Dolandırıcılık Yönetimi ve Siber Suçlar, Mevzuat ve Davalar, Fidye Yazılımları
İngiliz Hükümetinin Teklifleri Kritik Altyapılara İlişkin Ödeme Yasaklarını da İçeriyor
Mathew J. Schwartz (euroinfosec) •
14 Ocak 2025
İngiliz hükümeti, tüm ödemelerin fidye yazılımı gruplarına zorunlu olarak bildirilmesini gerektiren ve kamu sektörü kuruluşlarının haraç taleplerini ödemesini doğrudan yasaklayan mevzuatı değerlendiriyor.
Ayrıca bakınız: Dijital Dönüşüm Çağında Siber Güvenlik: Gerçeklik Kontrolü
Fidye yazılımı saldırıları, özel işletmeler ve Birleşik Krallık’ta Ulusal Sağlık Hizmetinin de dahil olduğu kamu sektörü için büyük aksamalara neden olmaya devam ediyor. Bu tür saldırılar tipik olarak, kripto-kilitleme kötü amaçlı yazılımları, veri hırsızlığı ve genellikle yanıltıcı bir veri şifre çözücü vaadi ve çalınan verileri silme taahhüdü ile bağlantılı bir fidye talebi nedeniyle etkisiz hale getirilen sistemleri içerir.
Birleşik Krallık’ın emniyet ve güvenliğinden sorumlu olan İçişleri Bakanlığı Salı günü, fidye yazılımıyla ilgili “anlık” üç öneriyi değerlendirecek olan 8 Nisan’a kadar sürecek bir danışma seti başlattı:
- Bazı sektörlere yönelik ödeme yasakları: İçişleri Bakanlığı, kamu sektörünün ve kritik ulusal altyapı kuruluşlarının fidye ödemesini yasaklamanın hedeflerinden birinin, bu sektörleri “fidye yazılımı suçluları için çekici olmaktan çıkarmak” olacağını söyledi.
- Ödeme niyeti bildirimi: Şantaj ödeme yasağı kapsamına girmeyen herhangi bir kuruluş, ödeme niyetini açıklamak zorunda kalacak. Hükümet, uluslararası yaptırımlara tabi olması muhtemel bir gruba veya bireye fon sağlamak gibi yasal kırmızı çizgileri aşan herhangi bir ödemeyi engelleyebilir. Açıklama aynı zamanda yetkililerin “canlı” yardım sağlamasına da olanak tanıyacaktır.
- Zorunlu olay raporlama: Fidye yazılımı saldırılarının kurbanları bu gerçeği belirli bir zaman dilimi içinde hükümete bildirmek zorunda kalacak, ancak belirtilmemiş raporlama eşikleri geçerli olabilir.
Özellikle fidye yazılımı gruplarının yalnızca kitlesel kesintiye yol açmakla kalmayıp aynı zamanda rekor karlar kaydetmeye hazır göründüğü göz önüne alındığında, bu teklifleri sundukları için İngiliz hükümet yetkililerine teşekkür ederiz.
Londra merkezli bir savunma ve güvenlik düşünce kuruluşu olan Royal United Services Institute’un siber araştırma görevlisi Jamie MacColl, “Bu teklifler yasalaşırsa, bu, herhangi bir ulusal hükümetin fidye yazılımına karşı bugüne kadar yaptığı en önemli müdahaleyi temsil edecektir” dedi.
Teklifler: Çoklu İyi Fikirler
Fidye ödeyen herhangi bir kuruluştan bu gerçeği hükümete bildirmesinin talep edilmesi, kolluk kuvvetlerinin uzun süredir devam eden bir talebidir. Siber suç grupları, özellikle saldırılarının gerçek boyutunu ve bu saldırılar nedeniyle oluşan toplumsal etkiyi ve kayıpları gizlemek için gölgelerden çalışmayı seviyor. Pek çok fidye yazılımı grubunun Rusya içinde veya çevresinde faaliyet gösterdiği ve vatandaşları yabancı suçlamalarla karşı karşıya kalmak üzere asla iade etmediği göz önüne alındığında, saldırılar hakkında daha iyi bilgiye sahip olmak, polisin saldırıları engellemesine yardımcı olmak için çok önemli bir araç.
Yakın zamandaki başarı öyküleri arasında, bir zamanlar yükseklere uçan grup LockBit’in parçalanmasının yanı sıra bu gruba ve siber suç grubu Evil Corp’un üyelerine uygulanan yaptırımlar yer alıyor (bkz: LockBit ve Evil Corp, Fidye Yazılımına Karşı Baskıda Hedef Alındı).
Saldırılara ilişkin daha iyi bilgi, kripto para akışlarını takip etmenin yanı sıra bireyleri ve birlikte çalıştıkları grupları belirli cüzdanlara bağlamak için de faydalıdır (bkz.: Europol, LockBit Fidye Yazılımı İştiraklerinin İzini Sürüyor).
Kuruluşların fidye ödeme niyetinde olduklarının sinyalini vermelerini talep etmek de iyi bir hamle ve İçişleri Bakanlığı bunun için bir itici gücün mağdurların çok geç olmadan uzman rehberliği ve tavsiyesi almasını sağlamak olacağını söyledi.
Bu stratejinin, özellikle şantajcıların mağdurlara hızlı ve sessiz bir şekilde ödeme yapmalarını sağlamak için psikolojik baskı kullanmalarına karşı koyma konusunda etkili olduğu kanıtlanmıştır.
ABD’de fidye yazılımı müdahale ekipleri, mağdurların “her ihtimale karşı” bir hareket olarak fidye ödemesinde bir düşüş eğilimi gördü. FBI’a ve büronun mağdurlara daha iyi yardım etmek için yaptığı ortak çabaya itibar ediyorlar. Bryan, “Siber eğitimli bir FBI ajanını bu ülkede neredeyse her kapı eşiğine bir saat içinde yerleştirebiliriz ve aynısını yasal ataşeler ve siber asistan hukuk ataşelerinden oluşan ağımız aracılığıyla bir günde 70’ten fazla ülkede başarabiliriz” dedi. FBI’ın Siber Bölümü müdür yardımcısı Vorndran, 2022’de Meclis komitesi önünde.
Birleşik Krallık’ta Ulusal Suç Ajansı ve Ulusal Siber Güvenlik Merkezi, saldırıları kendilerine bildiren mağdurlara destek veriyor. NCSC, kuruluşların Eylül 2023’ten Ağustos 2024’e kadar 430 siber olaya müdahale etmesine yardımcı olduğunu söyledi; bunlardan 13’ü “ulusal düzeyde önemli kabul edilen ve temel hizmetlere veya daha geniş anlamda ekonomiye ciddi zarar veren” fidye yazılımı olayıydı.
Bu kurumların kolektif uzmanlığının daha fazla mağdurun desteklenmesine yardımcı olmak için kullanılmasını sağlamak çok olumlu bir adım olacaktır.
İşte Yeniden Düşünülmesi Gereken Şey
Uyarıcı bir not: Birleşik Krallık hükümetinin istişarelerinin diğer yönleri gerçekçi olmayan bir iyimserlik gibi görünüyor. Örneğin, kamu sektörünün ve kritik ulusal altyapı kuruluşlarının fidye yazılımı ödemelerini yasaklama önerisi, kısmen “bunları fidye yazılımı suçluları için çekici kılmadığı” gerekçesiyle tartışılıyor.
Pek çok fidye yazılımı grubunun ve bağlı kuruluşlarının genellikle önce saldırdığı ve kimin ağı olabileceğini daha sonra anladığı göz önüne alındığında, bu büyük ölçüde hayal ürünü bir düşüncedir. Bu tür fırsatçı saldırılar fidye getirisi sağlamasa bile, yüksek profilli bir kurban ne yazık ki sürekli olarak kendini öne çıkaran siber suçluların marka oluşturmasında hâlâ faydalıdır.
Ayrıca fidye ödemek için hükümetten onay almanın pratikte nasıl işe yarayacağı da belirsiz. MacColl, bunun hükümet ve kolluk kuvvetlerinin “ödeme yapma taleplerine yanıt vermede alışılmadık derecede dinamik olmalarını” gerektireceğini söyledi.
Şu anda ABD’de olduğu gibi Birleşik Krallık’ta da ödeme yapıp yapmamak ticari bir karardır. Bazı durumlarda ödeme yapmak, verileri kurtarmanın ve iflas etmemenin tek yolu olabilir. MacColl, “Hükümet ödeme yapma taleplerini reddederse, bu aynı zamanda hükümetin operasyonel aksama süresini karşılayamayan mağdurlara mali destek sağlamak için devreye girip girmeyeceği sorusunu da gündeme getiriyor” dedi.
Bir kuruluşun yanıtını daraltma potansiyeline sahip herhangi bir fidye yazılımına karşı teklif, elbette kaçınılması gereken bir şeydir.
Ne olursa olsun, yeni teklifler sunduğu için Birleşik Krallık hükümetine bir kez daha teşekkür ediyorum. Bunlar, Batılı kuruluşları hedef almak ve sekteye uğratmak için kullanılan, aralıksız görünen fidye yazılımı saldırılarıyla daha iyi mücadele etme arayışında sorulması gereken alakalı ve yerinde sorulardır.