Bayramın birinci günü Siber Bülten ekibi olarak bayramlaşmak yerine önemli bir haber için mesai yapmayı tercih ettik. Bu haber Türkiye’nin en büyük kripto para borsası BTC Türk’ün sistemlerinden ele geçirilen yüzbinlerce Türkiye vatandaşına ait kişisel verilerin bir hacker forumunda satışa çıkarılmasıyla ilgiliydi.
Editörlerimizden Oğuzcan Balyemez önce Twitter hesabından olay ile ilgili ilk bulgularını paylaştıktan sonra BTC Türk’ten gelen açıklamayla daha geniş bir şekilde haberi yazdı. Haberde BTC Türk’ten elde edildiği iddia edilen verilerin satışa çıkarıldığı belirtiliyor, BTC Türk’ün konuyla ilgili ilk açıklamasına yer veriliyordu. Nitekim günler sonra veri ihlaliyle ilgili KVKK’dan yapılan veri ihlali bildirimi ile haberimiz doğrulanmış oldu.
Türkiye’de yarım milyondan fazla kullanıcıyı etkileyen böyle bir siber olayın ilk duyuran medya organı olmak bizim için gurur verici olduğu kadar medya organlarının ülkemizdeki şeffaflık kültürüne yapacağı katkı açısından da örnek bir gelişme. Haberi hazırlama sürecinde ve yayınlandıktan sonra aldığımız tepkileri dikkate alarak siber krizlerin yönetişiminde kurumsal iletişim ile medya ilişkilerinin ne kadar önemli olduğunu bir kez daha gördük.
HACKLENMEYLE YAŞAMAYI ÖĞRENMELİYİZ
Bugün siber güvenlik açısından küresel anlamda en sağlam kurumların dahi saldırılarda hedef alındığı ve sistemlerine sızıldığı bir dönemde yaşıyoruz. Siber saldırılar artık maalesef ‘yeni normalin’ ayrılmaz bir parçası haline geldi. Sıklıkla tekrarlanan bir sözü burada alıntılamadan geçemeyeceğim: “İki tür şirket vardır: Hacklenenler ve hacklendiğinin henüz farkında olmayanlar.”
ABD’nin en etkili gizli servislerinden, İngiltere’de Brexit kampanyasını yöneten kurumlara, Alman meclisinden, Fransa başkanlık e-postalarına, Facebook’tan İran’ın nükleer tesislerine kadar kritik seviyede önemli olan yüzlerce sisteme sızıldı ve buralardan veriler çalındı. Bu veriler seçimleri etkilemekten uluslararası antlaşmalarda baskı unsuru olarak kullanılmasına kadar çeşitli amaçlarla araçsallaştırıldı.
Rahmetli Ahmet Mete Işıkara’nın Türkiye’ye ‘depremle yaşamayı’ öğretmeye çalıştığı gibi, şirketlerin ve bireylerin de artık hacklenme gerçeği ile yaşamaya alışmaları gerekiyor. Geldiğimiz noktada siber saldırıları önlemek kadar, siber saldırı sırasında ve sonrasındaki süreci yönetmenin de önemini kavradık. Bu yönetişim sürecinin kritik bölümlerinden birini de algı yönetimi oluşturuyor.
İNKAR TERS TEPER, ŞEFFAFLIK GÜVEN KAZANDIRIR
Türkiye’de yaşanan siber güvenlik sorunlarının ardından firmaların yaptığı açıklamalarda dikkat çeken iki özellik bulunuyor. Öncelikle siber saldırı inkar ediliyor. İnkar politikasının yöneticinin gözünde sorumluları kısa vadeli olarak rahatlatmaktan başka faydası olmadığı gibi orta vadede saldırganları ellerindeki verinin gerçek olduğunu ispatlamak için kışkırtmak gibi bir etkisi de oluyor. Sonuçta siber suçluların da kendi dünyalarında bir itibarı bulunuyor ve bunu korumak için ellerindeki veriyi biraz daha paylaşmaktan çekinmiyorlar.
Tabi öyle veri sızıntıları var ki, bunlar inkar edilemeyecek kadar büyük oluyor. Burada kurumun şeffaf bir şekilde başına gelen siber vakaya dair ilk açıklamayı yapması tüketici güvenine olumlu etkisi olacaktır. Geçtiğimiz aylarda 21 milyondan fazla kullanıcı verisinin sızdığı Yemeksepeti olayında, şirket lafı dolandırmadan sızıntıyı kabul etmişti.
Toplumu veri ihlali ile ilgili bilgilendirirken başvurulan bir başka yöntem de siber saldırıların yukarıda bahsettiğimiz gibi dünyanın birçok ülkesinde ve kurumunda yaşandığının hatırlatılması. Bu kötü bir yol kesinlikle değil. Fakat buna ek olarak şirketin müşteri güvenine verdiği önemin belirtilmesi ve ‘ilk bizden duyun istedik’ mesajının verilmesi de faydalı olabilir.
Örneğin 2020’nin sonuna doğru ortaya çıkan SolarWinds saldırısında ABD’deki kamu kurumları ve özel şirketler sistemlerinin hacklendiğini açıkça ortaya koydu. İlerleyen günlerde CISA (Cyber Security and Infrastructure Security) yürütülen soruşturmaların detaylarını açıkladı. Hangi alanlarda eksik kaldıklarını güvenliğin sağlanması için hangi noktada tıkandıklarını şeffaflıkla kamuoyu ile paylaştı.
İŞİ İLETİŞİMCİLERE BIRAKIN
Basın açıklaması kadar önemli bir başka konu da medya ile iletişim. Bir siber kriz anında açıklamanın iletişim profesyonelleri tarafından hazırlanması ve medya ile iletişimin bu kanal üzerinden yürümesi hem toplum hem şirket açısından daha sağlıklı. Toplum resmi kanal üzerinden doğru bilgilendirilirken, şirketin itibarını sarsacak açıklamaların da önüne geçilmiş olur. Aksi takdirde panik havası içerisinde atılan bireysel mesajların faydasından çok zararı olacaktır.
Hatta işin ‘hukuki yollara başvurmayla’ tehdit etmeye kadar getirilmesi spekülasyonu seven, mağdur edebiyatından beslenen art niyetli kişilerin ekmeğine yağ sürecektir. Özellikle yazılı iletişimin arttığı günümüzde gönderilen mesajların haber değeri taşıdığının medya ile teması olmayan çalışanların da bilmesi gereken bir husus olarak not edilmesi gerekiyor.
SULARI BULANDIRMAK NE KADAR YARARLI?
Algı yönetiminde sizi hedef alan aktörlerin güvenilirliğini sarsmak sık başvurulan bir yöntem olsa da, siber saldırılarda işlemeyebileceğini görüyoruz. Şirketiniz hakkında bir hacker forumunda çıkan ilana karşı ‘Zaten repütasyonu düşük biri yazmış’ diye karşı atağa geçebilirsiniz. Siber tehdit istihbaratı konusunda çalışan uzmanların tekrar ettiği bir uyarı var. Bu insanlar yakalanmamak için sürekli iletişim bilgisi, profil bilgisi değiştirirler. Bir saldırganın birden çok hesabı vardır. Birkaç ay önce çökertilen ve üye bilgileri sızdırılan Rus hacker forumlarında çok hesaplı üyelerin ortaya çıkması kimseyi şaşırtmamıştı.
Algı savaşında elinizi güçlendirmek için sızdırılan verinin önemini küçümseyen bir yaklaşım benimsenmesi, ‘farklı bir yerden de elde edilmiş olabilir’ gibi alternatif açıklamalara başvurulması da muhtemeldir. Fakat günün sonunda ortaya çıkan gerçeklerin açıklamanızı yalanlaması güvenilirliğinize leke sürecektir. Bu yüzden inkara dayalı güvensizleştirme yapılacaksa bile sağlam temel dayanmasına dikkat edilmelidir, panik havası yansıtılmamalıdır.
BAŞARI HİKAYELERİ KIYIDA KÖŞEDE KALMASIN
Türkiye’de geçtiğimiz bir yıl içerisinde bilinen ya da henüz bilinmeyen oldukça ciddi siber saldırılar ve veri ihlalleri yaşandı. Hedef kurumlar olay ile ilgili açıklamalarını yaptıktan sonra sessizce köşelerine çekilip olayın unutulmasını beklediler. Benimsenen tutum şirketin kendi stratejisiyle uyumlu bir karar olabilir. Fakat farklı bir bakış açısıyla, saldırı sonrasında olayın üstesinden nasıl gelindiği açıklansa fena mı olur?
2014 yılında Suriye Elektronik Ordusu ABD’nin önemli komutanlıklarından olan CENTCOM’u hacklediğini iddia etmişti. CENTCOM ilk açıklamasında sistemlerine sızıldığını kabul edip, ne kadar bilginin saldırganların eline geçtiğine dair araştırmanın devam ettiğini açıklamakla yetinmişti. Bir sene sonra yayımlanan bir blog yazısında CENTCOM’un ve diğer komutanlıkların sistemlerinin ne kadar güvenli olduğu anlatılmış, sızan bilgilerin zaten kamuya açık veriler olduğu delillerle ortaya konulmuştu. Sıradan bir araştırmacı bugün ‘CENTCOM hack’ diye arattığında sadece saldırgan tarafın değil, savunma tarafının da argümanlarına erişebiliyor.
Algıyı bir havuza benzetmek gerekirse, birisi kirli su akıtıyorsa bu havuzun temizlenmesi için sizin daha fazla temiz su akıtmanız gerekir. Üstesinden gelinen büyük siber krizleri kamuoyu ile paylaşmak hem şirketin itibarını yükseltir hem de tecrübe paylaşımı açısından benzer durumları atlatmada büyük katkı sağlar. Nihayetinde ulusal güvenliğimizin bir parçası olan siber güvenliği güçlendirir.
