Tamam, beni dinle. 1960’lı ve 70’li yıllarda Birleşik Krallık, başta Kuzey İrlanda olmak üzere artan sayıdaki terör olaylarına tepki olarak müzakere etmeme politikasını geliştirmeye başladı; ancak müzakere etmemenin daha ünlü bir örneği de 1980’de İran Büyükelçiliği’nin kuşatılması olabilir. ABD’de, 1970’lerde ve 1980’lerde bu tutum desteklenmeye başlandı; yine Orta Doğu konusunda kaynaklar, bunun olup olmadığı konusunda bölünmüş durumda. Başkan Richard Nixon ya da Jimmy Carter ilk kez resmi olarak ünlü “Teröristlerle pazarlık yapmayız” sözünü kullandı.
Bu ünlü ve sıklıkla alıntılanan soundbite işe yarıyor çünkü etkili, net, kesin ve ilkeli bir duruş sergiliyor gibi görünüyor. Ancak gerçek şu ki, hem İngiltere hem de ABD, kendilerine uygun olduğunda pazarlık yapıyor. Üstelik bu söylem kaçırılan fırsatlara, kaybedilen canlara ve ikiyüzlülüğe de yol açmıştır. Tanımlanmış terörist gruplarla yapılan müzakerelerin olumlu bir sonuca yol açtığının en açık örneklerinden biri, çok partili müzakerelerin ardından İngiltere ve İrlanda hükümetleri ile Kuzey İrlanda’daki sekiz siyasi parti veya grup arasında imzalanan 1998 Hayırlı Cuma Anlaşması’dır. Senatör George Mitchell’in müzakerelere başkanlık ettiği ABD hükümeti de anlaşmaya aracılık etmede önemli bir rol oynadı. Bu anlaşma, Kuzey İrlanda’yı yönetecek bir güç paylaşımı meclisinin kurulmasına yol açtı ve paramiliter grupların silahlarını bırakmasının yolunu açtı.
Müzakere etmenin ve müzakere etmemenin ne zaman tamamen farklı sonuçlara yol açtığına bir örnek olarak, “Beatles” lakaplı kötü şöhretli IŞİD üyeleri tarafından tutulan rehinelerin kaderine bakmamıza gerek yok. İngiliz ve Amerikalı gazetecileri ve yardım çalışanlarını infaz etmekten şüphesiz acımasız ve suçlu olan grup, müzakerelerin ardından ve büyük miktarlarda nakit karşılığında diğer tüm Batılı tutsakları serbest bıraktı.
Fidye ücretini ödemek suçu teşvik eder mi?
Fidye ödememenin, hatta pazarlık yapmamanın en önemli argümanlarından biri bu tür faaliyetlerin suçu teşvik etmesidir; böylece büyümesine katkıda bulunuyor. Kitabında, Pazarlık Yapmak İstiyoruz: Kaçırma, rehineler ve fidyenin gizli dünyası, Joel Simon taviz vermeme politikasını çok daha derinlemesine inceliyor ve bu teşviki kaldırarak insanları korumak yerine buna bağlı kalmanın aslında onları nasıl daha büyük zarar riskine soktuğunu anlatıyor. Kısacası uzun süredir devam eden tavizsizlik politikası İngiliz ve Amerikalıların rehin alınmasını engellemedi, sadece ölümlerine yol açtı.
Son zamanlarda fidye yazılımı ödemelerinin yasadışı hale getirilmesi yönünde çağrılar yenilendi. Bir kez daha iddianın dayanağı, fidyeyi ödeyerek fidye yazılımı ekosisteminin büyümesini teşvik ettiği yönünde. Önceki noktalar göz önüne alındığında, şu anahtar soruyu düşünmekte yarar var: Bir bilgisayar korsanının artık hacklemek için mali bir teşviki yoksa, hacklemeyi bırakacağını düşünüyor musunuz?
Cevabınız hayırsa başka bir mekanizmanın bulunması gerekiyor. Cevabınız evet ise hem Birleşik Krallık hem de ABD kuruluşları için fidye ve fidye yazılımı ödemelerini yasaklayan yasaların halihazırda yürürlükte olduğunu bilmek sizi şaşırtabilir. ABD’de, Hazine Bakanlığı’na bağlı Yabancı Varlıklar Kontrol Ofisi’nin (OFAC), Özel Olarak Belirlenmiş Uyruklular Listesi’ndeki (SDN) bireylere veya kuruluşlara fidye ödemeleri de dahil olmak üzere işlemleri yasaklayan düzenlemeleri vardır. OFAC, Ekim 2020’de özellikle fidye yazılımı ödemelerini ele alan bir danışma belgesi yayınladı. Yaptırım uygulanan bir kişiye veya kuruluşa ödeme yapmanın, ödemeyi yapan kişinin yasak bir işlemde bulunduğunu bilmesi veya bilmesi gerekip gerekmediğine bakılmaksızın, ABD yasalarına göre para cezalarıyla sonuçlanabileceği konusunda uyardı. Birleşik Krallık’ta Siber Yaptırımlar (AB’den Çıkış) Düzenlemeleri 2020, 2020’nin sonlarında yürürlüğe girdi ve siber suça karışan belirlenmiş kişilerle işlemleri yasakladı. Buna fidye yazılımı saldırganlarına yapılan fidye ödemeleri de dahildir. Buna uyulmaması, hapis veya para cezası da dahil olmak üzere cezai yaptırımlarla sonuçlanabilir. Bugüne kadar, bir insan için ya da veri kurtarma/koruma için fidye ödeyen herhangi birinin yargılandığı bir örnekle karşılaşmadım ki bu da bir emsal teşkil ediyor.
Fidye ödemelerini yasadışı hale getirmenin dezavantajları
Fidye yazılımı ödemelerini yasa dışı hale getirmenin ek olumsuz etkileri de vardır. Olayların raporlanmasının azalması ve veri sahiplerinin farkında olmadıkları risklere maruz kalması muhtemeldir. Mağdur kuruluşları suç sayıyor ve potansiyel olarak onları ödemeye, düzenleyici kurumlardan gelebilecek her türlü para cezasına veya yaptırıma, soruşturma, kurtarma ve yasal ücretlere vs. ek olarak daha fazla para cezasına maruz bırakabiliyor. Ancak benim için en önemlisi, olaya müdahale eden kişi olarak, cephaneliğimizden değerli bir aleti kaldırıyor. Tehdit aktörleri kuruluşların fidye ödeyemeyeceklerini biliyorlarsa bu durumda onları müzakere etmeye teşvik eden bir şey kalmaz. Müzakere sadece fiyat üzerinde anlaşmak değildir. Aslında müzakerenin ödemeyle sonuçlanması gerekmez. Tehdit aktörü, giriş, süre, veri erişimi hakkında istihbarat elde etme mekanizması olarak ve kuruluşlara araştırma, yok etme, iyileştirme ve kurtarma için zaman kazandıracak bir oyalama mekanizması olarak kullanılabilir.
Etkili olsun veya olmasın, fidye ödemesinin yasadışı hale getirilmesi yönündeki önerilerin genel amacı, siber saldırıların sayısını ve etkisini azaltmaktır. Ancak aynı hedefe ulaşmaya çalışan bütün bir siber güvenlik endüstrisi var. Öneri, teknik olmayan, güvenlikle ilgili olmayan, oyunun çok ileri safhalarında soruna odaklanan bir araç. Kimse fidye ödeyeceğini düşünmüyor çünkü bunu uğraşmaları gereken bir şey olarak görmüyorlar, dolayısıyla yasadışı olup olmadığını umursamıyorlar. Cezai tedbirler yalnızca bilançonun en alt satırındaki şirketleri vuruyor; üst düzey yöneticilerin siber güvenliğin maliyetini gördüğü yer, bundan etkilenen bireyler üzerindeki etkisini değil.
Bazıları tarafından eğitim ve öğretimin açıkça kullanıcılara ulaşmadığı ve güvenlik çözümlerinin yetersiz kaldığı yönünde yorumlar yapıldı. Ancak bunların her ikisi de aslında şirket kültürünün bir parçasıdır. Eğer bunlar başarısız oluyorsa, bunun nedeni şirket kültüründeki bir başarısızlıktır. Ve kültür tepeden başlar.
Şirket kültürü nasıl geliştirilir
Peki o zaman çözüm nedir? Her şeyi düzeltebilecek tek bir şey yok ama ibreyi olumlu yönde hareket ettirebileceğine inandığım üç nokta var:
Siber güvenliği elektronik tablodaki bir figür olmaktan uzaklaştırarak şirket kültürünü değiştirin: Kişisel para cezaları, ikramiyelerin engellenmesi, belirli bir düzeyde güvenlik önlemi alınmasının engellenmesi yoluyla yönetim kurulları ve üst düzey yöneticileri veri güvenliğinin sağlanmasından sorumlu kılın ve tutun. bir süre görevde kalabilir, hatta hapis cezasına çarptırılabilir. Ayrıca bu, görevde bulundukları kuruluşun bir siber olaydan etkilenmesi durumunda para cezasına çarptırılabilecekleri veya sorumlu ve hesap verebilir tutulabilecekleri bir süre olan geri çağırma süresini de içermelidir. Yöneticinin, kuruluş tarafından tutulan verilerin güvenliğine kişisel olarak yatırım yapmasını sağlamak, kuruluş içindeki kültürü değiştirecektir.
Tehdit aktörleriyle etkileşimde bulunmanın sert eleştirilerinden uzak durun. Sadece beğendiğiniz ve sizinle aynı fikirde olan insanlarla konuşamazsınız. Bunu yapmak, sizi çok kutuplaşmış bir görüşe kapalı hale getirir ve normalde olabileceğinizden daha az bilgili ve eğitimli olmanıza neden olur. Bu, bir kriz sırasında içinde bulunulacak pek iyi bir konum değil. Kitabında, Farkı Asla BölmeyinFBI’ın eski baş uluslararası rehine müzakerecisi Chris Voss (bu, ABD’nin teröristlerle pazarlık yaptığını gerçekten gösteren bir unvan), müzakerelerin görünüşte tüm kartların rakibinin elinde olduğu taraf için yararlı sonuçlara yol açtığı sayısız örnekten bahsediyor; müzakerelerin istihbarat toplanmasına ve organize suçun daha geniş çapta bozulmasına yol açtığı; Sadece duyulmak ya da daha doğrusu dinlenilmek, rehinecilerin kendi başlangıçtaki hedeflerinden vazgeçmelerine yol açtı.
Para izini hedefleyin
Son olarak, eğer gerçekten tehdit aktörlerinin finansal sistemlerini hedeflemek istiyorsanız, tehdit aktörlerinin aldıkları kripto varlıklarını kullanmalarını/harcamalarını zorlaştırın. Blockchain, işlemlerin izlenebildiği ve tehdit gruplarına atfedilen cüzdanların yer aldığı açık bir defterdir. Sıfır bilgi kanıtları (ZKP’ler) kavramı, kripto para birimi işlemlerinin güvenilirliğini izlemek ve derecelendirmek için bir sistemde kullanılabilir. Kolluk kuvvetleri veya siber güvenlik firmaları, siber suçlar ve fidye yazılımlarıyla ilişkili olduğu bilinen kötü cüzdanlardan oluşan bir veritabanı tutabilir. Her işlem, bu kötü cüzdanları içerip içermediğine göre puanlanabilir. Örneğin, yalnızca iyi durumda olduğu bilinen cüzdanları içeren bir işlem yüksek puan alırken, kötü olduğu bilinen bir cüzdanı içeren bir işlem düşük puan alır. Zamanla yeni veya diğer cüzdanlara, işlemlerinin puanlarına göre bir güvenilirlik puanı atanabilir.
Bu kuruluşlar, hangi cüzdanların kötü olduğunu kamuya açıklamak yerine neyi, nedenini veya nasıl bildiklerini açıklamadan bir cüzdanın kötü olduğunu bildiklerini kanıtlamak için ZKP’leri kullanabilirler. Bu, cüzdan sahiplerinin gizliliğinin yanı sıra kuruluşun istihbaratını da korurken, işlemlerin puanlanmasına da olanak tanıyor. Bu yaklaşım, kapalı bir defter olmakla birlikte, tehdit aktörlerinin defteri veya puanlamayı manipüle etmeye çalışmasını da zorlaştırır.
Bu sistem, bilinen kötü cüzdanlarla yapılan işlemlerin engellenmesine ve iyi olduğu bilinen cüzdanlarla yapılan işlemlerin teşvik edilmesine yardımcı olabilir. Böyle bir çözüm, kötüye kullanılmamasını veya manipüle edilmemesini ve gizlilik haklarına saygı duyulmasını sağlamak için dikkatli bir tasarım ve gözetim gerektirecektir; ancak aynı zamanda merkezi olmayan kripto para birimlerinin meşru amaçlar için benimsenmesine de yardımcı olabilir.
Mark Cunningham-Dickie, Quorum Cyber’ın baş olay müdahale danışmanıdır. Teknoloji endüstrisinde 20 yıldan fazla deneyime sahip olup, 10’dan fazla kolluk kuvvetleri ve diğer hükümet destekli kuruluşlar için teknik rollerde çalışmaktadır. Mark’ın ileri güvenlik ve dijital adli tıp alanında yüksek lisansı ve bilgisayar bilimleri alanında lisans derecesi (Hons) bulunmaktadır.