’in bu durumu fark ettiği halde, müşterilerinin hayatının tehlikede olduğunu St Jude yerine bir yatırım şirketi olan Muddy Waters’a bildirmesinin bir etik skandal doğurmasına rağmen şaşırtıcı bilgiler bu kadarla sınırlı kalmıyor.
Hackerların Muddy Waters’a sunduğu teklife göre, güvenlik açıklıklarının duyurulmasından sonra, Carson Block yatırımlarını St Jude hisselerinin düşeceği öngörüsüne dayalı olarak bu şirkete karşı olumsuz pozisyon alacak. St Jude hisseleri düştükçe, yatırım şirketinin hackerlara ödeyeceği para artacak. Bunun tersi olursa yani St Jude hisseleri düşerse, MedSec açıklıkları bulmak için harcadığı mesai ve uzmanlık dışında bir şey kaybetmeyecek. İşin ilginç tarafı MedSec ve Muddy Waters bu anlaşmaya gizli kapaklı toplantılarla varmıyorlar; bilakis güvenlik açıklarının bir rapor olarak yayınlandığı gün ortak basın toplantısı düzenliyorlar.
Raporun yayınlandığı 25 Ağustos günü St Jude hisseleri yüzde 10 oranında kayıp yaşadı. İlerleyen günlerde hisse fiyatları kendini toparlasa da, rapordan önceki değerinin hala yüzde 3 altında seyretmeye devam ediyor. St Jude için finansal ve itibar kaybı bununla da sınırlı değil. Şirket nisan ayında 25 milyar dolara Abbot adlı bir şirkete satılmış ve anlaşmasının yılsonuna kadar nihayete erişmesi bekleniyor(du). Ürünlerde ortaya çıktığı iddia edilen siber güvenlik açıklarının bu satışı engelleyebileceği ihtimaline dikkat çekiliyor.
MedSec’in raporu yayınlamasının ardından St Jude tarafından yapılan açıklamada, raporun gerçeği yansıtmadığı, incelenen yazılımın geçmişte kaldığı belirtilerek, bu raporu yazanların medikal teknolojiden anlamadığını ileri sürdü. Raporu teknik olarak yanlış bulmasa da gerçeği yansıtmadığına dair uzman görüşleri de bulunuyor. Bunlardan biri Michigan Üniversitesinde bulunan Archimedes Sağlık Cihazları Güvenliği Merkezi’nden Kevin Fu. Fu raporun yanlış olmadığını ancak sunulan delillerin bir güvenlik açığının varlığına işaret etmediğini dile getirdi.
Errata Security’den Robert Graham da raporun amacının St Jude hisselerinin düşmesini sağlamak olduğunu blog yazısında ifade etti.
1976 yılından bu yana sektörde çok önemli bir yer bulan St Jude Medical, Moritanya’dan Irak’a kadar dünyanın 133 ülkesine ürünlerini satıyor. Dört kıtada 21’den fazla operasyon ve üretim tesisi bulunuyor. Şirketin Türkiye’deki satışları ile Viyana ofisi ilgileniyor. Türkiye’deki temsilciliğini Bıçakçılar şirketinin yaptığı Amerikan medikal devi ülkemizde internet sitesinde bulunan bilgilere göre ağırlıklı olarak kalp kapakçığı satıyor. 2014 yılında 6 milyar dolar ciro yapan ve 16 bin çalışanı bulunan St Jude’un Türkiye’ye ilgisi sadece ürün satmak ile sınırlı değil. Şirket 2015 yılında Opakim Tıbbi Ürünleri satın almak için masaya oturmuş.
Olayı daha ilginç hale getiren ise, MedSec şirketini 2015’de kuran Robert Bryan’ın Metaval Capital’de daha önce portfölyo yöneticisi olarak çalıştığının ortaya çıkması oldu. Bryan finans sektörünün önde gelen şirketlerinden Goldman Sachs ve Cyrus Capital’de de çalışmış. Miami merkezli MedSec web sitesinde sağlık sektöründeki kuruluşlara sızma testi yapmaktan medikal cihazlara güvenli yazılım üretmeye kadar birçok hizmeti verdiğini ifade ediyor.
MedSec kurucusu Bryan’ın geçmişi ve yaşanan bu olay siber güvenliğin çok çeşitli sektörler tarafından ilgi çekici bulunduğunun açık bir göstergesi. MedSec yayınladığı raporun arkasında dururken, şirketlerin güvenlik açıklıklarını kapatmak için gerekli adımları atıp, yeterli yatırımı yapmadığı fikrini savunuyor. Diğer tarafta insan sağlığını direkt etkileyecek böyle bir olayın yatırım şirketleri tarafından kullanılması ve bu duruma karşı yasal bir engelin olmaması da önemli bir etik sorun olarak büyümeye devam ediyor.
Siber Bülten haftalık raporuna abone olmak için formu doldurunuz
[wysija_form id=”2″]
siber güvenlik şirketlerin pas geçmemesi gereken çok can alıcı bir konu umarım Türkiye de yerini alacaktır.