Bridgestone Americas’tan Tom Corridon, şirketini geçen yılki felç edici bir fidye yazılımı saldırısının ardından atlatmasına yardımcı olan bir CISO olarak, diğer kuruluşlara en büyük tavsiyesinin, bu tür krizleri gerçekleşmeden önce ele alacak kilit karar vericileri belirlemek olduğunu söylüyor.
Corridon, Accenture’ın geçen hafta üçüncü yıllık sanal OT siber güvenlik zirvesinde yaptığı bir röportajda, yönetici seviyesinde önceden net bir eylem çizgisine sahip olmamanın bir siber saldırının sonuçlarını şiddetlendirebileceğini ve saldırganın daha fazla hasar yaratmasına fırsat tanıyabileceğini söyledi..
“Bir kolu çekmek istediğinizde, ağların bağlantısını kesmeye veya fidye ödemeye karar vermek istediğinizde, bu kararları kim veriyor?” Corridon dedi. “İçeri girmenin gerçekten ama gerçekten önemli olduğunu bilmek, çünkü o zaman düztaban yakalanmazsınız. Odaya bakarken yakalanmazsınız, ‘bu sen misin, yoksa ben miyim?'”
Bridgestone’a yönelik Şubat 2022 fidye yazılımı saldırısı, lastik devinin Kuzey Amerika ve Latin Amerika’daki üretim ve kaplama tesislerindeki ağlarını birkaç günlüğüne kapatmasına neden oldu. Tanınmış fidye yazılımı grubu LockBit 2.0 daha sonra saldırının sorumluluğunu üstlendi ve şirketin grubun fidye yazılımı talebine uymaması durumunda Bridgestone’un sistemlerinden erişilen verileri kamuya sızdırmayı planladığını duyurdu.
Bridgestone daha sonra siber saldırganların iş kayıtlarının yanı sıra Sosyal Güvenlik numaraları, banka bilgileri ve bazı müşterilerinin diğer hassas verilerini içeren dosyalara eriştiklerini açıkladı. Ancak şirket, o zamandan beri LockBit çetesine fidye ödeyip ödemediği de dahil olmak üzere saldırıyla ilgili başka hiçbir ayrıntı yayınlamadı.
Saldırı, geçen yıl ABD ve başka yerlerdeki sanayi ve üretim şirketlerinde işletim teknolojisi (OT) ağlarını etkileyen birkaç saldırıdan biriydi. Dragos’un fidye yazılımı saldırılarına ilişkin 2022’nin ikinci çeyreği analizi, endüstriyel kuruluşlara yönelik saldırıların çoğunun (%68) imalat sektörünü hedef aldığını gösterdi.
Yöneticiler için Masa Üstü Egzersizleri
Corridon’un Accenture sanal etkinliğindeki röportajı, saldırının ayrıntılarından, neden olduğu hasardan ve kurtarma çabasından uzak durdu. Ancak, şirketin saldırıdan çıkarabileceği birkaç derse odaklandı. Corridon’a göre en önemlisi, gelişmekte olan bir kriz sırasında kritik kararları kimin ve nasıl verdiğini bilmek.
Corridon, teknik ekipleri için masa başı tatbikatlar yapan kuruluşların, kilit yöneticileri ve karar vericileri içeren paralel bir senaryo tabanlı tatbikata sahip olması gerektiğini savunuyor. Tıpkı olay yönetimi süreçlerinin biri teknik, diğeri yöneticiler için olmak üzere iki iş parçacığına sahip olması gibi, masa üstü alıştırmalar da öyle olmalıdır.
Bir başka önemli husus da, bir fidye yazılımı saldırısı sırasında kritik kararlar vermekten sorumlu yöneticilerin, çok fazla veri olmadan bu kararları alırken rahat olmaları gerektiğidir.
Corridon, “İçgüdüsel kararlar veya aceleci kararlar gibi hissedecekleri anda kararlar alırken rahat olmaları gerekiyor,” dedi. “Ancak buna hazırlıklı olmalıyız çünkü bir karar üzerinde ne kadar uzun süre oturursanız, onu analiz edip düşünürseniz ve o mükemmel kararın kucağınıza gelmesini beklerseniz, tehdit unsurunun çevrenize girmesi için o kadar fazla zamanı olur.” ve daha fazla zarar ver.”
İyi Bir Krizin Boşa Gitmesine Asla İzin Vermeyin
Saldırı gerçekleştiğinde Bridgestone’da geçici CISO olan Corridon’a göre, büyük güvenlik olaylarının bir umut ışığı, bunun besleyebileceği artan farkındalık ve değişim isteğidir. Saldırıdan bu yana geçen yıl içinde Bridgestone, aksi takdirde yöneticileri ikna etmesi, zorlaması ve etkinleştirmesi yıllar alacak olan güvenlik değişikliklerini uygulamaya koydu, dedi.
Güvenlik ekiplerinin, büyük bir güvenlik ihlali yaşayacak kadar talihsiz olmaları durumunda, değişimi zorlamak için iyi bir krizi asla boşa harcama yaklaşımı kullanmalarını tavsiye etti.
Corridon, “Bir olayda, yöneticileriniz eylemin ön sırasında yer alır,” dedi. “Yani, asla anlamak istemedikleri veya bilmek istemedikleri terimleri daha iyi anlayarak uzaklaşıyorlar.”
Bu artan farkındalık ve anlayış, genellikle güvenlik ekiplerine ileriye dönük daha güçlü bir güvenlik duruşu uygulamak için ihtiyaç duydukları parayı ve kaynakları vermeye daha hazırlıklı oldukları anlamına gelir. “Değişime hazırlar [because] ağızlarında kötü bir deneyim tadı var” diyor.
Corridon, benzer bir değişikliğin, günlük işler ve hedeflerle ilgili endişelerin acil bir kriz geçtikten sonra güvenlik endişelerini hızla arka plana atabileceği alt kademelerde elde edilmesinin daha zor olabileceğini kabul etti. Bu nedenle, siber güvenliği çalışanlar için her zaman ilgili ve akılda kalıcı bir konu olarak tutmak önemlidir. OT ortamlarının fiziksel güvenlik önlemlerini vurgulaması gibi, kuruluşların da siber güvenliği çalışanlar için günlük rutinin bir parçası haline getirmesi gerekir.
Paydaşların siber dayanıklılık hakkında farklı düşünmelerini sağlamanın bir yolu, ihlalleri ve saldırıları güvenlik olayları olarak tanımlamayı bırakmaktır. “Bir olay, takılıp düştüğünüzde veya birisi kazara bir şeyin fişini çektiğinde olur” dedi. Öte yandan bir fidye yazılımı saldırısı, şirkete karşı suç teşkil eden bir eylemdir.
Corridon, “Bu düşünceyi yeniden çerçevelemek uzun bir yol kat edebilir,” dedi. “Olaydan geçerken kullandığınız kelimeler ve bunun aslında örgüte karşı bir suç olduğunu kabul etmeniz ilk adımdır.”