Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Asya, Coğrafi Belirli
Hükümet, Büyük Fidye Yazılımı Saldırısının Ardından Denetim Planlıyor, Peki Bu Yeterli Olacak mı?
Suparna Goswami (gsuparna) •
2 Temmuz 2024
Endonezya Devlet Başkanı Joko Widodo bu hafta hükümet veri merkezlerinin denetlenmesini emretti. Bu, hükümetin e-yönetim girişimi için hayati önem taşıyan Geçici Ulusal Veri Merkezi’ne (PDNS) yapılan bir fidye yazılımı saldırısının ardından geldi. Bu sistem, birlikte çalışabilirliği artırmak ve hizmet sunumunu hızlandırmak için tüm merkezi ve eyalet dijital hizmetlerini entegre eder (bkz: Endonezya Veri Merkezi Saldırısı Dönüşüm Çabalarını Tehdit Ediyor).
Ayrıca bakınız: En İyi Siber Güvenlik Liderleri Tehditleri Nasıl Tahmin Ediyor ve Riski Nasıl Yönetiyor?
Denetim duyurusu memnuniyet verici bir adım olsa da, yerel eyaletler ve önemli kamu hizmetleri de dahil olmak üzere 200’den fazla kurumu etkileyen bir olay için yetersiz. Denetim, geçen Cuma günü kapalı kapılar ardında yapılan bir hükümet toplantısının ardından geldi. Hükümetin ciddiyeti şüphelidir çünkü bir denetim takvimi sağlamayı başaramadı ve yalnızca “Ne kadar erken olursa o kadar iyi” dedi. İhtiyaç duyulan şey kapsamlı bir eylem planıdır.
Hızlı Dijitalleşme Dersleri
Bu olay, hızlı dijitalleşmeyi hedefleyen ülkeler için birkaç ders sunuyor. Dijitalleşme gelecektir, ancak daha fazla verimlilik için siber güvenliği ihmal etmek yarardan çok zarara yol açabilir.
Endonezya’nın siyasi, hukuki ve güvenlik işleri koordinasyon bakanı Hadi Tjahjanto, son duyurusunda yedeklemelerin artık zorunlu olduğunu söyledi. Ancak hükümet departmanları için siber güvenlik bütçeleri artırılmazsa bu çaba yetersiz kalacaktır. Ulusal verileri yedekleme planı olmadan depolamayı düşünün. Endonezya Ulusal Siber ve Kripto Ajansı, felaket kurtarmanın isteğe bağlı olması nedeniyle verilerin %98’inin yedeklenmediğini ve birçok kişinin bütçe kısıtlamaları nedeniyle bunu atladığını açıkladı.
Kamuoyuna açıklanan bilgilere göre, Endonezya İletişim ve Bilişim Bakanlığı, 2018 tarihli Elektronik Tabanlı Hükümet Sistemine ilişkin 95 sayılı Cumhurbaşkanlığı Yönetmeliği uyarınca veri merkezleri işletmektedir. Bu yönetmelik, hükümet kurumlarının PDNS kullanmasını zorunlu kılmaktadır. Şu anda Kominfo, Batam ve Cikarang’da kalıcı tesisler geliştirirken üçüncü taraf altyapısını kullanarak geçici bir PDNS işletmektedir.
Kapsamlı Bir Denetimin Önemi
Denetimler, boşlukları belirlemek ve gereken düzeltmeler hakkında iyi belgelenmiş bir rapor sağlamak için kritik öneme sahiptir. Ancak denetçiler genellikle uygulama eserlerini veya kanıtlarını toplamak için teknik kapasiteye sahip değildir. Bir onay kutusu denetimi zaman ve kaynak israfına neden olur.
“Denetçiler genellikle bir siber savaşçının zihniyetine sahip olmazlar. Mali denetimler üç ayda bir gerçekleşir, ancak dolandırıcılıklar ve boşluklar devam eder. Denetim kapsamları kapsamlı olmadığı için uçtan uca boşlukları bulamazlar,” dedi Angel Redoble, eski saha başkan yardımcısı ve grup CISO’su, PLDT Group ve Smart Communications.
Denetimin etkili olabilmesi için hükümet, geleneksel denetçilerin ötesine bakmalı ve risk, yönetişim, denetim ve operasyonlar konusunda güçlü bir siber güvenlik geçmişine sahip bir kuruluşla çalışmalıdır.
Denetim sonuçlarının tarafsız olmasını ve hiçbir devlet kurumunun müdahale etmemesini sağlamak için süreçlerin mevcut olması gerekir.
İleriye Giden Yol
Çoğu devlet kurumu PDNS kullanıyor ve sonunda hepsi kamu hizmetlerini sunmak için kullanacak. Son saldırı, hizmet kullanılabilirliğinin önemini vurgulayarak yedekleme ve kurtarmayı hayati hale getiriyor. Önceki bir fidye yazılımı saldırısı Bank Syariah Indonesia’yı vurarak mobil bankacılık hizmetlerini sekteye uğrattı.
Hükümet, tanımlama, koruma, tespit, yanıt ve kurtarmayı bilgi güvenliği yaşam döngüsü işlevleri olarak tanımlayan NIST Siber Güvenlik Çerçevesini takip etmelidir. Bunların hepsi genel bir iş sürekliliği veya iş dayanıklılığı programının bir parçasıdır.
Bir diğer önemli adım, her şeyi Geçici Ulusal Veri Merkezi’nde tutmak yerine, verileri sınıflandırmak ve buna göre depolamaktır. Bulut depolama istatistiksel verileri tutabilirken, PII gibi önemli veriler hükümet sunucularında depolanmalıdır. Endonezya Başkan Yardımcısı Ma’ruf Amin basına, “Bir kez merkezileştirildikten sonra, bir kez saldırıya uğradığında herkesin etkilendiği ortaya çıktı. Geçmişte saldırıların bu kadar yıkıcı olduğunu düşünmemiştim,” dedi.
Endonezya’nın kamu güveninin kaybını önlemek için kapsamlı bir siber güvenlik stratejisine ihtiyacı var. Bir denetim iyidir, ancak sürekli izleme ve gerçek zamanlı tehdit tespiti ile tamamlanmalıdır. Mevcut kaynakları ve bunların güvenilirliğini değerlendirmek de gereklidir. Endonezya Cumhuriyeti İslam Ekonomisi ve Finansı Ulusal Komitesi’nin yürütme yönetiminde kıdemli analist olan Fiddo Hafied Rum, “PPT çerçevesine atıfta bulunarak, SPBE aracılığıyla dijital hükümet güvenliğinin uygulanması, süreç açısından zaten güçlü bir temele sahiptir ve düzenlemelerde yer alan kapsamlı politikalar, daha teknik prosedürlerle daha da güçlendirilmesi gerekir” dedi.
“İnsan ve teknoloji boyutlarında, mevcut insan kaynakları ve cihaz düzeyinin, süreç boyutunda güvenlik yönetişimi uygulamasını desteklemek için yeterli ve güvenilir olup olmadığının yeniden değerlendirilmesi gerekiyor” dedi.
Hükümet özel şirketlerle işbirliği yapmalı ve onların en iyi uygulamalarını benimsemelidir. Söylendiği gibi, Roma bir günde inşa edilmedi. Aynı şekilde, uygun güvenlik kontrolleri olmadan büyük çaplı dijitalleştirme bir yılda tamamlanamaz.