Geleceğin En Büyük Tehditi
Siber Saldırılar Ve Siber Güvenlik Konusunda Bilmeniz Gerekenler
Bu yazı Bilişim Teknolojileri Mühendisi PINAR KABİL tarafından hazırlanmıştır.
Bildiğiniz üzere 19 Temmuz 2024’te Microsoft kaynaklı dijital arıza tüm dünyayı felç etti. ABD merkezli teknoloji devi Microsoft’un 365 uygulamalarında yaşanan kesinti, birçok sektörü olumsuz etkiledi. Bankalardan para çekilemedi, hava yolları uçuşları iptal etti, hastanelerde ameliyatlar gerçekleştirilemedi.
Bilgi Teknolojileri ve İletişim Kurumu (BTK) yaptığı açıklamada, “Yaşanan aksaklığın siber saldırı kaynaklı olmadığı, kesintinin CrowdStrike ürününü kullanan kurum ve kuruluşlarda meydana geldiği tespit edildi” ifadelerini kullandı. Sorun çözüldü çözülmesine ama bu kez de herkesin aklına başka bir soru takıldı: Bu bir siber saldırının ön hazırlığı olabilir mi ve buna engel olmak mümkün mü?
Siber güvenlik; bilgisayarları, ağları, yazılım uygulamalarını, kritik sistemleri ve verileri dijital tehditlerden koruma uygulamasıdır. Siber güvenlik, dijital saldırılara karşı koruma sağlamak için çeşitli süreçler, stratejiler ve teknolojik çözümlerden oluşur. Bu süreçler, kötü niyetli kişilerin kaynaklara erişimini engellemeyi, verileri
çalmayı, iş operasyonlarını sabote etmeyi veya para gasp etmeyi amaçlayan karmaşık yöntemlerle mücadele etmeyi içerir.
Etkili bir siber güvenlik programı; insanların, süreçlerin ve teknolojik çözümlerin saldırı kaynaklı iş kesintisi, finansal kayıp ve itibar kaybı gibi risklerle hep birlikte mücadele etmesini gerektirir. Bilişim Teknolojileri Mühendisleri olarak, siber güvenliğin karmaşık yapısını anlamak ve etkili çözümler geliştirmek mesleğimizin temel taşlarından biridir. Bu yazıda, siber güvenliğin çeşitli sektörlerdeki etkileri, bu tehditlerin maliyetleri ve gelişmiş ülkelerin siber güvenlik regülasyonları konusunda bilgi vermeye odaklanacağım.
Özellikle sağlık sektöründe Türkiye’de ve dünyada gerçekleşmiş en büyük siber saldırılar hakkında da genişçe bir bölüm ile sektörü mercek altına alacağız. Hazırsak başlayalım…
SİBER DÜNYANIN RİSKLERİ
Siber güvenlik, modern ekonominin hemen her sektöründe kritik bir öneme sahiptir. Dijitalleşmenin hız kazanmasıyla birlikte, işletmeler ve kamu kurumları kendilerini güvende hissetmeyip verilerini, bilişim altyapısını ve sistemlerini korumak için daha kapsamlı güvenlik önlemleri almak zorunda kaldılar. Çünkü siber saldırılar, sadece finansal kayıplara yol açmakla kalmıyor, aynı zamanda itibar zedelenmesine, müşteri güveninin sarsılmasına ve operasyonel kesintilere neden olabiliyor. Bu durum, siber güvenliğin sadece bir BT sorunu olmaktan çıkıp, kurumsal bir öncelik haline gelmesine yol açmıştır.
Her sektörde farklı tehditler ve zorluklar bulunmakla birlikte, genel olarak tüm sektörler; veri ihlalleri, fidye yazılımları, kimlik avı saldırıları ve hizmet aksatıcı saldırılar gibi yaygın tehditlerle karşı karşıyadır. Bu tehditler, sektörlerin doğasına ve kullanılan teknoloji altyapısına bağlı olarak farklı şekillerde ortaya çıkabilir. Bu nedenle, sektörel bazda özelleştirilmiş siber güvenlik stratejileri geliştirmek, her bir sektörün kendine özgü ihtiyaçlarını karşılamak açısından önemlidir.
Sektörel bazda tek tek inceleyecek olursak; Sağlık sektörü, hassas hasta verilerini barındırması nedeniyle siber saldırıların her zaman öncelikli hedeflerinden biri olmuştur. 2015 yılında Anthem Inc., 78,8 milyon kişinin bilgilerini çalan bir saldırıya maruz kalmış ve bu olay, sağlık sektöründeki en büyük veri ihlallerinden biri olarak kaydedilmiştir. 2023 yılında HCA Healthcare, 11 milyon hastanın kişisel bilgilerinin çalınmasıyla sonuçlanan bir saldırıya uğramıştır.
Türkiye’de, COVID-19 pandemisi sırasında bazı hastaneler, fidye yazılımı saldırıları nedeniyle hizmetlerini geçici olarak durdurmak zorunda kalmıştır. Bu tür saldırılar, hastaların randevularının iptal edilmesine ve sağlık hizmetlerinin aksamasına yol açmıştır. Ulaştırma ve Altyapı Bakanımız Abdulkadir Uraloğlu, geçtiğimiz haftalarda COVID-19 salgını döneminde sağlık sisteminden bir sızıntı olduğunu kabul etti.
Gazetecilerin “85 milyon vatandaşın kimlik bilgilerinin hackerler (bilgisayar korsanı) tarafından ele geçirildi mi?” sorusunu yanıtlayan Uraloğlu, “Maalesef bazı bilgilerin elde edilmiş olduğu doğru,” dedi. Verileri korumaktan sorumlu olan Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve Ulusal Siber Olaylara Müdahale Merkezi (USOM) Google ile iletişime geçerek yardım istemişti.
Sağlık sektöründeki siber saldırılara karşı alınabilecek en gelişmiş önlemler, teknolojik yenilikler ve kapsamlı güvenlik stratejileri ile desteklenmelidir. Öncelikle, çok faktörlü kimlik doğrulama (MFA) sistemleri, kullanıcı erişimini daha güvenli hale getirerek yetkisiz girişleri engelleyebilir. Veri şifreleme teknikleri hem veri aktarımı sırasında hem de veri depolama esnasında bilgilerin gizliliğini korur. Yapay zekâ ve makine öğrenimi tabanlı tehdit algılama sistemleri, anormal davranışları tespit ederek olası saldırıları önceden belirleyebilir.
Ayrıca, sıfır güven mimarisi benimsenerek, her kullanıcı ve cihazın sürekli olarak doğrulanması sağlanabilir. Düzenli güvenlik denetimleri ve sızma testleri, sistemlerin zayıf noktalarını belirleyerek gerekli iyileştirmelerin yapılmasına olanak tanır. Personel eğitimleri ise, çalışanların siber güvenlik farkındalığını artırarak insan hatasından kaynaklanabilecek riskleri minimize eder. Son olarak, acil durum müdahale planları oluşturularak, olası bir saldırı durumunda hızlı ve etkili bir yanıt verilmesi sağlanabilir. Bu önlemler, sağlık sektöründe siber güvenliğin güçlendirilmesine ve hasta verilerinin korunmasına önemli katkılar sunar.
Ancak her sektörde olduğu gibi sağlık sektöründe de bu konularda uzman bir siber güvenlik personelinin eksikliği gözler önündeki belirgin gerçeklerden biridir. Özellikle ülkemizde liyakat sorunlarının yaşandığı gerçeği ile yetişmiş genç neslin eder değerinin bilinmemesi, onların başka ülkelerde yaşama isteğini güçlendirmektedir.
Finans sektörü, siber saldırıların en sık hedef aldığı alanlardan biridir. 2016 yılında Bangladeş Merkez Bankası, SWIFT ödeme sistemindeki güvenlik açıklarından yararlanılarak 81 milyon dolar kaybetmiştir. 2021 yılında merkezi olmayan finans protokolü BadgerDAO, 120,3 milyon dolar değerinde kripto para kaybetmiştir.
Türkiye’de BtcTurk, 2024 yılında bir siber saldırıya uğramış ve 55 milyon dolar değerinde kripto para çalındığı iddia edilmiştir. Bu tür saldırılar, finansal sistemin güvenliğini sağlamak için daha sıkı regülasyonlar ve güvenlik önlemleri alınmasını gerektirmektedir.
Finans sektöründe, güvenli ödeme sistemleri, veri bütünlüğünü sağlamak için blockchain teknolojisi ve yapay zekâ tabanlı tehdit algılama sistemleri kullanılmaktadır. Eğitim kurumları da siber saldırıların hedefi olmuştur. ABD’de 2016-2022 yılları arasında 1,600’den fazla siber saldırı eğitim kurumlarını etkilemiştir. Bu saldırılar, okulların kapanmasına ve öğrencilerin eğitim süreçlerinin kesintiye uğramasına neden olmuştur. Eğitim kurumları, bu tür saldırılar nedeniyle 50 bin ila 1 milyon dolar arasında maliyetlerle karşı karşıya kalabilir. Eğitim sektöründe; ağ güvenliği, güvenli erişim kontrolü ve siber güvenlik farkındalığı eğitimleri önemlidir.
Otomotiv sektöründe, her geçen gün elektrikli araçların kullanımı artmakta ve uzaktan yönetilebilirliğin önü açılmaktadır. Sisteme bağlı araçların artmasıyla birlikte siber saldırılara karşı daha savunmasız hale gelinmiştir. Sadece bir komut ile tüm trafiğin yönetilebilirliği korkutucu değil mi? Ama gerçek şu ki bu tür atakları duyacağımız dönemler geleceği gerçeğini kabul ederek, kişisel önlemlerimizi almak zorundayız. Çok büyük bütçeli saldırılar olabilir gibi duruyor; örneğin 2023 yılında Tayvan merkezli bir yarı iletken üreticisi, fidye yazılımı saldırısı sonucu 70 milyon dolar fidye talebiyle karşı karşıya kalmıştır.
Ulaştırma sektörü; özellikle havayolu şirketleri, siber saldırılara karşı oldukça savunmasızdır ve bu durum, son yıllarda birçok büyük havayolu şirketinin yaşadığı siber saldırılarla gözler önüne serilmiştir. Örneğin, 2018 yılında Cathay Pacific Airways, 9,4 milyon yolcunun bilgilerinin çalındığı ciddi bir veri ihlali yaşamıştır. Bu saldırıda, zayıf şifreleme ve eski yazılım sistemleri gibi güvenlik açıkları kullanılmıştır.
Benzer şekilde, 2020 yılında EasyJet, 9 milyon müşterinin bilgilerini kaybetmiştir. Bu tür saldırılar, havayolu şirketlerinin güvenlik protokollerini güçlendirmesi gerektiğini göstermektedir. Türk Hava Yolları da küresel çapta yaşanan teknik aksaklıklardan etkilenmiştir. 2024 yılında, Microsoft’un altyapısındaki sorunlar nedeniyle, THY’nin bilgi sistemlerinde arızalar meydana gelmiş ve biletleme ile rezervasyon sistemlerinde aksamalara yol açmıştır. Bu tür olaylar, havayolu şirketlerinin siber güvenlik stratejilerini sürekli güncelleyerek ve uluslararası standartlara uyum sağlayarak bu tür tehditlere karşı hazırlıklı olmasını gerektirmektedir.
Bu tür saldırıların önlenmesi için, havayolu şirketleri çok faktörlü kimlik doğrulama, güçlü şifreleme teknikleri ve düzenli güvenlik denetimleri gibi önlemleri uygulamalıdır. Ayrıca, siber güvenlik farkındalığı eğitimleri ve çalışanların sürekli bilgilendirilmesi, insan hatasından kaynaklanabilecek riskleri azaltabilir. Ulaştırma sektöründe siber güvenliğin güçlendirilmesi, sadece ekonomik kayıpları önlemekle kalmaz, aynı zamanda yolcu güvenliğini de sağlamaya yardımcı olur.
Havayolu şirketleri, siber tehditlere karşı daha dayanıklı hale gelmek için sürekli olarak güvenlik önlemlerini güncellemeli ve yeni teknolojilere yatırım yapmalıdır. Sosyal medya ve elektronik posta yoluyla gelen siber güvenlik tehditleri, günümüzde işletmeler ve bireyler için ciddi riskler oluşturmaktadır.
Phishing (oltalama) saldırıları, bu tehditlerin en yaygın türlerinden biridir ve kullanıcıları kandırarak hassas bilgilerini paylaşmaya yönlendirmektedir. Örneğin, 2020 yılında dünya genelinde birçok kuruluş, sosyal mühendislik teknikleri kullanılarak gerçekleştirilen phishing saldırıları sonucunda milyonlarca dolarlık kayıplar yaşamıştır.
Bu tür saldırılar, sadece finansal kayıplara yol açmakla kalmaz, aynı zamanda müşteri güvenini sarsar ve itibar zedelenmesine neden olabilir. Bu tehditleri önlemek için çeşitli stratejiler geliştirilmiştir. Öncelikle, güçlü ve benzersiz parolalar kullanmak, iki faktörlü kimlik doğrulama (MFA) uygulamak ve düzenli olarak güvenlik yamalarını yüklemek, temel önlemler arasında yer alır. Ayrıca, kullanıcıların siber güvenlik farkındalığını artırmak için düzenli eğitimler düzenlemek önemlidir.
Bu eğitimler, çalışanların şüpheli e-postaları ve bağlantıları tanımasına yardımcı olabilir. Anti phishing yazılımları ve tarayıcı eklentileri, kullanıcıları bilinen kötü amaçlı siteler konusunda uyararak ek bir güvenlik katmanı sağlar. Son olarak, sosyal medya hesaplarının güvenliğini sağlamak için gizlilik ayarlarını düzenlemek ve paylaşılan bilgileri sınırlamak da önemlidir. Bu tür önlemler, sosyal medya ve e-posta yoluyla gelen siber tehditleri minimize ederek, dijital dünyada daha güvenli bir deneyim sunar.
Burada da görüldüğü üzere bireyin özgürlüğünün sorumluluğunu bireyin yine kendisinin alabilmesinin yolu, teknolojik okur yazar olabilmek ve her zaman güncel versiyonlarıyla yaşamlarını sürdürebilmek olduğu gerçeğidir.
SOSYAL MÜHENDİSLİK SALDIRILARI ARTIYOR
Siber güvenlik alanında çokça konuşulan Sosyal Mühendislik ile yapılan saldırılar ve bu kavramların tanımlarını da yapmadan geçmeyelim. Sosyal mühendislik, insan davranışlarını, duygularını ve doğal eğilimlerini manipüle ederek bilgi toplama, dolandırıcılık veya yetkisiz erişim sağlama amacı güden bir saldırı yöntemidir. Bu tür saldırılar, genellikle psikoloji, sosyoloji ve davranış bilimlerinden yararlanarak bireylerin güvenini kazanmayı ve onları manipüle etmeyi hedefler. Sosyal mühendislik saldırıları, insanların güven duygularını ve güvenlik önlemlerini aşarak, hassas bilgileri açıklamalarını veya saldırganların hedeflerine ulaşmalarını sağlamak için tasarlanır.
Dünyada gerçekleşmiş en büyük sosyal mühendislik saldırıları şunlardır: 2011 yılında RSA SecurID Oltalama Saldırısı yapıldı. Hackerlar, RSA çalışanlarına “2011 İşe Alım Planı” başlıklı sahte e-postalar göndererek şirketin ağına sızdı. SecurID iki faktörlü kimlik doğrulama sisteminin kaynak kodları çalındı.
Saldırının maliyetinin 66 milyon dolar olduğu tahmin ediliyor 2013 yılında Target mağazalarına yapılan saldıraya bakalım. Bu saldırıda, saldırganlar bir HVAC (ısıtma, havalandırma ve klima) tedarikçisinin kimlik bilgilerini ele geçirerek, Target’ın ödeme sistemine sızmış ve milyonlarca müşterinin kredi kartı bilgilerini çalmıştır. 2013-2015 yılları arasında Google ve Facebook’a 100 milyon dolarlık dolandırıcılık yapıldı.
Litvanyalı Evaldas Rimasauskas ve ekibi, sahte bir bilgisayar üreticisi şirketi kurarak Google ve Facebook’u hedef aldı. Şirketlerin gerçekten çalıştığı üreticilerin faturalarını taklit ederek, ödemelerin kendi sahte hesaplarına yapılmasını sağladılar. 2016 yılında Demokrat Parti e-posta Sızıntısı saldırısı gerçekleşti. Rus hacker grupları, Demokrat Parti yetkililerine yönelik oltalama e-postaları göndererek sistemlere sızdı. Binlerce e-posta ve belge çalındı ve sızdırıldı. Saldırının 2016 ABD başkanlık seçimlerini etkilediği düşünülüyor.
2020 yılında Twitter Bitcoin dolandırıcılığını duyduk. Hackerlar, aralarında Barack Obama, Elon Musk ve Bill Gates’in de bulunduğu yüksek profilli Twitter hesaplarını ele geçirdi. Bu hesaplardan Bitcoin bağışı talep eden sahte mesajlar paylaşıldı. Yaklaşık 120.000 dolar değerinde Bitcoin çalındı. 2022 yılında ise Uber Veri İhlali hırsızlığı ortalığı kasıp kavurdu. Üstelik 18 yaşındaki bir hacker, bir Uber çalışanını kandırarak şirketin iç sistemlerine erişim sağladı.
Slack mesajlaşma sistemine ve kod depolarına erişildi. Maddi kaybın çok büyük olduğu tahmin ediliyor, açıklanmadı fakat şirketin itibarı büyük zarar gördü. Bu saldırılar sonrasında şirketler genellikle birçok önlemi ivedilikle almak zorunda kaldılar.
Çalışanlara yönelik düzenli güvenlik farkındalık eğitimleri, çok faktörlü kimlik doğrulama sistemlerinin yaygınlaştırılması, e-posta filtreleme ve güvenlik duvarı sistemlerinin güçlendirilmesi, hassas verilere erişimin sınırlandırılması ve izlenmesi, iç güvenlik protokollerinin ve politikalarının sıkılaştırılması, tedarikçi ve üçüncü taraf güvenlik denetimlerinin artırılması, olay müdahale planlarının güncellenmesi ve test edilmesi gibi önlemler ile kendilerini korumaya çalışıyorlar.
Sosyal mühendislik saldırılarını tanıyabilmek için bireylerin de özellikle bazı önemli ipuçlarına dikkat etmesi gerekmektedir. İlk olarak, bir e-posta veya mesaj aldığınızda, gönderenin kimliğini dikkatlice kontrol edin ve mesajın içeriğini sorgulayın.
Özellikle, aciliyet vurgusu yapan veya kişisel bilgilerinizi isteyen mesajlara karşı dikkatli olun. Bu tür mesajlar genellikle kimlik avı saldırılarının bir parçasıdır ve sizi hızlı bir şekilde tepki vermeye zorlayarak hata yapmanızı hedefler. Ayrıca, sosyal mühendislik saldırıları genellikle güvenilir bir kaynaktan geliyormuş gibi görünmeye çalışır. Bu nedenle, bir talep aldığınızda, bilgileri doğrulamak için resmi kanallardan iletişime geçin.
Şüpheli durumlarda, kimlik bilgilerini sorgulamak ve doğrulamak önemlidir. Örneğin, birisi sizden telefonla veya e-posta ile bilgi istediğinde, bu bilgiyi hangi kuruma rapor edeceklerini sorun ve doğrulama yapın. Bu tür önlemler, sosyal mühendislik saldırılarını tanımanıza ve bunlardan korunmanıza yardımcı olabilir.
SİBER GÜVENLİK REGÜLASYONLARI ve YAPABİLECEKLERİMİZ
Gelişmiş ülkelerin ve ülkemizin ‘Siber Güvenlik Regülasyonları’ konusundan da bahsedelim. Siber güvenlik konusunda en gelişmiş ülkeler arasında ABD, Belçika ve İngiltere yer almaktadır. ABD, 2023 yılında siber güvenlik için 72 milyar dolar ayırarak bu alanda en fazla harcama yapan ülke olmuştur. Belçika, siber güvenlik hazırlıklarında en yüksek puana sahip ülke olarak öne çıkmaktadır.
Türkiye ise Uluslararası Telekomünikasyon Birliği’nin Küresel Siber Güvenlik Endeksi’ne göre dünya sıralamasında 11. sırada yer almakta ve bu alanda önemli gelişmeler kaydetmektedir. Türkiye, siber güvenlik için çeşitli yasal düzenlemelere sahip olup, 5651 sayılı İnternet Kanunu ve Kişisel Verilerin Korunması Kanunu, (KVKK) gibi yasalarla bu alanda önemli adımlar atmaktadır.
Yine yeniden ‘Eğitim Şart’ diyeceğim. Geleceğin meslekleri arasında; Siber Güvenlik Uzmanları, Yapay Zekâ ve Makine Öğrenimi Uzmanları, Veri Bilimciler ve Analistler gibi alanlar öne çıkmakta. Siber güvenlik alanında, 2025 yılına kadar dünya genelinde 3,5 milyon iş açığı olacağı öngörülmektedir. Bu durum, siber güvenlik kariyerine yönelmek isteyen gençler için büyük fırsatlar sunacaktır.
Siber güvenlik alanında kariyer yapmak isteyen gençler, ilgili üniversite programlarına katılmalı ve CISSP, CEH, CISM gibi uluslararası geçerliliği olan sertifikasyonları hedeflemelidir. Teorik bilginin yanı sıra, stajlar ve projeler aracılığıyla pratik deneyim kazanmak da çok önemlidir. Siber güvenlik laboratuvarlarında veya simülasyon ortamlarında çalışarak becerilerini geliştirebilirler.
Siber tehditler ve teknolojiler sürekli değiştiği için, sürekli öğrenme ve kendini güncelleme alışkanlığı edinmek de önemlidir. Online kurslar, seminerler ve konferanslar bu konuda faydalı olabilir. Ayrıca, siber güvenlik topluluğuna katılarak uzmanlarla bağlantı kurmak ve bilgi alışverişinde bulunmak kariyer gelişimini destekleyecektir. Siber güvenlik, analitik düşünme ve problem çözme yeteneklerini gerektirir. Bu yeteneklerinizi geliştirmek için bulmaca ve strateji oyunları oynayabilir veya kodlama projeleri üzerinde çalışabilirsiniz.
Bu öneriler doğrultusunda, siber güvenlik alanında kariyer yapmayı düşünen gençler, gelecekteki iş fırsatlarından en iyi şekilde yararlanabilir ve dijital dünyanın güvenliğini sağlamada önemli bir rol oynayabilirler. Ayrıca şunu da belirtmekte fayda var, ülkelerin bu türden yetişmiş gençlerine sahip çıkması, gerekli destekleri vermesi ve onlara başka ülkelerin verilerini koruma yolunu açmaması gerekir. Nedense ülkemizde siber güvenlik uzmanlarının hep sayıca az olduğu söylenir, ama var olanlara da gerekli destek ve önem verilmez.
Kısaca özetlemeye çalıştığım siber güvenlik, modern dünyada her sektörde büyük bir önem taşımaktadır. Sağlık, eğitim, finans, otomotiv ve ulaştırma gibi sektörlerdeki siber tehditler hem operasyonel hem de mali açıdan ciddi riskler taşımaktadır. Gelecekte, yapay zekâ ve makine öğrenimi gibi teknolojiler, siber güvenlik stratejilerinin merkezinde yer alacak ve bu tehditlere karşı daha etkili bir savunma sağlayacaktır. Ancak, teknolojik çözümler yeterli değildir; aynı zamanda eğitim, farkındalık ve uluslararası iş birliği gerektiren kapsamlı bir yaklaşım benimsenmelidir. Bu sayede, dijital dünyanın sunduğu fırsatlardan güvenli bir şekilde yararlanmak mümkün olabilir.
Bu yazı Bilişim Teknolojileri Mühendisi PINAR KABİL tarafından hazırlanmıştır.