Etiket arşivi: yazılar

Makale & Analiz

Siber caydırıcılık: Teoriği kolay pratiği zor

Yorum yapın

Will Goodman, “Cyber Deterrence Tougher Than Theory in Practise” adlı makalesinde siber caydırıcılık üzerine geliştirilen teorik yaklaşımların işlevselliğini sorgulamaktadır. Bu noktada siber saldırıların fiziksel katmandan bağımsız olmadığını öne süren Goodman, siber uzayda teorinin pratikten yoksun olduğunu belirtmektedir. Ona göre siber uzayda caydırıcılığın, teorisyenler tarafından tartışılmasının üç sebebi vardır. Bu sebepler genel ve soyut olarak:

  1. Gelecekte yaşanması muhtemel siber savaş riskinin hızla artması,
  2. Diğer dört boyutta (kara, hava, deniz, uzay) başarıyla uygulanan caydırıcılığın beşinci boyutta etkili olma ihtimali,
  3. Caydırıcılığı sağlamak için yapılacak tüm yatırımların maliyetinin, yaşanacak çatışmada baş gösterecek zarardan göreli olarak daha az olması.

Yukarıda genel ve soyut olarak verilen Goodman’ın ortaya koyduğu sebeplerden dolayı 1994 yılında James Der Derian’ın siber caydırıcılık kavramını kullanmasından bu yana siber uzay ve bu alanda sağlanacak caydırıcılığa yönelik ilgi artmaktadır. Yapılan tüm teorik çalışmaların pratikte test edilmemiş olmasından dolayı, siber uzayda caydırıcılığın etkili olup olmayacağı tartışması ortaya çıkmaktadır.

Goodman çalışmasında caydırıcılığın sağlanabilmesi için sekiz temel unsur ortaya koymaktadır. Bu unsurlar:

  1. Menfaat (Korunmak istenen)
  2. Caydırıcı deklarasyon
  3. Esirgeyici/engelleyici önlemler
  4. Cezalandırıcı önlemler
  5. İnanılırlık
  6. Güven verme
  7. Korku
  8. Kar-zarar hesabı

Yukarıda maddelendirilen bu sekiz unsuru bir bütün halinde açıklamak gerekirse, devletler caydırıcılığı herhangi bir konudaki menfaatlerini korumak için kullanırlar. Bu bağlamda devletlerin yapması gereken, öncelikle menfaatlerini koruyacak ve bu doğrultuda menfaatlerine zarar verecek devletlerin cezalandırılacağını ortaya koyan bir deklarasyonda bulunmalarıdır. Bu deklarasyon doğrultusunda devletler öncelikle menfaatlerine saldırılması durumunda onları koruyacak şekilde defansif, ardından da saldıran devlete bedel ödetmek amacıyla ofansif önlemler almalıdır. Caydırıcılığı asıl işlevsel kılan ise kapasite ile tehdit (deklarasyon) arasındaki paralellik ve ortaya konan kapasitenin menfaatlere zarar verilmesi halinde kullanılacağına dair tarihsel referanslardan beslenen inanılırlıktır. İnanılırlık kadar önemli diğer unsurlar ise menfaatlere zarar verilmemesi halinde rakip devlete zarar verilmeyeceğine dair oluşturulan güven, ödetilecek bedelden kaynaklanan korkudur. Son olarak rakip devletin rasyonel davranacağından hareketle yapılacak kar-zarar hesabı, caydırıcılıkta etkin rol oynamaktadır.

UĞUR ERMİŞ’İN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYINIZ

Caydırıcılığın sağlanması noktasında gerekli olan sekiz unsurun yanında, caydırıcılığın siber uzayda işlevsel hale gelebilmesi için özellikle dikkat edilmesi gereken beş başlık ön plana çıkmaktadır. Bu başlıklar Goodman tarafından genel ve soyut olarak şöyle tespit edilmiştir:

  1. “Devletler, siber çatışma esnasında caydırıcı mesajın oluşturulmasını, iletilmesini ve saldırgan tarafından anlaşılmasını sağlamalıdır.
  2. Devletler, ofansif ve defansif kapasitelerinin etkinliğini korumalıdır.
  3. Karşı saldırı yapılmadan önce saldırganın kimliği doğru bir şekilde tespit edilmelidir.
  4. Devletler ilk saldırı sonrasında karşı saldırı kapasitelerinin varlığının devamını garanti altına almalıdır. Daha da önemlisi savunmacı ve saldırgan devlet arasında jeopolitik simetri olmalıdır.
  5. Güvencenin (güven verme) yokluğu siber caydırıcılığın sağlayacağı ilişkiye ket vurabilir.”

Goodman çalışmasında ortaya koyduğu teorik yaklaşımı iki alan çalışmasıyla somutlaştırmaktadır. 2007 Estonya ve 2008 Gürcistan çatışmalarını inceleyen Goodman, bu iki çatışmada siber caydırıcılığın neden başarısız olduğunu irdelemektedir.

Goodman iki noktada ise 2007 Estonya Saldırısının siber caydırıcılığın sağlanmasında gelecekte örnek olabilecek olumlu kısmını öne çıkarmaktadır. Bu noktalardan ilki Estonya’nın defansif önlemlerde sağladığı başarıdır. Estonya CERT’i saldırının yoğun olarak geldiği ülkelerin internet çıkışlarını bloklayarak ve yoğun saldırı altında olan Estonya web sayfalarını erişime geçici olarak kapatarak defansif önlemleri başarıyla uygulamıştır.

İLGİLİ HABER >> ESTONYA TÜM ÜLKEYİ BULUTA TAŞIYOR

İkinci önemli nokta ise Estonya hükümetinin uluslararası antlaşmalar çerçevesinde RF içerisinde soruşturma talep etmesidir. RF ise uluslararası antlaşma hükümlerine rağmen işbirliği yapmayı reddetmiştir. Bu durum RF’nin Estonya Saldırısındaki sorumluluğunu kanıtlanamamasına rağmen soruşturmayı engellemesi neticesinde RF’nin saldırıdan sorumlu olduğu sonucunun doğmasına neden olmuştur. Zira Estonya Saldırısı, saldırıyı yapan aktörün devlet tarafından gizlenmesi ve savunmacı devlete yardımın reddi gelecekte de yardımı reddeden devletin saldırıdan sorumlu sayılacağı bir yaklaşımı ortaya çıkarmıştır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

2008 Gürcistan Saldırısı siber caydırıcılığın sağlanması noktasında bazı olumlu gelişmeler ortaya koymuştur. Bu gelişmelerden ilki siber saldırıyla verilecek zararın uzun vadeli anlamsızlığıdır. Diğer boyutların aksine dijital bilgi çok düşük maliyetlere sonsuz kez çoğaltılabilmektedir. Bunun da ötesinde neredeyse maliyetsiz şekilde zarar gören data/veri kurtarılabilmekte ya da programlar işlevsel hale getirilebilmektedir. Bu durum uzun vadede siber saldırıyı anlamsız hale getirmektedir.

İLGİLİ YAZI >> GELENEKSEL CAYDIRICILIK SİBER ALANDA MÜMKÜN MÜ?

İkinci olumlu gelişme ise diğer tüm boyutlardan çok daha kolay bir şekilde siber saldırıya uğrayan devlete yardım edilebilmesidir. Bu yardım diğer boyutların aksine kritik öneme sahip olan “zamanın kullanımını” mecbur kılan ve maliyeti olan kuvvet aktarımını gerektirmemektedir. Bu bağlamda Gürcistan, siber saldırıya uğradıktan sonra, hükümete ait web sayfalarını üçüncü ülkelerin yer sağlayıcılığı üzerinden sunmuştur. Yaşanan üçüncü olumlu gelişme ise sistemlerin kapalı ağlarla korunabileceğidir. Siber uzayda saldırılar ağa bağlı sistemlerde bulunan açıklar sayesinde yapılmaktadır. Sistemin ağdan koparılması ise saldırının yapıldığı açıkları ortadan kaldırmaktadır. Kapalı ağda çalışan Gürcistan hava savunma sistemleri bu çerçevede siber saldırıdan etkilenmemiştir. Siber saldırılardan etkilenmeyen bu sistemler, görevlerini başarıyla yerine getirerek oldukça gelişmiş RF savaş uçaklarını düşürmeyi başarmıştır.

Goodman’ın ortaya koyduğu ve yukarıda ayrıntılı olarak verilen bu üç olumlu gelişmenin birinci ve üçüncüsü 2008 Gürcistan Saldırısı’nın ardından gerçekleşen diğer saldırılar ve gelişen teknolojiler karşısında geçerliliğini yitirmiştir. Zira 2011 yılında İran’a yapılan STUXNET Saldırısı ile siber saldırı neticesinde ilk kez fiziki hasar verilmiştir. Goodman’ın dijital bilginin çoğaltılması ve kurtarılması sayesinde saldırının anlamsızlaşacağına dair iddiası, siber saldırıyla fiziki hasar verilmesi neticesinde geçerliliğini kaybetmiştir.

Benzer biçimde Goodman’ın kapalı ağların güvenli olduğuna dair iddiası da STUXNET Saldırısı ile geçerliliğini yitirmektedir. İran’ın nükleer tesisleri kapalı ağlar üzerinden yönetilmesine rağmen, sisteme hafıza kartı üzerinden sosyal mühendislik ya da fiziki istihbarat yoluyla yazılım bulaştırılmıştır. 2014 yılında düzenlenen Black Hat konferansında ise İsrailli bilimadamları mavi lazer kullanımıyla kapalı ağdaki bir yazıcıdan veri çalmayı başarmış ve aynı yöntemle kapalı ağlara uzun mesafelerden veri aktarmanın mümkün olduğunu iddia etmişlerdir.

Efsane Hackerlar, Makale & Analiz

Hacker Dünyasının Speedy Gonzales’i: Albert Gonzales

1 Yorum

Sadece iki yıl içerisinde tam 170 milyon kredi kartı ve ATM numarasını ele geçirerek adını hacker dünyasının en azılı üyeleri arasına yazdırmayı başaran Albert Gonzales, nam-ı diğer J4guar, bilgisayar dünyasının gelmiş geçmiş en büyük siber dolandırıcısı olarak nitelendiriliyor. Siber dünyada karışmadığı neredeyse hiçbir suç çeşidi kalmayan Gonzales, siber suçlardan hüküm giyenler arasında en uzun hapis cezasına çarptırılan hacker olarak da biliniyor.

Gonzales, 1981 yılında Küba göçmeni bir ailenin ilk çocuğu olarak dünyaya geldi. İlk bilgisayarına 8 yaşında sahip olan hacker, Florida’da bulunan bir lisede okurken, kendi gibi bilgisayar meraklısı birkaç öğrenciden oluşan oldukça problemli bir grubun liderliğini yapıyordu. Henüz erken yaşlarda deneyimlemeye başladığı hacking girişimleriyle küçük çaplı siber suçlar işlemeye başlayan Gonzales, ismini ilk olarak liderliğini yaptığı 4.000 üyeden oluşan ShadowCrew (Gölge Tayfası) ile duyurdu. 1.5 milyon kredi kartı numarasını çalıp online olarak satan ShadowCrew üyeleri, ayrıca sahte pasaport, sahte sağlık sigortası kartı, sahte sürücü belgesi, nüfus cüzdanı çıkartmak için kullanılan sahte doğum belgeleri gibi sayısız sahtekarlıkla, 4.3 milyon dolar çalmayı başardı.

Ele geçirdiği kart bilgilerini Carderplanet ve Darkprofits gibi siber suç gruplarıyla da paylaşan ShadowCrew’un işlediği suçlar kısa sürede Amerikan Gizli Servisi’nin (CIA) dikkatini çekti. 2004 yılının Ekim ayında Kalkan Operasyonu ismi verilen ve ABD, Bulgaristan, Beyaz Rusya, Kanada, Polonya, İsviçre, Hollanda ve Ukrayna’da eş zamanlı yürütülen operasyonda 28 ShadowCrew üyesi tutuklandı. Çok sayıda sahte kredi kartına sahip olduğu iddia edilen çete lideri Gonzales ise, Gizli Servise yasadışı işleri yürüten grup üyeleri hakkında bilgi vererek, kısaca itirafçı olarak, hapis cezası almaktan kıl payı kurtuldu ve 75.000 dolar hapis cezasına çarptırıldı.

İLGİLİ HABER >> HACKER-FBI İŞBİRLİĞİ: HECTOR MONSEGUR OPERASYONU

Hacker dünyasının tüm azılı üyeleri gibi, Gonzales de artık iflah olmaz bir siber suçlu haline gelmişti. Kalkan Operasyonundan sonra Miami’ye taşınan Gonzales, burada eski alışkanlıklarına geri döndü ve siber dolandırıcılık girişimlerine devam etti. 2005 yılında TJX Company isimli ünlü bir Amerikan şirketinin sistemine sızarak, 18 ay boyunca 45.6 milyon kredi kartı numarasını çaldı. Bununla yetinmeyen Gonzales, Card Systems Solutions isimli kredi kartı üretim şirketinden de 40 milyon kredi kartı bilgisini sızdırdı. Miami’nin kablosuz ağ sistemindeki açıklıkları bulmak için gece gündüz demeden çalışan Gonzales, sonunda Barnes & Noble’dan T. J. Maxx’a kadar sayısız şirketten sızdırdığı bilgilerle, 2006 yılının sonuna kadar 170 milyon kredi kartı bilgisine erişim sağlamıştı. Bu rakam, ABD nüfusunun yarısından fazlaydı.

EFSANE HACKER DİZİSİNİN DİĞER YAZILARI İÇİN TIKLAYINIZ

Dave & Busters’tan kredi kartı bilgilerinin çalındığının fark edilmesi uzun sürmedi ve ABD gündeminde büyük yankı uyandırdı. 2007 yılının Eylül ayında şirketten 5.000 kart numarasını çaldığı ve bu kartların yalnızca 675’inden 600.000 doları kendi hesabına geçirdiği tespit edilen Gonzales, Miami sahilinde bulunan lüks bir otel odasında yakalanarak tutuklandı. Tutuklandığında yanında 1.6 milyon dolar nakit para bulunuyordu. 1.1 milyon doları ise plastik bir çantaya koyarak ailesinin yaşadığı evin avlusuna gömmüştü. Paranın yanı sıra Gonzales’in yanında çok sayıda laptop ve silah da bulunması, alacağı cezayı katlamıştı.

İLGİLİ RÖPORTAJ>> HACKİNG BİR LANET VE BUNDAN KURTULUŞ YOK

Tüm zamanların en büyük siber dolandırıcılık davasının sanık koltuğuna oturtulan 28 yaşındaki Gonzales, yaptıklarından ne kadar pişman olduğunu şu sözlerle anlatıyordu: “ShadowCrew davasında bana bir şans verildi, affedildim. Fakat bu şansı değerlendiremedim. Yaptığım her şeyin tek sorumlusu benim. Bahçelerine yasadışı yollarla elde ettiğim parayı gömerek, ailemin yaşadığı evin kutsallığına zarar verdim. Bana vereceğiniz cezayı hafifletirseniz, aileme onları ne kadar çok sevdiğimi ispatlamak için elimden geleni yapacağım.” Fakat son pişmanlık fayda etmemiş ve Gonzales teknoloji tarihinin siber suçlara verilen en büyük cezası olan 20 yıllık hapis cezasına çarptırılmıştı.

Hacker dünyasının en azılı isimlerinden biri olan Gonzales, şimdilerde Kansas’ta bulunan bir hapishanede özgür kalacağı yıl olan 2025’i bekliyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ULAŞMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

UFO seven hacker: Gary McKinnon

2 Yorum

Tüm zamanların en büyük askeri hacking eylemini gerçekleştirerek haklı bir üne kavuşan Gary McKinnon, nam-ı diğer Solo, Amerikan ordusunun başına gelmiş en büyük siber belalardan biri olarak anılıyor. 11 Eylül saldırılarından kısa bir süre sonra ABD’nin kritik askeri savunma sistemlerine yaptığı saldırılar sebebiyle başı belaya giren efsane hacker, sıradışı hayat hikayesi ile Pink Floyd şarkılarına konu olmayı başarıyor.

1966 yılında Glasgow’da dünyaya gelen İskoç hackerda, kısa bir süre sonra Asperger sendromu baş gösterdiği anlaşılır. Otizme benzeyen ve bulunduğu kişilere oldukça kısıtlı sosyal kabiliyetlere karşı ortalamanın çok üzerinde zihinsel beceri kabiliyeti veren bu sendrom, McKinnon’ın daha çok küçük yaşta hızla gelişen bilgisayar becerilerine sahip olmasına yardımcı olur. İlk bilgisayarına 14 yaşında sahip olan efsane hacker, aynı yıl içerisinde bilgisayar programları yazmaya başlar. 17 yaşındayken okuldan ayrılıp kuaför olarak çalışmaya başlayan McKinnon, arkadaşlarının da teşvikiyle, 1990’ların başında bir bilgisayar kursunu tamamlayarak bu alanda bireysel çalışmalar yapmaya devam eder.

Efsane hackerın 1990’ların sonuna doğru hacking kabiliyetlerini yakından ilgi duyduğu bir konu hakkında daha fazla bilgi sahibi olmak için kullanmaya karar vermesi, hikayesinin çok ilginç bir hale gelmesine yol açacaktır. Zira McKinnon’ın ilgi duyduğu konu UFO’lardır. İzlediği filmlerin ve okuduğu kitapların etkisiyle Amerikan hükümetinin UFO’larla ilgili kritik bilgileri gizlediğine inanan McKinnon, bu bilgilere ulaşmayı kafasına koymuştur. Yıllar sonra BBC’ye verdiği bir röportajda, “Derdim uçan daireleri ve içlerindeki küçük yeşil adamları keşfetmek değil. İnsanların haberi olmadan etrafta uçan uzay araçları olduğuna inanıyorum,” diyordu. ABD’nin ele geçirdiği uzay araçlarında yer çekimine karşı gelebilen bir tahrik sistemi bulduğunu, fakat bunu gizli tuttuğunu iddia eden McKinnon, bahsi geçen gizli bilgileri halkın bilgisine sunarak insani bir misyonu yerine getireceğine inanıyordu. Hastalığının da etkisiyle UFO merakı kısa sürede bir saplantı halini alan McKinnon, Londra’daki kız arkadaşının halasının evinde bulunan bir bilgisayarı “Solo” takma ismiyle kullanarak, Şubat 2001’den Mart 2002’ye kadar Pentagon ve NASA’daki 97 askeri bilgisayarı hackler ve böylelikle tüm zamanların en geniş çaplı askeri hacking eylemine de imza atmış olur. Orduya ait 950 şifreyi çalan, Amerikan donanmasına ait 300 bilgisayarı kullanım dışı bırakan, böylelikle 800 bin dolarlık zarara yol açan McKinnon, ABD otoriteleri tarafından “teröristten farksız” sözleriyle nitelendirilmişti.

EFSANE HACKER DİZİSİNİN DİĞER YAZILARI İÇİN TIKLAYINIZ

13 ay boyunca üzerinde pijamalarıyla evden çıkmadan Amerikan ordusuna ait bilgisayarlara girip “Siber güvenliğiniz berbat” mesajı bırakan ve kritik bilgilere ulaşmaya çalışan efsane hackerın kimliği, Amerikan ordusunun Washington’da bulunan 2 bin bilgisayarlık ağının 24 saat kullanım dışı kalmasına yol açtıktan sonra hızlıca tespit edilir. 19 Mart 2012’de İngiltere’nin Ulusal İleri Teknoloji Suç Birimi tarafından sorgulanır. 3 yıl boyunca akıbeti tartışma konusu olan McKinnon, sonuç olarak 70 yıl hapis cezasına çarptırılır. ABD tarafından yargılanması talep edilen McKinnon’ın ABD’ye iade talebi ise büyük yankı uyandırır. Ünlü rock grubu Marillion’un, McKinnon’ın ABD’ye iade edilmeme mücadelesine katkı sunmak için bir konser organize edeceğini duyurması üzerine Sting, David Cameron, Peter Gabriel gibi ünlü isimler de McKinnon’u desteklediklerini duyurur. İskoç girişimci Luke Heron’ın McKinnon’ın hukuki süreç boyunca yapacağı harcamalar için 100 bin pound ödemesi, eski Pink Floyd üyelerinden David Gilmour’un McKinnon için Dünyayı Değiştir isimli bir şarkı bestelemesi de kampanyayı uluslararası boyuta taşır. Bu desteğin en büyük nedeni, efsane hackerın tüm hacking girişimini insanların daha fazla bilgiye erişebilmesi gibi iyi niyetli bir yaklaşımla yaptığına inanması ve verilen cezanın çok fazla bulunmasıydı. 2010 yılında Obama ile Cameron’ın Beyaz Saray’da yaptıkları bir basın toplantısında gazeteciler McKinnon davasının nasıl sonuçlandırılacağını sormuşlar ve iki liderin bu konuya uygun bir çözüm bulmaya çalıştıkları cevabını almışlardı. Dolayısıyla McKinnon iki ülke ilişkilerinin önemli bir meselesi haline gelmişti.

ABD’ye iade edilmemek için verdiği yaklaşık 10 yıllık mücadeleyi kazanan efsane hacker, şimdilerde sık sık ABD ordusuna ait bilgisayarlarda bulduğu gizli UFO ve uzay bilgilerini basınla paylaşarak hacker dünyasının en ilginç isimlerinden biri olmayı başarıyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ULAŞMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

NATO’nun İlk Sivil Siber Güvenlik Direktörü: Sven Sakkov

Yorum yapın

“Cyber is not a new security challenge any more, it is here to stay and it is transforming most facets of our everyday life. It is ubiquitous and all-encompassing.” –Sven Sakkov, 2015

1971 Tartu doğumlu Sven Sakkov, Ağustos ayında Estonya merkezli, NATO akreditasyonuna sahip Siber Savunma Mükemmeliyet Merkezi (CCD COE) direktörlüğü görevini Albay Artur Suzik’ten devralmasıyla isminden bahsettirmeye başladı. Fakat onu ayrıcalıklı kılan yalnızca başarılı kariyeri ve eğitim geçmişi değil, Sakkov aynı zamanda Merkez’in başına getirilen ilk sivil yönetici. Üst düzey bir bürokrat olan Sakkov’un 1995 yılında Estonya Cumhurbaşkanı’nın ulusal güvenlik ve savunma danışmanı olarak başlayan kariyerinde, Estonya’nın Washington büyükelçiliğinde savunma danışmanlığı görevini yürütmesi ve 2008 yılından bu yana da Savunma Bakanlığı bünyesinde savunma politikalarından sorumlu müsteşar olarak görev alması hemen göze çarpıyor. Son görevine atanana kadar NATO ve Avrupa Birliği ile kurulan ilişkiler, uluslararası işbirlikleri ve ulusal savunma politikalarını planlamaktan sorumlu olan Sakkov ile birlikte merkez için yeni, sivil inisiyatifli ve savunma odaklı bir dönem başlayacağı hissediliyor. Estonya gibi Sovyet işgalinde uzun yıllar geçirmiş bir ülkenin Batı kurumları ile kurduğu ilişkilerde kilit rol sahibi olmak bir yandan Sakkov’un Estonya için önemini gösterirken aynı zamanda Avrupa ve Amerikalılar için Merkez’in yeni patronunun yabancı bir isim olmadığı değerlendirmesine yol açıyor.

SİBER LİDERLER DİZİSİNİN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYINIZ

Yeni direktörün sivil kariyerinin yanı sıra eğitimi de dikkat çeken bir başka konu. Tartu Üniversitesi’nde Tarih, Amerikan St. Lawrence Üniversitesi’nde Siyaset Bilimi lisansını takiben Cambridge Üniversitesi’nde Uluslararası İlişkiler alanında yüksek lisansını tamamlayan Sakkov, Londra Kraliyet ve NATO  Savunma Kolejlerinde de lisansüstü çalışmalar yürütmüş. Estonya tarafından kendisine layık görülen üstün hizmet madalyaları ve Polonya Ordusu’ndan kazandığı altın madalya ile başarılı bir kariyere sahip olduğunu kanıtlayan Sakkov, tüm bunlara ek olarak Baltık ülkelerinin dış politikaları ve güvenliği üzerine yoğunlaşan Diplomaatia dergisinde hem yazar hem de  denetim kurulu üyesi. Dergideki yazılarında Rusya’nın Avrupa Birliği güvenliğine büyük bir tehdit teşkil ettiğine, NATO’nun olduğu kadar ABD’nin de özellikle Baltık bölgesinde bu tehdide karşı etkisini artırması gerektiğine ve Ukrayna krizi sonrası şekillenen dönemde NATO’nun Rusya ile ilgili tüm ilişkilerini yeniden gözden geçirmesi zorunluluğuna değindiği yazılarında milliyetçi bir üslup kullanmaktan çekinmeyen yeni direktör, en az bir önceki direktör Albay Suzik kadar Kremlin’i rahatsız edeceğinin sinyallerini veriyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Siber savunma ve siber saldırı konularının NATO’nun 5.nci maddesi olarak karşımıza çıkan kolektif savunma prensibi kapsamına girdiğini vurgulayan, kendi uzmanlık alanları da ulusal savunma, diplomasi ve işbirliği olarak öne çıkan Sakkov’un yönetiminde geliştirilecek politikaların, asker yöneticilerin inisiyatifinde geliştirilmiş politikalardan daha farklı ve daha sivil odaklı olacağını düşünüyorum. Kanımca, Sakkov bürokrat olmasının ayrıcalığını, eski direktörün adıyla anılan, mevcut siber simülasyonlar arasında en geniş çaplı olma özelliği taşıyan Locked Shields tatbikatlarının uluslararası diplomasi ve uluslararası hukuk ile uyumluğuna daha fazla önem vererek gösterecek. Merkezin Albay Suzik döneminden farklı olarak, endüstriyle daha yakın bağlar kurması, siber savunma kabiliyetlerini artırmak ve adından daha fazla bahsettirmek adına daha fazla eğitim, çalışma grubu ve egzersiz planlaması da muhtemel.

 

 

Makale & Analiz

Siber risk sigortaları nasıl ele alınmalı?

Yorum yapın

1 Ekim 2015’te düzenlenen ve konuşmacı olarak katıldığım NART Risk Management Forum 2015, siber risklerin yönetiminde siber risk sigortaları temalı Türkiye’de düzenlenen ilk etkinlik oldu. Bu etkinlikteki konuşmamda üzerinde durduğum bazı başlıkları özetleyeceğim bu yazı yanında, siber risk sigortaları hakkında daha detaylı bilgiye erişmek isteyenlerin, ilgili PwC makalelerini okumalarını da şiddetle tavsiye ederim .

Siber suçlar ve bilgi güvenliği konularındaki endişelerin hızla artışı, bu konunun önümüzdeki dönemde kurum üst yönetimlerinin dikkatle incelemesi ve değerlendirmesi gereken bir konu haline geleceğine işaret ediyor.

Siber güvenlikle ilgili olaylar, 2014 yılında bir önceki seneye göre %48 artış gösterdi ve bu olayların dünya ekonomisine yaklaşık 400 milyar dolarlık bir maliyeti olduğu tahmin ediliyor.  Bilgi güvenliği ile ilgili tehditlerin geldiği noktayı göstermesi açısından bir başka çarpıcı istatistik de günümüzde her gün 100.000’den fazla siber olayın gerçekleşmesidir. (Kaynak: The Global State of Information Security® Survey 2015)

Yani kaba bir ortalama ile bu konunun altını tekrar çizmek istersek; her saniye dünya üzerinde yeni bir siber olay gerçekleştiğini ve 10.000 dolardan daha fazla zarar oluştuğunu söyleyebiliriz. Böyle bir ortamda kurumların karşısına mevcut risklere ek olarak siber güvenlikten doğan risklerin de yönetilmesi gibi bir zorunluluk çıkıyor.

Kurumların siber güvenlikle ilgili risklerini, ya da kısaca siber risklerini nasıl yönetebilecekleri ise risk yönetiminin dört temel yöntemi ile özetlenebilir:

  1. Riskin Azaltılması.
  2. Riskin Kabul Edilmesi.
  3. Riskten Kaçınmak.
  4. Riskin Transfer Edilmesi.

Siber risk sigortaları bu dört yöntemden sonuncusu olan riskin transfer edilmesi için kullanılabilecek araçlardan birisi, belki de en önemlisi. Aslında siber risk sigortaları (cyber risk insurance) denildiği zaman bu kavram kurumların siber saldırılar karşısında göreceği direkt zararların teminini adreslese de biz yazı boyunca siber sorumluluk sigortalarını da (cyber liability insurance) aynı başlık altına dahil ediyor olacağız.

Geçmişte kısa bir yolculuk yapacak olursak ilk siber risk sigortası ürünlerinin 2000’li yılların başlarında Birleşik Devletler’de piyasaya sunulduğunu ve kullanıma alındığını görmekteyiz. Bunun en temel sebebi de kurumlara siber saldırıları, daha doğrusu kimlik bilgilerinin açığa çıkmasına yönelik siber saldırıları açıklama zorunluluğu getiren yasal düzenlemeler olarak gösterilebilir. İlk olarak 2003 yılında Kaliforniya eyaletinde yasalaşan bu düzenlemeler ülke genelinde hızlıca yaygınlaştı, 2015 yılı itibariyle de A.B.D.’deki 50 eyaletin 47’sinde yürürlüğe girmiş durumda. 2016 yılı başında yürürlüğe girmesi planlanan Avrupa Birliği Veri Koruması Direktifi’nde de (EU General Data Protection Regulation) kurumlara bu konuda ciddi yükümlülükler getirileceği göz önüne alınınca, çok yakında Avrupa Birliği vatandaşlarının mahrem bilgilerini tutan tüm şirketlerin bu ve benzeri risk yönetimi araçlarını değerlendirmesi ve devreye alması kaçınılmaz olacaktır.

Siber risk sigortalarına giderek hızlı bir şekilde artacağı öngörülen talep, sigortacılar için önemli bir ticari fırsat olmasının yanında bu endüstri için büyük kayıplar yaratma endişesini de beraberinde getirmektedir. Peki tüm bu bilgiler ışığında siber risk sigortalarını sürdürülebilir bir zemine oturtabilmek için gerekli risk değerlendirme, risk fiyatlandırma ve risk transfer yapıları nasıl oluşturulabilir?

Sigorta sektörü açısından düşünüldüğünde, siber riskler çoğunlukla terörizm ve doğal afetlere benzetilerek modelleme yapılmaya çalışılıyor. Ama bu başlık biraz olsun irdelenince eşi benzeri olmayan yepyeni bir risk türü olduğunu farketmek mümkün. Siber riskleri diğer risklerden ayıran temel özelliklerini ise üç maddede özetlememiz mümkün:

  1. Her geçen gün daha da sıklaşıyor ve daha çok zarara yol açıyorlar.
  2. Gerçekleştiklerinde oluşacak olan zararı sınırlamak çok zor.
  3. Oluştuklarında tespit etmek ve değerlendirmek hiç de kolay değil.

Yukarıdaki üç madde sigortacıların bu alandaki ürünlerini yaygınlaştırmalarını, ya da daha uygun fiyatlı poliçeleri müşterilerine sunmalarını oldukça zor bir hale getiriyor. Mevcut siber risk sigorta poliçeleri incelendiğinde sigortacıların temkinli yaklaştığı ve poliçelerdeki çeşitli kısıtlamalar ve yüksek prim/teminat oranları ile kendilerini korumaya çalıştığı görülüyor. Bu her ne kadar şu an hala bakir olan bu yeni alanda kabul edilebilir bir yaklaşım olsa da, müşteriler poliçelerin içeriğini ve gerçek değerini sorgulamaya başladığı zaman sürdürülebilir bir yaklaşım olmaktan çıkacaktır.

Bunun yanında unutulmaması gereken önemli bir gerçek de direkt bu alanda bir ürün sunulmasa da artık ihtiyari sorumluluk, ihmal, kaza ve iş sürekliliği gibi alanları kapsayan genel sigorta poliçelerine karşılık gelen teminat taleplerinin de siber riskler sonucunda gerçekleşiyor olabileceği. Bu bağlamda, tüm sigorta şirketlerinin siber risk başlığını ciddi olarak ele alması ve iş stratejilerinin bir parçası haline getirmesi kaçınılmaz görünüyor.

Yazının başında bahsettiğim veri mahremiyeti yasaları, A.B.D. sonrasında Avrupa Birliği vatandaşları için de yürürlülüğe girdiğinde ve ilişkili cezalar uçuşmaya başladığında, özellikle de mevzubahis ülkelerin vatandaşlarına yönelik hizmetler sunan kurumların siber risk poliçelerine olan taleplerinin artmasına kesin gözüyle bakılıyor. Bu gelişmeler sonrasında, sigorta endüstrilerini regüle eden otoritelerin siber risk sigortaları için de düzenlemeler getirmesi sayesinde, sigorta şirketlerinin bu tarz ürünleri keyfi poliçe koşulları ile sunmasının da önüne geçilecektir. Hal böyleyken, bu gibi düzenlemeler devreye alınmadan önce bu başlıklarda mesafe katedebilmiş sigortacıların, rakiplerinin önüne geçeceğini söylemek mümkün. Her endüstride olduğu gibi sigortacılık endüstrisinde de yenilikçi bir oyuncu, yepyeni bir yaklaşımla ve uygun fiyatlarla içeriği dolgun poliçeler sunmaya başladığında tüm rakiplerinin önüne geçmesi kaçınılmaz olacaktır.

Tüm bu bilgiler göz önüne alındığında, sigorta endüstrisinin siber riskleri sağlam temelleri olan ve sürdürülebilir bir şekilde iş planlarına dahil etmesi ve aşağıda özetlenen konu başlıklarının tüm sektör paydaşları tarafından dikkatlice değerlendirilmesi gerekmekte.

İLGİLİ HABER >> ABD’Lİ ESKİ BAKAN SİBER SİGORTA İŞİNE GİRDİ

Siber risk fiyatlandırmaları için kullanılabilecek yeterli aktüaryel veri olmadığı gerçeğinden yola çıkarak, şu an için bu konunun müspet bir bilimden çok sanata benzediğini söyleyebiliriz. Bu sebepten ötürü, konunun uzmanlarıyla siber risklerin müşteri ve poliçe bazlı olarak değerlendirilmesi daha gerçekçi ve sağlıklı fiyatlandırmalara zemin hazırlayabilir. Kurumların zafiyetlerinin ve olası tehditlerin etkin bir şekilde değerlendirilmesi için de siber güvenlik alanında faaliyet gösteren profesyonel hizmet şirketleri, teknoloji sağlayıcıları ve istihbarat örgütleri ile işbirliği düşünülebilir. Bu işbirliği sayesinde genel poliçe şartları yerine özelleştirilmiş poliçeler sunulması, ilgili poliçeleri müşteriler için daha kullanılabilir hale getirecektir.

Sektör paydaşlarının veri paylaşımında bulunması, siber riskler sonucunda oluşacak zararların en doğru şekilde tahmin edilebilmesini sağlamak için çok önemli. Kurumlar ve sigortacıları, itibar ya da rekabet avantajı gibi sebeplerden dolayı yaşadıkları olayları bildirmeye çekiniyor olabilirler. Ama tüm dünyada yaygınlaşmaya başlayan kanunlar dolayısı ile zaten yasal olarak mecbur tutulacak bu tarz bildirimler, ilgili sigorta poliçelerinin çok daha gerçekçi şekilde sunulabilmesini sağlayacak veri havuzunun oluşabilmesi için vazgeçilmez önem taşıyor.

Son olarak; siber risk poliçesi sunan sigorta şirketlerinin itibarının müşterilerin değerlendirme kriterleri arasında en ön sıralarda yer alacağı da tartışılmaz bir gerçek. Sakladıkları ve işledikleri kişiye özel bilgiler ile kredi kartı detayları sebebiyle zaten siber saldırganlar için oldukça cazip bir hedef olan sigorta şirketlerinin öncelikle kendilerini bu riske karşı koruması da siber güvenlik alanında faaliyet gösteren tüm şirketlerde olduğu gibi olmazsa olmazların başında geliyor. Bu konudaki ilk adım ise, yönetim kurulları da dahil olmak üzere tüm üst yönetimlerin siber riskleri stratejik olarak değerlendirmesi ve konunun basit bir bilişim teknolojisi bileşeni ya da uyumluluk problemi olarak görülmekten vazgeçilmesi olacaktır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]