Bir siber ihlalin ‘ne zaman’ değil ‘eğer’ meselesi olduğu yönündeki genel inanç, tüm kuruluşların potansiyel olarak son derece istenmeyen fidye yazılımı bulaşması ihtimaliyle karşı karşıya olduğu ve kritik verilerin ve operasyonel yeteneklerin ancak saldırgana ödeme yapıldıktan sonra serbest bırakılacağı anlamına gelir.
Bir fidye yazılımı saldırısının üstesinden gelmek, kuruluşun ele geçirilen varlıkların değerini tartmasını ve maliyeti sınırlamak ve hızlı kurtarmaya yardımcı olmak için en uygun eylem planını belirlemesini gerektirir.
Fidye yazılımı ödemelerinin yasaklanıp yasaklanmaması gerektiğine bakmadan önce, bir kuruluşun fidyeyi neden ödeyebileceğini anlamak faydalı olacaktır. Çoğunlukla ödeme, olayı çözmenin en hızlı yolu gibi görünebilir; Veriler daha hızlı alınır, böylece normal operasyonlar mümkün olduğunca az kesintiyle devam ettirilebilir. Ek olarak, bilgisayar korsanlarına ödeme yapmanın toplam maliyeti, kurtarma için gereken diğer adımlardan daha az olabilir; Yedeklemelerin geri yüklenmesini bekleyen uzun süreli kesintiler, sonuçta fonları daha da tüketebilirken, yedekleri muhafaza etmeyenler için sıfırdan yeniden oluşturma ihtimali geçerli olmayabilir.
Bu pratik nedenleri akılda tutarak fidye yazılımı ödemelerini yasaklamak neden mantıklı olabilir?
Fidye yazılımı ödemelerinin yasaklanması davası
Bir kuruluş talebi ödemiş olsa bile, saldırganların anlaşmanın kendilerine düşen kısmını yerine getireceğine dair bir garanti yoktur, bu da kurbanların verilerine bir daha erişemeyebilecekleri anlamına gelir (örneğin, bu yıl Mart ayında ALPHV/BlackCat siber suç grubu) ABD’deki bir sağlık sektöründen 22 milyon dolar topladıktan sonra ortadan kayboldu). Diğer bir olasılık ise verilerin şirkete geri verilmesi, ancak saldırganların en yüksek teklifi verene satabilecekleri bir kopyayı saklaması ve böylece Kişisel Tanımlayıcı Bilgiler (PII) ve fikri mülkiyeti riske atmasıdır.
Ayrıca kanıtlar, fidye ödemenin kuruluşları tekrar hedef olmaktan korumadığını, hatta bunu daha muhtemel hale getirdiğini gösteriyor. Yakın zamanda yapılan küresel bir araştırma, fidye ödeyen kuruluşların %78’inin başka bir saldırıya maruz kaldığını ve bunların %63’ünün ikinci seferde daha fazla ödeme yapmak istediğini bildirdi.
Fidyeyi ödemek ve her zamanki gibi işe dönmek için gereken sıkı zaman çizelgesi, mağdurların kolluk kuvvetlerine karışma olasılığını azaltarak, suçlulara karşı polis soruşturmalarının ve suçlamaların başlatılmasını nadir hale getirebilir. İtibarın zedelenmesi tehdidi, şirketlerin bir olayı açıklamasını da engelleyebilir; bu da siber sektörün öğrenme ve gelecekteki saldırılara karşı koyma becerisini engelleme gibi daha geniş bir etkiye sahiptir. Bu, fidye yazılımı davranışlarının mevcut döngüsünü sürdürüyor; Daha geniş çaplı siber suçlarla mücadele çabalarını destekleme fırsatını kaçıran kuruluşlar, onları (ve diğerlerini) gelecekte daha fazla riskle karşı karşıya bırakıyor.
Fidye ödemek şüphesiz yangını körüklüyor; Saldırganların taleplerine ne kadar çok şirket boyun eğerse, fidye yazılımı pazarı da o kadar büyür ve bu da kötü niyetli aktörlerin bu yola başvurma teşvikini artırır. Ödemelerin tamamen yasaklanması, siber suçluların fidye yazılımı saldırıları düzenlemesine yönelik mali teşviki ortadan kaldırabilirken, birden fazla ülkenin yasağı teşvik etmesi, küresel bir sorunla mücadelede uluslararası işbirliğini teşvik edebilir.
Ayrıca fidye parasının, fidye yazılımının ötesinde çeşitli yasa dışı faaliyetlere karışan suç örgütlerini finanse etmek için ödendikten sonra kullanılabileceğini de belirtmek gerekir; Ödemelerin yasaklanması, bu fon akışlarını kesintiye uğratabilir ve faaliyetlerini engelleyebilir, dolayısıyla işletmeleri yasa dışı faaliyetlerle ve bilinen suçlularla ilişkilerden koruyabilir.
Bir yasak neden etkili olmayabilir?
Yukarıda belirtildiği gibi, fidyenin ödenmemesi bir işletmenin maliyetlerini artırabilir, kesinti süresini uzatabilir ve operasyonel sürdürülebilirliğe dönüşü geciktirebilir. Bu temel faktörlerin her ikisi de (işletme açısından bakıldığında) yasağın uygulanmasına karşı güçlü bir gerekçe oluşturmaktadır.
Manşetlerde genellikle finansal unsur yer alsa da, temel amacı kuruluşta veya daha geniş bir çevrede maksimum düzeyde bozulmaya neden olmak (örneğin, kritik altyapıya zarar vermek veya ‘hacktivizm’e girişmek) olan saldırganlar da vardır. Para ikincil bir faydadır; yani ödemelerin yasaklanması, saldırıların durdurulması açısından sınırlı bir avantaj sağlayabilir.
Bir yasağın insanların ödeme yapmasını gerçekten engelleyip engellemeyeceği de başka bir husustur. Risklerden biri, fonların gizlice aktarılması ve kurbanların saldırıları bildirmekten korkmasıyla tüm sürecin yer altına sürülmesi ve bilgisayar korsanlarının hastaneler, okullar ve KOBİ’ler gibi kesinti süresini en az karşılayabilen kurumları hedef almasıdır.
Tüm bu noktaların ötesinde gerçek şu ki, özellikle anonim ödemeleri kolaylaştırabilen kripto para birimlerinin kullanımı göz önüne alındığında, fidye yazılımı ödemelerini yasaklamak zor olacaktır.
Buna ek olarak, yasağın yürürlüğe girmesinden önceki herhangi bir geçiş dönemi, fidye yazılımı kurbanları için işletmelerin aniden durumlarını hızlı bir şekilde düzeltemeyecek duruma gelmelerini önlemek amacıyla sıkı bir ulusal destek çerçevesi gerektirecektir. İşletmeler için yeterince hızlı işleyen, geçerli ve net bir ‘resmi’ müdahale yolu ortaya konulana kadar pek çok kişi meseleyi kendi eline almaya devam edebilir.
Alternatifler nelerdir?
Fidye yazılımı ödemeleri yasaklansa da yasaklanmasa da kuruluşların kendilerini nasıl koruyacaklarını ve riskleri nasıl yöneteceklerini bilmeleri gerekiyor. İlk etapta ihlallerin önlenmesine yönelik stratejiler geliştirmek, her kuruluşun operasyonlarının temel dayanağı olmalıdır ve en kötüsünün gerçekleşmesi durumunda bunların, hafifletme ve müdahale planlarıyla güçlendirilmesi gerekir.
Burada eğitim ve çalışanların eğitimi de kritik öneme sahiptir. Kimlik avının tüm biçimleri tanınmalıdır, ancak aynı zamanda organizasyon kültürü gibi insani risk unsurlarının ve özel eğitim ve prosedür kontrolleri yoluyla bunlarla nasıl mücadele edileceğinin daha geniş bir şekilde takdir edilmesi de gerekmektedir.
İnsan unsuru teknolojiyle güçlendiriliyor. Örneğin, uzaktan ve hibrit çalışmaya yönelik süregelen trend, çalışanları kritik bilgileri yerel olarak depolayabilecekleri dizüstü bilgisayarlara ve mobil cihazlara oldukça bağımlı hale getiriyor. Uygun eğitimin ilgili teknik kontrollerle birleştirilmesi, bu durumda çok faktörlü kimlik doğrulama (MFA) veya mobil cihaz yönetimi (MDM) sistemi gibi şeyler aracılığıyla büyük olayları önleyebilir.
Verileri yedekleme taahhüdü aynı zamanda bir saldırı karşısında dayanıklılığın da anahtarıdır. 2023 tarihli bir rapor, yedekleme kullanan şirketlerin, bu gerekli adımı atmayan şirketlere kıyasla kurtarma ücretlerindeki tasarrufunu 1 milyon dolar olarak ortaya koyuyor ve bu, iş sürekliliği ve felaket kurtarma planlaması sırasında bunu önemli bir husus haline getiriyor.
Diğer teknolojik savunmalar arasında, fidye yazılımı saldırılarını gerçekleşmeden önce tespit etme ve durdurma konusunda büyük bir potansiyele sahip olan yapay zeka yer alıyor. Makineler verileri hızlı bir şekilde analiz edebilir ve insanların gözden kaçırabileceği kalıpları bulabilir. Örneğin, e-posta istemcileri, şüpheli görünenleri belirlemek için e-posta adresleri ve gömülü bağlantılar üzerinde ilk taramaları gerçekleştirme yeteneğini içerebilir.
Teknolojiden uzaklaşmak, devlet kurumları, kolluk kuvvetleri, siber güvenlik uzmanları ve etkilenen işletmeler arasındaki işbirliği, fidye yazılımıyla mücadele için daha birleşik bir çerçeve de üretebilir. Mevcut korku ve kendini koruma kültürü çoğu zaman işletmelerin ihlallerini ve ‘zayıflıklarını’ açıkça tartışmasını engelliyor ancak bu iletişim, sektör genelinde daha fazla dayanıklılık ve anlayışın kilidini açmanın anahtarını taşıyor. Bu yaklaşım, 2023 sonbaharında maruz kaldığı hack’in kapsamlı ayrıntılarını sunan British Library tarafından benimsendi; Tam şeffaflık, diğer kuruluşlara aynı kaderden kaçınmalarına yardımcı olacak içgörü sağlamayı amaçlamaktadır.
Birden fazla araç gereklidir
Fidye yazılımı ödemelerinin yasaklanıp yasaklanmayacağı konusunda tartışmanın her iki tarafında da geçerli argümanlar var. Siber suç sektörünün büyümesinin önlenmesi, kurumsal siber savunmaların güçlendirilmesi ve saldırganlara yönelik mali teşviklerin kesilmesi yoluyla saldırı ve ödeme döngüsünün durdurulmasını gerektirir. Bu, hiçbir iş için ilerlemenin kolay yolu değildir; Bu alandaki gerçek başarı, kısa vadeli acıları yenmek için uzun vadeli bir vizyona ihtiyaç duyacaktır; bu vizyon, yasal girdi, eğitim, teknoloji ve endüstri işbirliğini birleştiren birleşik bir yaklaşım gerektirecektir.