Bug bounty (ödül avcılığı) programları, finans sektöründe ortalama 9 ay süren zafiyet tespiti süresini azaltmak için en çevik yol olarak görülüyor.
Araştırmalara göre bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Bu da her sektör için çok uzun bir süre ancak özellikle de finans gibi hassas bir sektörde faaliyet gösteren şirketler için daha da kritik.
Dünyada artık nakit kullanımı azalıyor ve dijital ödeme seçenekleriyle yapılan işlemlerin sayısı artıyor. Artan siber güvenlik risklerine karşı şirketlerin sistemlerinin güvenlik açıklarını düzenli değil, sürekli olarak denetletmeleri gerekiyor.
Her geçen gün siber güvenlik, şirketler ve kurumlar için çok daha önemli hale geliyor. 2020’de fidye yazılımları yüzde 150 arttı ve her 39 saniyede yeni bir saldırı gerçekleştirildi. Bu saldırılardan birinin başarıya ulaşması, bankalar ve fintekler için büyük sorunlar oluşturabilme potansiyeline sahip.
Öte yandan siber saldırılar yapay zeka ve kendi kendine öğrenen kötü amaçlı yazılımlarla çok daha etkili hale geliyor. Bu noktada kimlik doğrulama alanındaki tek seferlik şifreler (OTP) ve bilgi tabanlı doğrulamalar (KBA), siber saldırganların en çok başvurduğu saldırı alanları olarak öne çıkıyor.
HER SANALLAŞMA ADIMI YENİ GÜVENLİK AÇIKLARI ÇIKARIYOR
Verileri birçok şekilde ihlal etmek mümkün. Ancak hepsinin ortak sonucu ise finansal ve itibar kayıpları oluyor. Finansal işlemlerin dijital platformlardan yapılması, mobil bankacılık ve bulut hizmetlerinin daha fazla kullanılması ise veri ve işlem güvenliğinin sağlanmasını daha da zorlaştırıyor.
Sürekli geliştirilen ve güncellenen uygulamalar siber suçluların, müşterilerin hassas finansal verilerine ulaşabilmesini sağlayacak potansiyel açıklarla birlikte geliyor.
Durmaksızın varlığı bilinmeyen açıkları arayan siber saldırganlar, finans sektörünü maliyet açısından veri ihlallerinden en çok etkilenen ikinci sektör haline getirmeye devam ediyor. 2021’de finansal kuruluşlar, veri ihlalleriyle doğrudan bağlantılı ortalama 5,72 milyon dolar kayıpla karşı karşıya kaldı.
Bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Ortalama bir veri ihlali de dokuz aydan uzun süre fark edilmiyor. Bu da tehlike altında olan bankacılık kayıtlarından ve çalınan kayıtlardan ötürü oluşan mali etkiyi ciddi oranda artırıyor.
Şişli Belediyesi fidye yazılımcıların kurumdaki sunucularda bulunan dosya ve klasörleri şifrelediğini açıkladı. Belediye KVKK’ya veri ihlali bildiriminde bulundu.
İhlalden etkilenen kişi ve kayıt sayısı henüz tespit edilemezken, belediyeye ait dosya ve klasörlerin şifrelendiği saldırı ile ilgili inceleme başlatıldı.
12 Şubat’ta gerçekleştirilen saldırıda, belediyenin kullandığı sunuculara fidye yazılımı yüklenerek, bazı dosya ve klasörlerin şifrelendiği tespit edildi.
Yaşanan veri ihlalinden etkilenen kişi ve kayıt satısı henüz tespit edilmezken, uzman incelemesinin devam ettiği ifade edildi.
Şişli Belediye Başkanlığı tarafından Kişisel Verileri Koruma Kurumu’na (KVKK) konuyla ilgili olarak yapılan iletide sözkonusu veri ihlali ile ilgili olarak şu bilgiler verildi:
KAÇ KİŞİNİN ETKİLENDİĞİ BELLİ DEĞİL
– Veri sorumlusunun kullanmış olduğu sunucu ve istemcilere fidye yazılımı yüklemek suretiyle bir siber saldırı gerçekleşti ve bu saldırı sonucu dosyalar ve klasörler şifrelendi.
– Veri ihlali, 12.02.2022 tarihinde gerçekleşti ve aynı gün tespit edildi.
– İhlalden etkilenen kişi ve kayıt sayısı henüz tespit edilemedi.
– İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve üyeler olduğu belirlendi.
– İhlalden etkilenen veri kategorileri hakkında bilgi verilmezken, uzman incelemesinin devam ettiği açıklandı.
ABD’li domain devi GoDaddy’ye ait 1,2 milyon müşterinin verilerinin çalındığı bildirildi.
Şirketin yönetilen WordPress hesabının parolasının elde edilmesi suretiyle gerçekleşen sızıntıyı geçen hafta fark ettiği ancak söz konusu veri ihlalinin 6 Eylül’den bu yana aktif olarak devam ettiği ortaya çıktı.
Firmadan yapılan yazılı açıklamada, tespit edilen şüpheli etkinlikle ilgili soruşturmanın başlatıldığını ve bir adli bilişim firmasından yardım alındığı belirtildi. Açıklamada ayrıca konunun güvenlik güçlerine de bildirildiği duyuruldu.
Şirket veri ihlalinden etkilenen müşterileri yardım merkezine yönlendirdi.
GoDaddy’ye yönelik veri ihlaliyle, 1,2 milyon müşterinin e-posta adresleri ile müşteri numaraları, aktif müşterilerin sFTP ve veritabanı kullanıcı adı ve parolaları ele geçirildi.
Ayrıca aktif müşterilerin belli bir kısmının özel SSL anahtarları ele geçirildi. Firma söz konusu müşteriler için yeni sertifikalar oluşturacağını açıkladı.
GoDaddy geçen yıl ve 2019 yılında da veri ihlalleriyle karşı karşıya kalmıştı. Şirket geçtiğimiz mayıs ayında sisteme sızan saldırganların, barındırma hizmetindeki değiştirilmiş bir SSH dosyası aracılığyla müşteri verilerini ele geçirdiğini açıklamıştı.
Son yapılan araştırma veri ihlallerinin firmalara rekor maliyetlere yol açtığını ortaya koydu.
IBM’in iş güvenliği birimi IBM Security, her yıl yaptığı güvenlik araştırma çalışmasını paylaştı.
Araştırma sonucuna göre veri ihlalleri, katılımcı şirketlere ortalama 4,24 milyon dolara mal oldu. Bu sonuç, raporun yayınlandığı 17 yıl boyunca görülen en yüksek maliyet olarak göze çarpıyor. 500’den fazla kuruluşta meydana gelen veri ihlallerine ilişkin kapsamlı analizlere dayanan araştırma, pandemi sırasında gerçekleşen büyük değişimler sebebiyle güvenlik açıklarının çok daha maliyetli ve kontrol altına alınması zor hale geldiğini ve maliyetlerin önceki yıla kıyasla yüzde 10 oranında arttığını gösteriyor.
İşletmeler geçtiğimiz yılda; teknolojik yaklaşımları hızlıca uygulayarak, çalışanlarını evden çalışmaya teşvik etti. Kuruluşların yüzde 60’ı ise pandemi döneminde bulut tabanlı faaliyetlere geçiş yaptı.Raporla birlikte gelen yeni bulgular, güvenliğin BT’de meydana gelen hızlı değişimlerin gerisinde kalmış olabileceğini ve kuruluşların veri ihlallerine müdahale etme yeteneklerini engellediğini gösteriyor.
Türkiye’den de 21 kuruluşun katıldığı araştırmada veri ihlalinin şirketlere ortalama 1,78 milyon dolara mal olduğu belirtiliyor. Çalınan kimlik bilgileri, yüzde 22 oranla veri ihlalinin en yaygın olduğu alan olurken, bunu yüzde 16 ile e-dolandırıcılık ve yüzde 15 ile yanlış bulut yapılandırması izliyor. Bu faktörler Türkiye’deki bir şirketin sırasıyla ortalama 1,29 milyon dolar, 2,19 milyon dolar ve 1,68 milyon dolar zarara uğradığını da ortaya koyuyor. Araştırmaya zarara sebep olan en pahalı neden ise ortalama 2,25 milyon dolarla üçüncü taraf yazılımlardaki güvenlik açıkları olarak belirlendi.
EVDEN ÇALIŞMA VERİ İHLALLERİNİN ÖNÜNÜ AÇTI
“Veri İhlalinin Maliyeti Raporu”, araştırmaya katılan kuruluşlar arasında aşağıdaki eğilimlerin görüldüğünü ortaya koydu:
Uzaktan çalışmanın etkisi: Pandemi sırasında hızla uzaktan operasyonlara geçiş yapılması, veri ihlallerinin maliyetli olmasına yol açtı. Araştırmaya göre uzaktan çalışma kaynaklı ihlallerin diğer ihlallere göre 1 milyon dolar daha yüksek olduğu gözlendi.
Sağlık hizmetlerinde ihlal maliyetleri artış gösterdi: Sağlık hizmetleri, perakendecilik, konaklama ve tüketici ürünleri üretimi ve dağıtımı gibi pandemi sırasında büyük operasyonel değişikliklerle karşı karşıya kalan sektörler de veri ihlali maliyetlerinde bir önceki yıla kıyasla büyük bir artış yaşandı. Geçtiğimiz yıla kıyasla 2 milyon dolarlık bir artışın görüldüğü sağlık hizmetlerindeki veri ihlalleri, her bir vakada ortalama 9,23 milyon dolarla en yüksek maliyetli ihlaller arasında yer alıyor.
Kimlik bilgilerinin ele geçirilmesi, verileri riske attı: Araştırmaya göre ele alınan ihlal sebepleri arasında kullanıcı kimlik bilgilerinin çalınması en yaygını. İsim, e-posta, parola gibi müşterilere ait kişisel veriler; yüzde 44’lük oranla veri ihlallerinde en yaygın açığa çıkarılan bilgiler konumunda bulunuyor. Bu faktörlerin bir araya gelmesi ve kullanıcı bilgileri ihlallerinin saldırganlara gelecekte daha fazla veri ihlali gerçekleştirme gücünü sağlamasıyla, sarmal bir etkiye sebep olabilir.
Modern yaklaşımlar maliyetleri düşürdü: Yapay zeka, güvenlik analitiği ve şifrelemenin benimsenmesi veri ihlali maliyetini azaltıyor. Bu araçlara yönelik kayda değer bir kullanıma sahip olmayan şirketlerle kıyaslandığında, sahip olan şirketler 1,25 – 1,49 milyon dolar tutarında tasarruf sağladı. Araştırmada ele alınan bulut tabanlı veri ihlalleri söz konusu olduğunda, hibrit bulut yaklaşımı uygulayan kuruluşların veri ihlali maliyetlerinin 3,61 milyon dolar olduğu görüldü. Bu sonuç; genel veya özel bulut çözümlerine öncelik veren yaklaşıma sahip kuruluşlara kıyasla ortalama yüzde 27 daha düşük.
Dünya çapında yapılan araştırmada; herhangi bir bulut platformuna geçiş projesi sırasında ihlal yaşayan şirketlerin maliyetinin ortalamadan yüzde 18,8 daha yüksek olduğu gözlendi. Çalışma ayrıca genel bulut modernizasyon stratejilerinde “olgunluk” evresinde olanların erken aşamada olanlara göre, olayları daha etkili bir şekilde algılayabildiğini ve erken aşamada olanlara göre ortalama 77 gün daha hızlı müdahale edebildiğini tespit etti.
Rapor önceki yıllara kıyasla daha fazla şirketin güvenlik otomasyonu uyguladığını ve bunun önemli maliyet tasarrufları sağladığını da ortaya koydu. Dünya çapında ankete katılan şirketlerin yaklaşık yüzde 65’i güvenlik ortamlarında otomasyonu kısmen veya tamamen devreye aldıklarını bildirdi. “Tam olarak konuşlandırılmış” bir güvenlik otomasyon stratejisine sahip olan kuruluşların ortalama ihlal maliyeti 2,90 milyon dolar otomasyonu olmayanların maliyeti ise 6,71 milyon dolar.
Raporda olay müdahale ekiplerine ve planlarına yapılan yatırımların, veri ihlali maliyetlerini de azalttığı gözlendi. Hem olay müdahale planlanına hem de onu test eden bir ekibe sahip şirketlerin ortalama ihlal maliyeti 3,25 milyon dolarken, bir ekibe ya da plana sahip olmayanların maliyeti ortalama 5,71 milyon dolar.
2021 global raporun ek bulguları arasında şunlar yer alıyor:
Müdahale süresi: Bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Tespit etmek için 212, kontrol altına almak için de 75 gün süren bu işlem; önceki yılın raporuna göre bir hafta daha uzun.
Mega ihlaller: 50 milyon ila 65 milyon kayda yönelik ihlaller arasından, bir mega ihlalin ortalama maliyeti 401 milyon dolar. Bu sonuç, raporda incelenen diğer ihlallerin çoğundan neredeyse 100 kat daha pahalı olduğunu gösteriyor
Sektörlere göre: Sektöre göre en yüksek veri ihlalleri 9,23 milyon dolarla sağlık hizmetlerinde gerçekleşti. Sağlık hizmetlerini, 5,72 milyon dolarla finans sektörü ve 5,04 milyon dolarla ilaç sektörü takip etti. Genel maliyetleri daha düşük olmasına karşın perakendeci, medya, konaklama ve kamu sektörlerinde önceki yıla kıyasla büyük bir artış yaşandı.
Ülkeye/bölgeye göre: En pahalı veri ihlalleri 9,05 milyon dolarla ABD’de meydana geldi. ABD’yi 6,93 milyon dolarla Orta Doğu bölgesi ve 5,4 milyon dolarla da Kanada takip ediyor.
Türkiye’de bankalarda yaşanan sorunlar devam ediyor. Akbank’ta yaşanan teknik arıza güncelliğini korurken bu kez de Türkiye’nin en büyük bankalarından biri olan Garanti BBVA’daveri ihlali gerçekleştiği açıklandı. Kişisel Verileri Koruma Kurumu (KVKK) bildirimine göre ihlalden etkilenen verilerin finans bilgilerinin olduğu belirtildi.
VERİLER ÜÇÜNCÜ ŞAHISLARLA PAYLAŞILDI
Türkiye’nin en büyük bankalarından biri olan Garanti Bankası’nda yaşanan veri ihlaline ilişkin KVKK açıklaması yapıldı. Yapılan açıklamada 01.04.2020 – 15.03.2021 tarihleri arasında banka çalışanlarının şüpheli aktiviteleri nedeniyle inceleme başlatıldığı ve incelemeler sonucu müşterilere ait bilgilerin üçüncü şahıslarla paylaşıldığı belirtildi.
İki farklı banka şubesi çalışanı tarafından üçüncü şahıslarla paylaşılan verilerin finans bilgileri olduğu belirtilirken binlerce müşterinin Kredi Kayıt Bürosu’nda yer alan kayıtlarına ait görüntülemelerin yapıldığı açıklandı.
Söz konusu veri ihlaline ilişkin yapılan KVKK açıklamasında aşağıdaki ifadeler yer aldı;
“Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan T. Garanti Bankası AŞ tarafından Kuruma gönderilen 2 adet veri ihlali bildiriminde özetle;
Banka sistemi üzerinden Kredi Kayıt Bürosu (KKB) ekranlarına yönelik yapılan görüntülemelere ilişkin Teftiş Kurulu Başkanlığı tarafından 01.04.2020 – 15.03.2021 dönemi için uzaktan gerçekleştirilen incelemelerde, 2 farklı banka şubesinde görev alan 2 çalışanın gerçekleştirdiği görüntülemelerin dikkat çekici bulunması üzerine incelemelerin genişletildiği,
Veri sorumlusu tarafından yapılan değerlendirme sonucu çalışanların sorgulamalara istinaden elde etmiş oldukları muhtelif müşterilere ait bilgileri 3. şahıslar ile paylaşmış olabilecekleri konusunda güçlü kanaate varıldığı,
Bir şube çalışanının, %85’i şube müşterisi olmayan ve % 90’ı farklı müşteri segmentlerinden 3277 farklı kişiye ait KKB (Kredi Kayıt Bürosu) kaydını görüntülediği, Akyazı şubesinde bir çalışanın ise %90’ının şube müşterisi olmayan ve %70’i farklı bir şehirde ikamet eden müşterilerden 5079 farklı kişiye ait KKB (Kredi Kayıt Bürosu) kaydı görüntülemesi yaptığı,
İhlalden etkilenen kişisel veri kategorisinin finans bilgileri olduğu, ilgili kişilerin veri ihlali ile ilgili www.garantibbva.com.tr, banka şubeleri ile bankanın çağrı merkezinden bilgi alabileceği ifade edilmiştir. Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 06.07.2021 tarih ve 2021/677 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir. Kamuoyuna saygıyla duyurulur.”
BENZER OLAY 2019’DA YAŞANMIŞTI
Garanti Bankası’nda yaşanan veri ihlali ilk kez olmuyor. 2019 yılında da benzer bir olay bankanın başına gelmiş, Garanti Bankası çalışanının 346 adet banka müşterisinin şube no, hesap no, cep telefonu numarası gibi verilerini üçüncü şahıslarla paylaştığı ortaya çıkmıştı. Söz konusu ihlalden 346 kişinin kimlik, iletişim, müşteri işlem ve finans verilerinin etkilendiği belirtilmişti.
