ABD’de yapılan geniş kapsamlı bir araştırma, insanların büyük bir bölümünün kişisel verilerinin kötüye kullanılmasından endişe ettiğini ortaya koydu.
Antivirüs yazılım kuruluşu ESET, kamuoyunun siber suç, siber güvenlik ve veri gizliliğine ilişkin tutum ve deneyimini incelemek üzere Amerika Birleşik Devletleri’nde kapsamlı bir araştırma gerçekleştirdi. ESET Siber Güvenlik Barometresi olarak tanımlanan ve anket biçiminde düzenlenen araştırma, 2 bin 500 kişinin katılımıyla yapıldı. ESET Kıdemli Güvenlik Araştırmacısı Stephen Cobb’un duyurduğu araştırma, ilginç bulgular ortaya koydu.
SİBER SUÇLAR, BÜYÜK BİR TEHDİT
Amerikalıların yüzde 70’i, online bankacılık işlemlerinde veya alışveriş yaparken web sitelerine sağlanan kişisel verilerin kötüye kullanılmasından endişe duyuyor. Bununla birlikte toplumun büyük çoğunluğu artık siber suçları, ülkeleri için gittikçe büyüyen bir tehdit olarak görüyor. Hatta o kadar ki, katılımcıların yaklaşık yüzde 91’i siber suçun, uyuşturucu kaçakçılığı veya kara para aklamaktan daha önemli bir sorun olduğunu düşündüklerini ifade etti.
DERİN BİR ENDİŞE VAR
ESET Kıdemli Güvenlik Araştırmacısı Stephen Cobb’e göre bu araştırmadaki en çarpıcı bulgu, katılımcıların siber suçlar tarafından oluşturulan tehlikelere karşı duydukları derinlemesine endişe ve bunun yakın zamanda düzeleceğine dair inançlarının olmayışıdır. Ankete katılanların yaklaşık yüzde 87’si, siber suç kurbanı olma risklerinin artmasını beklediklerini belirtti.
HER 5 KİŞİDEN BİRİ ONLİNE BANKACILIĞA SOĞUK
Ankete katılanların yüzde 19’u online alışveriş, yüzde 20’si ise online bankacılık işlemlerini güvenlik ve gizlilik endişeleri nedeniyle yapmamayı tercih ettiklerini bildirdi. ESET Araştırmacısı Stephen Cobb’e göre bu yüzdeler, finansal kuruluşlar ve perakendeciler için kaybolan fırsatları ifade ediyor.
Raporda ayrıca siber suçla ilgili kaygılar ve bu tür suçlarla karşılaşma oranı arasındaki ilişki de belgeleniyor. Yetişkin Amerikalıların yaklaşık yüzde 70’i, kişisel bilgilerini isteyen sahte e-postalar veya telefon görüşmeleri aldıklarını bildirdiler. Çok daha fazla sayıda insan, katılımcıların yüzde 86’sı kimlik hırsızlığı kurbanı olabileceğinden endişe duyduğunu söyledi ancak kimlik hırsızlığı yaşadığını bildiren katılımcıların yüzdesi ise bu sayının yarısından daha az, yüzde 30 olarak hesaplandı. “Açık olmak gerekirse, 10 Amerikalıdan üçünün kimlik hırsızlığı yaşamış olması oldukça şok edici” diyen Stephen Cobb, “Ancak bu yüksek endişe oranından tecrübeler edinebilir, önlemler geliştirilebilir” tespitini yaptı.
Günümüzde depolama aracı olarak sık kullanılan USB bellekte veri güvenliği sağlamak için uzmanlar kullanıcılara 7 öneride bulunuyor.
Bu USB belleklerde çeşitli nedenlerle yaşanan veri kayıpları, kullanıcılar için büyük problemler yaratıyor. Veri Kurtarma Hizmetleri Genel Müdürü Serap Günal, USB belleklerdeki verileri güvende tutacak 7 öneride bulunuyor.
En sık kullanılan depolama aygıtlarından USB belleklerin yanlış kullanımı, veri kayıplarına yol açarak önemli dosyaların riske atılmasına neden olabiliyor. Veri Kurtarma Hizmetleri’nden Günal, kullanıcıların veri kaybı yaşamasını önleyecek 7 öneriyi paylaşıyor.
Bilgisayardan çıkartırken “güvenli çıkart” komutunu kullanın. USB belleklerle ilgili yapılan en yaygın hata, işlem bittiğinde bilgisayardan hemen çekip çıkartılmaları oluyor. Ancak bu alışkanlık, henüz aktarılamamış bilgilerin kaybına yol açabiliyor. Bu durumu önlemek için usb belleklerin, “çıkart” komutu tamamlanınca çıkartılması gerekiyor.
Kullanıcı izinlerini düzenleyin.USB belleklere ve içindeki verilere yetkisiz kişilerin ulaşması ihtimaline karşılık kullanıcı izinlerinin sınırlandırılması cihaz güvenliğini artırıyor. Ekrandan disk kısmına sağ tıklamanın ardından “güvenlik” ve “düzelt” seçeneklerine ulaşarak yapılabilen bu ayarlamayla erişim izninin herkese tanınmasının önüne geçiliyor.
Virüs kontrolü yapın.USB belleklerin, güvenliğinden emin olunmayan bilgisayarlara takılması veri kayıplarına adeta davetiye çıkarıyor. Böyle bir problemle yüzleşmemek için bilgisayarların güncel antivirüs programlarıyla desteklenmesine ihtiyaç duyuluyor.
Ortak alanlarda bulunan bilgisayarları kullanırken daha çok dikkat edin.Çoğu kullanıcı, acil ihtiyaç anlarında USB belleği herhangi bir bilgisayara takarak işlem yapmaktan çekinmiyor. Ancak özellikle internet cafe, otel, kütüphane gibi ortak alanlarda bulunan bilgisayarlarda USB bellek kullanımı, verileri risk altında bırakıyor. Bilgisayardaki bir virüs ya da güvenli olmayan herhangi bir kaynaktan indirilmiş bir dosya veya program, USB diskteki verileri bozabiliyor.
Rutin olarak tarayın.USB belleklerde düzenli olarak yapılacak veri taraması, veri kaybının yaşanmaması için oldukça önem taşıyor. Ayrıca USB diskinizde bulunan tüm dosyaları silmek istiyorsanız direkt format atmak daha iyi bir çözümdür.
Veri transferi gerçekleştirirken çevrimiçi olmayın. İnternete bağlı cihazlarda USB belleklerin virüs gibi sebeplerle zarar görme ihtimali çok yüksek olmasa da, özellikle kritik dosyaların USB belleğe aktarılması sırasında internet bağlantısının kapatılması, verilerinize yönelik riskleri azaltıyor.
Şifreleyin. USB belleklerin şifrelenmesi de verilerin korunma düzeyini oldukça artıran önlemler arasında yer alıyor. Belleğin cihaza her takılışında istenen şifre sayesinde yetkisiz kullanıcıların bellekteki dosyalara erişme tehlikesi neredeyse ortadan kalktığı için veri kaybı yaşama ihtimalinden uzaklaşılmış oluyor.
Şirketinizin bir siber saldırının kurbanı olması nasıl bir his? Şirketinizin daha fazla zarar görmemesi için neler yapmanız gerekir? Fidye ödemeniz gerekir mi? Siber güvenlik şirketi Forcepoint, gerçek hayatta yaşanmış birçok deneyimden yola çıkarak bir siber saldırı tatbikatı gerçekleştirdi. İngiliz haber kanalı BBC de bu senaryoyu sayfalarına taşıdı. İşte adım adım bir siber saldırıyı püskürtme girişimi hikâyesi:
Senaryo:
Blink Wink adılı hayali bir gözlükçünün (optik firmasının) bilgi teknolojileri çalışanları bir e-dolandırıcılık e-postasıyla oltaya geliyorlar. Çalışanlardan biri, yasal olduğunu düşündüğü bir e-postaya tıklayarak e-postanın yönlendirdiği kurmaca bir web sitesine ulaşır. Fakat bu internet sitesi yasal değildir. Bu olay iki ay önce yaşanmıştır. Bugün ise bir skandala dönüşür…
Salı – 08:30
Blink Wink’in bilgi teknolojileri yöneticisi, güne şirketin müşterilere açık e-posta kutusunu standart spam ve gereksiz e-postalardan temizleyerek başlamıştır. İçerinden biri dikkatini çeker. Midesine sancılar girmeye başlar…
Zira e-postada şunlar yazmaktadır: “Elimde bunlardan çok daha fazlası var. Kısa bir süre sonra isteklerimizle yeniden karşınızda olacağız.” Yazı bir müşterinin adı, soyadı, kredi kartı bilgileri ve e-posta adresinin hemen altında yazmaktadır.
Tony ilk önce bunun bir oyun ya da şaka olduğunu umut eder; fakat risk de alamaz. Zar zor yutkunarak firmanın güvenlik sorumlusu Doug Hughes’u arar. Doug New York’ta tatildedir ve saat de gece yarısı 3,30’dur. Tony şüpheli e-postayı Doug’a yönlendirir. Doug, “Kredi kartı numarasını doğruladık mı? Kart sahibi müşterilerimizden bir mi?” diye sorar. Tony henüz bilmediğini söyler. Doug bu kez e-postanın kaçta geldiğini sorar. Tony düşündükten sonra, “Sanırım dün biz işten çıktıktan hemen sonra geldi, bu yüzden sabaha kadar fark etmedim” diye cevap verir. “En az 12 saati var o halde” diye yanıtlar Doug.
Salı – 13:30
Tony, Doug’a ikinci bir e-posta aldıklarını ve gönderenlerin 15 bin Euro’luk fidye istediklerini ve bunu Litecoin adlı kripto para birimi ile ödenmesini istediklerini aktarır. Ve devam eder: “İngiltere saati ile 22.00’ye kadar parayı ödememiz gerektiğini yazmışlar. Aksi takdirde bütün müşteri kayıtlarımızı sileceklermiş.”
Doug, “Ne?” diye haykırır ve devam eder: “Ben ellerinde sadece bir müşterinin bilgileri var sanıyordum” Tony, şantajcıların tüm müşterilerin bilgilerine sahip oldukları iddiasını aktarır.
Doug acilen Blink Wink’in hukuk danışmanı Grace Bolton’ı arar. Grace’in sesi kesik kesik gelmektedir. “Bu açık bir potansiyel güvenlik ihlali. Cevap vermeyin. Mevcut kanunları gözden geçirmek için zaman ihtiyacım var. Böylece nerede durduğumuzu bilebiliriz” der. Doug polisi aramaktan bahseder. Ya da enformasyon komiserini ya da Avrupa Birliği Veri Koruma Yönergesi?
Salı – 15:30
Blink Wink için işler kontrolden çıkmaya başlamıştır. Hackerler bazı müşterilerin isimlerini ve kredi kartı bilgilerini Pastebin’de yayınladıklarına dair görüntü atmışlardır. Pastebin, kullanıcıların bilgisayarlarındaki bir yazı, makale ya da kodu uzaktaki arkadaşları ile online olarak paylaşmasını sağlayan bir platform. Doug artık bilgilerin doğruluğunu teyit etmiştir. Tony web sitesini kapatmayı teklif eder, böylece riski azaltacaklarını düşünür.
Grace araya girer: “Bunu yapmadan önce kime söylememiz gerekir? Veri ihlali politikamız tam olarak nedir?” Doug ise bunun yasal olduğunu söyler. Gracei, Tony’ya, “Veri koruma yetkilisi sen değil misin?” diye sorar. Tony, “Yok, değilim” der. Doug’un ümitsiz bir halde sorar: “Nasıl yani ben miyim? Neyse, siteyi kapatırsak bu dikkatleri daha fazla üzerimize çekmez mi? Bunun iyi bir fikir olduğundan emin değilim.”
Grace, Doug ile aynı fikirdedir.
Blink Wink’in Halkla İlişkiler Müdürü Sandra Ellis araya girer ve durumun hiç de iç açıcı olmadığını ifade eder: “Müşterilerimizin kişisel bilgilerini korumakta başarısız olduk. Bunun sonuçları ağır olabilir.” Bu arada Ellis’in aklına firmanın “bir alana bir bedava” kampanyası gelir ve kampanya dolayısıyla web sitesine çok sayıda insanın giriş yaptığını düşünerek sorar: “Onların da bilgileri çalınmış mıdır?” Doug büyük olasılıkla çalınmış olabileceğini söylerken ekler: “Bir şekilde siteyi ya da bir kısmını kapatmalıyız. Ve fidyeyi ödeyip ödememe konusunda karar vermeliyiz.”
Salı – 17:00
Sandra Ellis bir basın açıklaması hazırlar fakat açıklamayı insanlar sorular sormaya başlayana kadar yayınlamamayı önerir. Bir olay yaşadıklarını ve buna karşılık siteyi kapattıklarını söylemeyi teklif eder. Doug düzeltir: “Olay değil, ihlal.” Grace ise olayın dallanıp budaklanmasından endişelenerek bu kelimeyi kullanmamak gerektiği üzerinde durur. Tony telekonferans konuşmasına pat diye dahi olur: “Karantinaya giren bir eposta gelmişti ve neymiş diye kontrol etmeye karar verdi. Bir de eki vardı. Bu olabilir.” Doug sorar: “Ona tıkladığını söyleme lütfen? “ Tony cevap verir: “Ben sadece bunun işleri hızlandıracağını düşünmüştüm.”
Doug küfreder ve başka bir zararın olup olmadığını görüşmek üzere güvenlik ekibi ile iletişime geçer. İngiltere Bilgi Komisyonu Ofisi’ni (ICO) arar. Telefondakilere “İsterseniz telefonla ya da online olarak rapor edebiliriz. Ancak problemi azaltmak için ne yapmamız gerektiğini söylememiz gerekiyor.” Tony olan biteni şu şekilde anlatır: “Pekâlâ, geçtiğimiz yıl tehdit saptama yazılımının son versiyonunu almaya niyetlenmiştik. Fakat bununla ilgilenen çocuk işten ayrıldı ve yerine de kimse alınmadı.”
“Böyle bir şey olmadı. Bunu ICO’ya söylemeyin sakın,” diye bağırır Grace ve ekler: “Mevcutta yeterli denetimimiz olduğunu gösteremezsek başımız belaya girer ve siber sigortacılar ödeme yapmak istemezler.”
Daha sonra Doug, en son gelen e-dolandırıcılık mailinin dikkat dağıtma amaçlı gönderildiğini teyit ederken ekibi bilgilendirir: “İki ay önce gönderilen ve bizim bulut sağlayıcılarımızdan biriymiş gibi görülmesi için yapılan sisteme giriş sayfasına bağlanan bir e-dolandırıcılık maili buldular. Bu şekilde girdiler.” Doug bundan sonra olayları daha iyi bir şekilde ele almak gerektiği sonucuna varır ve ekler: “Bu yine olacak ve daha kötüye gidecek”
Peki Blink Wink ne yapmalıydı?
Forcepoint Baş Mühendisi Richard Ford, geç tepki vermenin Blink Wink’i köşeye sıkıştırdığını düşünüyor. Bu tip durumlarda hızlı hareket edilmesi gerektiğini söyleyen Ford, aksi halde saldırganların istediklerini zorla kabul ettireceklerini ifade ediyor. Ford, veri ihlali yasalarına dair kısıtlı bilgiye sahip olmanın şirketleri korunmasız duruma düşürdüğünü söylerken ekliyor: “Açık bir şekilde bir veri ihlali politikaları yok ve kimin ne yapması gerektiğine dair bir bilgileri de bulunmuyor”
Ford ‘şirket neler yapmalıydı’ sorusunu ise şunları sıralayarak cevap veriyor:
-Adım adım neler yapılması gerektiğine dair bir veri ihlali planı hazırlamalıydılar.
-Bu planı personelle birlikte tatbik etmeliydiler.
-İhlal sırasında kimin neyden sorumlu olduğunu tasarlamış olmalılardı.
– Yöneticilerin durumdan haberdar olmadı için planı düzenli olarak güncellemeliydiler
– Üçüncü tarafları ve tedarikçileri bilgilendirmeliydiler.
– Olayı nasıl ele aldıklarını göstermek için Bilgi Komisyonu’na (ICO) kanıtlar sunmalıydılar.
Trend Micro’nun yeni siber güvenlik raporuna göre, 2017 yılına hedefli, stratejik ve kazanç odaklı saldırılar damgasını vurdu.
Trend Micro açıkladığı 2017 Güvenlik Raporu ile siber saldırganların kazançlarını artırabilmek için fidye yazılım, kripto para madenciliği ve BEC saldırılarını artırdığını duyurdu. 2018 yılında da benzer bir tablonun oluşması beklenirken, saldırıların daha çok yeni Avrupa Birliği Gizlilik Kanunu çerçevesinde şekilleneceği öngörülüyor.
Raporda ayrıca 2016’dan 2017’ye kadar yeni nesil fidye yazılımlarında yüzde 32’lik bir artış oldukça dikkat çekici bir ayrıntı olarak öne çıkıyor. 2016 yılında fidye yazılım saldırısına maruz kalan ülkeler arasında Avrupa’da ilk sırada olan Türkiye, Trend Micro’nun araştırmasına göre 2017’de de bölgesel birinciliği diğer ülkelere bırakmadı.
Avrupa ülkelerinin toplam fidye yazılım saldırısına uğrama yüzdesi global rakamın yüzde 23,65’ini oluştururken; Türkiye yüzde 15,85’lik oranıyla, Avrupa ülkeleri arasında ilk sıraya yerleşti. Fidye yazılım saldırılarında ise Türkiye, dünyada 6. ülke oldu. Online Bankacılık zararlı yazılımı saldırısına maruz kalan PC sayısına bakıldığında Türkiye yine Avrupa ülkeleri arasında ilk sırada, dünyada ise 6. sırada yer aldı.
Kripto para madenciliğine yönelik zararlı yazılım oranlarının yükselerek 2017 Ekim ayında 100.000’e ulaşması tehlikenin boyutlarını ortaya koyuyor. Saldırıların hedefinde Bitcoin borsaları ve hesapları yer aldı. Siber saldırganlar bu saldırıları gerçekleştirirken, savunmasız IoT cihazlarından yararlandılar. Savunmasız IoT cihazları, son dönemin önemli siber saldırı metotlarına karşı büyük bir risk faktörüne sahip.
Fidye Yazılım:
Saldırılarda bir önceki yıla göre yüzde 32 oranında artış görüldü.
5 milyar dolara yakın maddi kayıp yaşandı.
Fidye saldırılarının yüzde 94’ü e-posta üzerinden gerçekleşti.
Artan farkındalığa karşın 2018’de BEC kaynaklı saldırılar sonucu 9 milyar dolar zarar oluşması bekleniyor.
Kripto Para Madenciliği:
2017’de önemli artış yaşanırken, Ekim ayına gelindiğinde 100 bini aşan saldırı tespit edildi,
Suçlular paranın peşini bırakmıyor.
Saldırganlar yapılan yatırımın karşılığını kolaylıkla alabiliyorlar. Gereken regülasyonlar oluşturulmadıkça, saldırıların artış göstermesi bekleniyor.
IoT:
IoT özelinde saldırganlar cihazların bağlı olduğu ana ağ yerine cihaza bağlanmayı tercih ediyorlar.
2017 yılında toplam saldırıların yüzde 45.6’sı IoT özelinde gerçekleşti.
Savunmasız IoT cihazları, son dönemin önemli siber saldırı metotlarına karşı risk oluşturmayı sürdürüyor.
Siber Bülten abone listesine kaydolmak için formu doldurun
Fransa, ülkenin stratejik açıdan önemli ve kontrol edilmesi gereken sektörler listesine yapay zekâ ve veri güvenliğinin de eklenebileceğini söyledi.
Fransız Dış İşleri Bakanı Bruno LaMaire, cuma günü yaptığı açıklamada, “Fransa’nın yapay zekayı ve veri koruma şirketlerini ülke için stratejik açıdan önemli bulduğunu, bu sebeple hükümetin, Fransız şirketlerinin bu endüstrilerden dış alımlarını engelleyebileceğini” söyledi.
Reuters’ın haberine göre, Fransa’da 2014’te düzenlenen bir kararname ile yabancı şirketler enerji, telekomünikasyon, ulaşım, su ve sağlık sektörlerindeki Fransız menşeili şirketlerin yönetimini devralmadan önce Fransız devletinin iznine tabi oluyor.
Le Maire BFM TV’de ayrıca şunları dile getirdi:” Kanaatimce, mevcut ekonomik eğilimlere baktığınızda, bu kararnameye eklenebilecek bariz pek çok sektör var. Pek çok şeyin kişisel veri ile ilgili olduğunu düşünüyorum. Gerçekten yatırımcıların verilerimizi pazarlamasını istiyor muyuz? Yapay zekâyı düşünüyorum da, daha fazla yatırım beklediğimiz, çok hassas bir sektör.”
Bunun yanında, bir Fransız şirketi, yabancı bir veri koruma şirketini devralmaya girişmiş durumda: Fransız güvenlik şirketi Thales ve Amsterdam merkezli Gemalto perşembe günü yayınladıkları ortak bildiride geçen ay Thales’in 4.8 milyar EUR’luk Gemalto nakit satın alımının 2018 yılının ikinci yarısında kapanması beklendiğini açıkladı.
Siber Bülten abone listesine kaydolmak için doldurunuz
