19.10.2020, 20:50
Veri Güvenliğini Önemseyin
Veri nedir? Doğru ve etkin kullanıldığında, veri her şeydir. Son zamanlarda yalnızca Kişisel Verileri Koruma Kurulu’nun yayınladığı veri ihlal bildirimlerine dahi bakında, en büyükten en küçüğe ne kadar firmanın ciddi saldırılara uğrayıp, milyon liralara ulaşan sistem kayıpları yaşadıklarını anlayabiliyoruz. Birçok sorumluluk, ceza, itibar kaybı, işletme kaybı mevcut. Bunlar buz dağının görünen kısmı. Şirketler aslında ikiye ayrılıyor: Siber saldırıya uğramış olanlar, ve siber saldırıya uğramış olduğunu fark etmeyenler.
Başarılı siber saldırı sonucu şirket verilerini üçüncü kişilere satma(i) ve fidye yazılımları(ii), bugün işletmesel bir “iş modeli” olarak karşımıza çıkıyor. İlk modelin nasıl işlediği belli. Bir sisteme girişte başarılı olan siber saldırganlar, bazen tek bir saldırıda bazen de bilgi sistemine yaptığı yerleştirmelerle devamlı olarak sistemden veri hırsızlığı yapıp; ticari sırları, müşteri bilgilerini, rakip firmalara belli bedellerle satıyorlar. Müşteri bilgisinin kritik olduğu sektörlerde, bunun yıkıcı etkisini belirtmeye lüzum yok. İkinci iş modeli olan fidye yazılımları (ransomware) ise, şirketlerin başını henüz yeni yeni ağrıtmaya başlatan, yakında günlük bir olay olarak karşımıza çıkacağına yüksek ihtimal verilen siber güvenlik suçu.
Fidye yazılımlarında özetle sistem kilitleniyor, ve istenilen fidye -genelde kripto para kullanarak- ödenmedikçe o sistem kullanıma açılmıyor. Son yıllarda ülkemizde sayısız fabrikanın da başına gelen bir durum. Tüm üretim sistemi, o fidye ödenene kadar veya sistem tekrar kurtarılana kadar duruyor, dolayısıyla “işletme kapanıyor”.
Sonuç ve önlemler nedir? Bu konuda hukuk, maalesef ki yetersiz. Türk Ceza Kanunu’na göre, veri sistemine izinsiz giriş, veri sistemini engellemek ve veri sızıntısı gerçekleştirmek, hapis cezasını gerektiren bir suç. Tabi bulabilirseniz. KVKK’ya göre ise veri sorumlusu eğer siber saldırıya uğrar da işlediği verilerin sızmasına sebebiyet verirse, idari para cezası ve tazminat sorumluluğu altında kalıyor. Veri saldırısına uğrayan işletmelerin 72 saat içinde KVK Kurumu’na bildirmesi zorunlu, ancak işletmeler itibar kaybından çekindikleri için bunu gerçekleştirmiyorlar, ya da tespit edecek sistemleri bulunmuyor. Bu da bir cezai ve hukuki sorumluluk getiriyor işletmeye. Veri Koruma mevzuatımızda siber güvenliğe ilişkin “eser miktarda” önlem mevcut. Veri sorumlusunun hukuka uygun veri işlemesi için tüm gerekli teknik tedbirleri alması zorunluluğu var. Ancak bu zorunluluğun detayları kesin olarak belirtilmedikçe, maalesef ülkemizde uygulanan ve başarının kilit anahtarı olan (!) yöntem “başımıza bir şey gelene kadar böyle devam” yöntemi uygulanıyor ve her gün farklı sanayi bölgelerinden fidye yazılım saldırıları haberleri alıyoruz.
Bu konuda ünlü antivirüs firması Eset, Türkiye’de gerçekleştirdiği bir toplantıda, fidye yazılımlarının günümüzde işletmelere karşı yapılan en popüler saldırı türü olduğunu söylüyor. Antivirüs’te popüler yabancı markalardan olan Symantec, 2018’de dünya genelindeki işletmelerin %81’inin fidye yazılımı saldırısına uğradığını öne sürüyor.
Çoğu konuda olduğu gibi burada da önlem almak, kayıp gidermekten daha mühim.
Saygılarımla
Bahadır Yazıcı
Başarılı siber saldırı sonucu şirket verilerini üçüncü kişilere satma(i) ve fidye yazılımları(ii), bugün işletmesel bir “iş modeli” olarak karşımıza çıkıyor. İlk modelin nasıl işlediği belli. Bir sisteme girişte başarılı olan siber saldırganlar, bazen tek bir saldırıda bazen de bilgi sistemine yaptığı yerleştirmelerle devamlı olarak sistemden veri hırsızlığı yapıp; ticari sırları, müşteri bilgilerini, rakip firmalara belli bedellerle satıyorlar. Müşteri bilgisinin kritik olduğu sektörlerde, bunun yıkıcı etkisini belirtmeye lüzum yok. İkinci iş modeli olan fidye yazılımları (ransomware) ise, şirketlerin başını henüz yeni yeni ağrıtmaya başlatan, yakında günlük bir olay olarak karşımıza çıkacağına yüksek ihtimal verilen siber güvenlik suçu.
Fidye yazılımlarında özetle sistem kilitleniyor, ve istenilen fidye -genelde kripto para kullanarak- ödenmedikçe o sistem kullanıma açılmıyor. Son yıllarda ülkemizde sayısız fabrikanın da başına gelen bir durum. Tüm üretim sistemi, o fidye ödenene kadar veya sistem tekrar kurtarılana kadar duruyor, dolayısıyla “işletme kapanıyor”.
Sonuç ve önlemler nedir? Bu konuda hukuk, maalesef ki yetersiz. Türk Ceza Kanunu’na göre, veri sistemine izinsiz giriş, veri sistemini engellemek ve veri sızıntısı gerçekleştirmek, hapis cezasını gerektiren bir suç. Tabi bulabilirseniz. KVKK’ya göre ise veri sorumlusu eğer siber saldırıya uğrar da işlediği verilerin sızmasına sebebiyet verirse, idari para cezası ve tazminat sorumluluğu altında kalıyor. Veri saldırısına uğrayan işletmelerin 72 saat içinde KVK Kurumu’na bildirmesi zorunlu, ancak işletmeler itibar kaybından çekindikleri için bunu gerçekleştirmiyorlar, ya da tespit edecek sistemleri bulunmuyor. Bu da bir cezai ve hukuki sorumluluk getiriyor işletmeye. Veri Koruma mevzuatımızda siber güvenliğe ilişkin “eser miktarda” önlem mevcut. Veri sorumlusunun hukuka uygun veri işlemesi için tüm gerekli teknik tedbirleri alması zorunluluğu var. Ancak bu zorunluluğun detayları kesin olarak belirtilmedikçe, maalesef ülkemizde uygulanan ve başarının kilit anahtarı olan (!) yöntem “başımıza bir şey gelene kadar böyle devam” yöntemi uygulanıyor ve her gün farklı sanayi bölgelerinden fidye yazılım saldırıları haberleri alıyoruz.
Bu konuda ünlü antivirüs firması Eset, Türkiye’de gerçekleştirdiği bir toplantıda, fidye yazılımlarının günümüzde işletmelere karşı yapılan en popüler saldırı türü olduğunu söylüyor. Antivirüs’te popüler yabancı markalardan olan Symantec, 2018’de dünya genelindeki işletmelerin %81’inin fidye yazılımı saldırısına uğradığını öne sürüyor.
Çoğu konuda olduğu gibi burada da önlem almak, kayıp gidermekten daha mühim.
Saygılarımla
Bahadır Yazıcı
12
kapalı
ABD Doları’nda yıl sonu beklentiniz nedir (TL) ?
