Arrow adlı televizyon programında milyarder playboy Oliver Queen, bir adada mahsur kaldıktan sonra Star City’ye geri döner ve adanın suç ve yolsuzlukla dolu olduğunu görür. Oliver Queen yeşil bir başlık takıyor, eline bir yay ve ok alıyor ve Green Arrow olarak Star City’nin suç unsurlarını ele alıyor. Green Arrow bir kötü adamı alt ettiğinde, “Bu şehri hayal kırıklığına uğrattın” diye bağırırdı.
Hükümetlerin fidye yazılımı gruplarına fidye ödeme yasağı uygulayıp uygulamaması gerektiği konusundaki tartışmanın kızıştığı günümüzde bu slogan bana doğru geliyor. Bu durumdayız çünkü güvenlik topluluğu korumamız gereken insanları yeterince koruyamamış. Tabii ki, bu şekilde yansıtılmıyor. Bunun yerine, bir fidye yazılımı saldırısının nasıl gerçekleştiğini öğrendiğimizde, nadir durumlarda, kurbanın MFA’yı gerektiği gibi etkinleştirmediği veya kurbanın bir güvenlik açığını ya da başka bir hatasını düzeltmediği gibi manşetlerle karşılaşıyoruz. Gerçek şu ki, iyi bir güvenlik duruşunu düzgün bir şekilde güvence altına almayı ve sürdürmeyi zorlaştırıyoruz. Kuruluşları, zayıflıklarını ve güvenlik açıklarını anlamaları için engellerin üzerinden atlamaya zorluyoruz ve onlara o kadar çok şey yüklüyoruz ki, en kaynaklara sahip kuruluşların bile giderek daha karmaşık hale gelen ağlarını güvenlik altına almanın her yönünü korumak için yapmaları gereken her şeye ayak uydurmaları imkansız.
Bu durum kaçınılmaz olarak güvenlik hatalarına ve fidye yazılımı saldırılarına yol açmaktadır. Bu saldırılar gerçekleştiğinde kurbanı suçlarız, “Ah, neden her şeye MFA koymadılar?” Bazı satıcıların MFA’yı etkinleştirmeyi ne kadar zorlaştırdığını boş verin. Veya “Bu sisteme nasıl yama yapmadılar?” Kuruluşların “hemen yama” yapılması gereken 50 “kritik” güvenlik açığına sahip olabileceği gerçeğini göz ardı etmek. Hatta “Bu kadar çok güvenlik açığı varken X satıcısını nasıl hala kullanıyorlar?” Satıcıları değiştirmenin uzun bir süreç olmasına ve X satıcısının rakiplerinin birçoğunun da aynı sayıda güvenlik açığına sahip olma ihtimalinin yüksek olmasına rağmen.
Tüm bu parmakla işaret etme ve mağdurları utandırma yöntemlerine rağmen, güvenlik sektörüne bir bütün olarak baktığımızda bunun ne kadar berbat bir durum olduğunu fark ettiğimiz nadirdir. Birlikte harekete geçemezken korumamız gereken insanları gerektiği gibi güvence altına almayı nasıl bekleyebiliriz?
Dolayısıyla, muhtemelen işe yaramayacak, giderek daha kusurlu çözümlerle karşı karşıya kalıyoruz çünkü yaptığımız – en azından yapmaya istekli olduğumuz – başka hiçbir şey işe yaramıyor.
Fidye yazılımı gruplarına yapılan ödemelere hükümet çapında yasaklar getirin. Bu, korumadaki yetersizlikleri telafi etmek için tasarlanan ve giderek artan önlemlerin bir sonraki adımıdır. Bu iyi bir fikir mi? Hayır. Bunun uygulanma biçiminden memnun olan var mı? Hayır. Fidye yazılımını durduracak mı? Kuzey Carolina ve Florida gibi yerlerde gördüğümüz birkaç test vakasında, fidye ödeme yasakları saldırıların sayısını yavaşlatmadı.
Ancak sonuçta elimizdeki en az kötü seçenek bu olabilir.
Tam olarak kulağa hoş gelen bir onay değil, biliyorum. Ama kimsenin işin bu noktaya gelmesini istediğini sanmıyorum. İyi haber şu ki bu körlüğe girmek zorunda değiliz. Meslektaşım Sofia Lesmes ve benim de belirttiğimiz gibi, kaçıranlara fidye ödemesini yasaklayan bir hukuk geçmişimiz var ve bu dersleri ciddiye almalıyız.
Fidye yazılımı gruplarına yapılan ödemelerin yasaklanmasının gerekli olmasının nedenlerini özetleyen son zamanlarda çok sayıda büyük tartışma zaten yapıldı; bu nedenleri tekrar anlatmayacağım. Gerçek şu ki, diğer uzmanların da işaret ettiği gibi, yasağın uygulanmama nedenleri yakından incelendiğinde boşa çıkıyor.
Bunun yerine, fidye yazılımı ödemelerine ilişkin herhangi bir yasağın kamuya açık raporlamanın da dahil edilmesi gerektiğini vurgulamak istiyorum. Daha önce Florida ve Kuzey Carolina eyaletlerinin uygulamaya koyduğu ödeme yasaklarının etkili olmadığını düşündüğümüzü belirtmiştim. Bu, açık kaynak raporlama yoluyla toplanan saldırıların sayısına dayanmaktadır. Ne Kuzey Carolina ne de Florida, yasa kapsamındaki kamu kurumlarına yapılan fidye yazılımı saldırılarının sayısı hakkında bilgi sağlayarak yasanın etkinliğini doğrulamanın bir yolunu sunmuyor.
Etkili ve kamuya açık bir raporlama rejimi olmadan biz vergi mükellefleri bu yasakların etkinliğini ölçemeyiz ve kanun yapıcılar yasalarda gerektiği gibi ayarlamalar yapamaz. Bazıları, saldırıları bildirmeye zorlanmanın kuruluşları fidye yazılımı saldırılarını örtbas etmeye teşvik edeceğini iddia edebilir. Elbette, ancak kuruluşlar bunu şimdi yapıyor ve yürürlükteki bir yasayla, yakalanmaları halinde bunun sonuçları olacak. Bu, Sağlık ve İnsani Hizmetler Bakanlığı’nın Amerika Birleşik Devletleri’ndeki sağlık hizmeti sağlayıcılarının rapor vermesini zorunlu kıldığı endişelerden biriydi. Bu gerçekleşmedi ve artık Amerika Birleşik Devletleri’nde sağlık sektörüne yönelik siber saldırılara ilişkin neredeyse diğer tüm sektörlerden daha iyi, kusurlu ama daha iyi bir içgörüye sahibiz.
Fidye ödemelerinin yasaklanması ve fidye yazılımı saldırılarının kurbanlarının sıkı raporlama gereklilikleri, fidye yazılımı saldırılarının sayısını daha iyi kontrol etmemize olanak tanıyacak ve toplu olarak saldırıları durdurmak için kaynakları nereye ayıracağımızı belirlememize yardımcı olacaktır. Bu, kimsenin istemediği korkunç bir çözümdür, ancak aşırı hantal ve karmaşık olmadan etkili güvenlik çözümleri geliştirene kadar, korumamız gereken insanları başarısızlığa uğratmayı durdurmanın tek yolu bu olabilir.
Allan Liska, Recorded Future’da tehdit istihbaratı analistidir.