Son on yılda fidye yazılımı her şekil ve boyuttaki kurbanlar için yaşayan bir kabusa dönüştü. Saldırılar operasyonları durma noktasına getirebilir, müşterilerin itibarına zarar verebilir ve hatta işletmeleri yönetime zorlayabilir.
Bu göz önüne alındığında, bir fidye yazılımı saldırısı gerçekleştiğinde üst yönetimin dikkati genellikle mali zararın önlenmesine odaklanır. Amaç, itibar riskini azaltmaya çalışırken ve müşteri ve müşteri ilişkilerini yönetirken, işi çalışır durumda tutmak veya mümkün olan en kısa sürede normal işlere dönmektir.
Sonuca odaklanmak, fidye yazılımının insan üzerindeki etkisini unutmayı kolaylaştırır. Son 18 aydır, Kent Üniversitesi ile ortak bir araştırma projesi kapsamında fidye yazılımından etkilenen kuruluşların personeliyle görüşmeler yaparak bu durumu düzeltmeye çalışıyoruz. Sonuçlar ayıltıcıdır.
En basit ifadeyle fidye yazılımı saldırıları personelin zihinsel ve fiziksel sağlığına zarar veriyor.
Bir fidye yazılımı olayı üzerinde çalışmak önemli ölçüde stres ve endişe yaratır. Ciddi olaylarda, müdahaleye katılanlar genellikle haftalarca, hatta aylarca uzun saatler boyunca çalışırlar. Uyku yoksunluğu yaygındır; personel bazen ofiste uyumaya veya işini yapabilmek için bol miktarda kafein tüketmeye zorlanmaktadır. Bu göz önüne alındığında, zihinsel stresin tükenmişliğe ve fiziksel hastalıklara dönüşmesi belki de şaşırtıcı değildir. Görüştüğümüz birçok mağdur hastalık izni almaya zorlandı, terapiye başvurdu ve hatta bir vakada kendi canına kıymayı bile düşündü.
Çoğu zaman bu yük özellikle BT ve siber güvenlik personeli tarafından hissediliyor; “tükenmişlik hakkında daha fazla konuşma” çağrılarına rağmen nadiren ele alınan bir olgu.
Bunun nedeni kısmen fidye yazılımını öncelikli olarak teknik bir sorun olarak ele alma eğiliminden kaynaklanıyor; bir BT yöneticisi bunu bize üst yönetimin “sihirli BT’nin gelip her şeyi çözeceği” inancı olarak tanımladı. Bu gibi durumlarda, BT personeli ve siber güvenlik personeli, genellikle suçluluk duygusundan veya olayı önlemek için daha fazlasını yapabilecekleri duygusundan kaynaklanan, kendilerini ek baskı altına sokar.
Zehirli çalışma ortamlarında, üst düzey yönetim veya yönetim kurulu üyeleri suçu başkasına atmak veya kurbanlık bir kuzu bulmak için personeli günah keçisi olarak arayabilir. Bu, etkilenen BT ve siber güvenlik profesyonelleri arasında, kuruluş iyileştikten sonra da uzun süre devam edebilecek bir utanç duygusu yaratabilir. Üst düzey yönetimin aşırı tepkileri, gelecekte yaşanabilecek olaylara ilişkin bir korku kültürü de yaratabilir ve personelin her şüpheli e-posta aldığında ‘PTSD’ duygusu yaşamasına yol açabilir.
Siber güvenlik topluluğu ve medyadaki daha geniş kültür, bazen mağdurların siber güvenlik uygulamalarını alenen utandırması veya hükümetlerin ödeme yapmayı seçen mağdurları azarlaması buna yardımcı olmuyor. Travelex Ocak 2020’de bir fidye yazılımı saldırısına maruz kaldığında sistem mimarı olarak görev yapan Don Gibson, bu konuda güçlü bir konuşma yaptı. Fidye Yazılımı Dosyaları Olay sırasında siber güvenlik sağlayıcıları ve uygulayıcıları tarafından sosyal medyada herkesin önünde anılmasının ve utandırılmasının onu nasıl etkilediğini anlatan bir podcast yayınladı. İhmalkar davranmış olabilecek kuruluşları incelemek doğru olsa da, fidye yazılımı konusunda şeffaflığı teşvik etmek de empati gerektirir.
Tüm bunlar göz önüne alındığında, bir fidye yazılımı olayına yönelik herhangi bir hazırlık veya müdahalenin, personelin fiziksel ve zihinsel sağlığını koruma ihtiyacını dikkate alması kritik öneme sahiptir.
Fidye yazılımı müdahalesinin genellikle bir kısa mesafe koşusu değil, bir maraton olduğunu kabul etmek, özellikle tükenmişliği önlemek açısından burada çok önemlidir. Üst düzey yönetim, BT ve siber güvenlik personelinin uyumak, yeniden şarj olmak ve aileyle vakit geçirmek için yeterli zamana sahip olmasını sağlamayı planlamalıdır. Özel danışmanlık oturumları veya terapi sunmak, personelin deneyimleriyle başa çıkmasına da yardımcı olabilir. Kuruluşlar ayrıca kriz yönetiminin ‘daha yumuşak’ yönlerinde uzman olan harici olay müdahale firmalarını kullanmaya da öncelik vermelidir.
Elbette herkesin yardıma ihtiyaç duyduğu kriz anları da var. Bu gibi durumlarda, görünüşte küçük jestler moral ve refaha katkıda bulunur. Görüştüğümüz mağdurlardan biri, bir yönetim kurulu üyesinin, müdahale sırasında BT personelinin dondurma yemesi için bir dondurucu sağladığını hatırladı. Diğerleri ise işverenlerin uyku pahasına uzun yolculuklardan kaçınmak için personele ofis yakınında konaklama olanağı sağladığını vurguladı.
En temel düzeyde personel, üst yönetim tarafından takdir edilmek ve kendi refahlarının önemli olduğunu bilmek istiyordu.
Sonuçta bu hepimiz için önemli; BT ve siber güvenlik uzmanlarının refahı, toplumsal siber güvenliği ve dayanıklılığı etkiliyor. BT üyelerinin kendilerini stresli, yorgun veya tükenmiş hissettikleri durumlarda hata yapma olasılıkları daha yüksektir. Örneğin yakın zamanda yapılan bir araştırma, BT profesyonellerinin %83’ünün tükenmişliğin veri ihlallerine neden olduğunu söylediğini gösterdi. Dijital altyapımızı korumak ile bakımı ve korunmasıyla görevli kişilerin fiziksel ve zihinsel sağlıklarının korunması el ele yürür.
Pia Hüsch, Royal United Services Institute (RUSI) savunma ve güvenlik düşünce kuruluşunda araştırma analistidir.
Jamie MacColl, RUSI’de siber tehditler ve siber güvenlik alanında araştırma görevlisidir.
Gareth Mott, RUSI’nin siber ekibinde araştırma görevlisidir.