Geçen Mart ayında, İskoç Ruh Sağlığı Derneği’ndeki e-posta ve telefon sistemleri aniden çalışmayı durdurdu. Siber suç çetesi RansomEXX, bağışçılara ve gönüllülere ait isimler, ev adresleri, e-postalar ve pasaport taramaları gibi hassas verileri karanlık ağa yüklediğinde olası bir siber saldırı belirtisi doğrulandı.
Anlaşılır bir şekilde, SAMH’nin itibarı büyük bir darbe aldı.
Hayır kurumları, siber suçlular için ‘yumuşak’ hedefler olarak görülüyor. 2022’de bunların yaklaşık üçte biri siber suç kurbanıydı ve yarısından fazlası saldırıya uğrayan yüksek gelirli hayır kurumları arasında tehdit daha yüksek.
Hayır kurumları neden hedef alınır?
Hayır kurumları ya risklere öncelik vermeyerek arayı kapatıyorlar ya da karşılaştıkları tehditlerin farkında değiller. Destekçilerle bağlantı kurmak, fon toplamak ve dünya çapında temel müdahaleleri koordine etmek gibi çevrimiçi operasyonları, hayır kurumlarını siber saldırılara karşı savunmasız bırakıyor.
Bir hayır kurumunu hedeflemek bir saldırganın ilgisini çeker – hayır kurumlarının genellikle sınırlı BT bütçeleri vardır ve şirket içi siber güvenlik uzmanlığı çok azdır veya hiç yoktur, aynı zamanda değerli finansal, kişisel ve ticari veriler için altın madenleridir.
Hayır kurumları genellikle kolay hedeflerdir
Birçok yardım kuruluşunun ayrıca çok daha geniş (ve daha az denetlenen) saldırı yüzeyleri vardır; bu da yetkisiz personel için olası giriş ve çıkış noktalarını artırır.
Durum neden böyle? Üçüncü sektör, BYOD’ye (Kendi Cihazını Getir) daha çok güveniyor; ticari işletmelerin %45’ine kıyasla, yardım kuruluşlarının %64’ü personelinin düzenli olarak kendi cihazlarını kullandığını bildiriyor. Sonuç olarak, ağları daha geniştir ve bu da siber güvenlik güncellemelerini gerçekleştirmeyi ve izlemeyi daha zor hale getirir. Bu, hayır kurumlarını siber güvenlik ihlallerine karşı daha duyarlı hale getirir.
Suçlular, hayır kurumları arasında yönetim kurulu ve üst düzey yönetim düzeyinde risklerin değerlendirilmesi ve bunlara yanıt verilmesi olasılığının çok daha düşük olduğunun da farkındadır. Her dört hayır kurumundan birinin siber güvenlikten sorumlu bir yönetim kurulu üyesi yok ve bir siber güvenlik önlemi alındığında üst yönetimlerini güncellemiyor.
Bu, en büyük hayır kurumlarını bile savunmasız bırakıyor. Geçen yıl Kızıl Haç, operasyonları ve bağış toplamayı askıya alan ve kan dağıtma yeteneğini etkileyen yıkıcı bir saldırıyla sarsıldı.
Bir hayır kurumunun itibarı ancak federasyonun en zayıf halkası kadar güçlüdür.
Daha küçük hayır kurumları – genellikle bağlı kuruluşlar veya ulusal yardım kuruluşlarından fon alanlar – siber güvenlik tehditlerini ele alacak kaynaklara sahip olma olasılıkları daha düşük olduğundan, bilinen daha büyük üçüncü sektör kuruluşları kadar saldırıya açıktır.
Carers Trust, Mind ve YMCA dahil Birleşik Krallık’taki birçok hayır kurumu, daha küçük, bağımsız yerel hayır kurumlarından oluşan bir ağın ulusal bir hayır kurumu tarafından denetlendiği birleşik bir yapıyla çalışır. Bu tür küçük kuruluşlar, bilgisayar korsanları için kolay bir yol sunar. Kötü bir aktör, bir bağlı kuruluşun sistemini ihlal etmeyi başarırsa, itibar kaybı tüm yardım derneği federasyonunu etkiler. Bir siber saldırının kurbanı olmak, potansiyel olarak destekçilerin hassas ayrıntılarını bağışlama ve paylaşma konusunda iki kez düşünmesine neden olabilir.
Hayır kurumları siber tehditleri ve itibar risklerini azaltmak için neler yapabilir?
Ocak 2023’te Birleşik Krallık Ulusal Siber Güvenlik Merkezi, hayır kurumu sektörü için fidye yazılımını “Bugün Birleşik Krallık’a yönelik en zararlı siber suç tehdidi” olarak adlandıran yeni bir kılavuz yayınladı. Sofistike kötü amaçlı yazılım ve fidye yazılımı tehdidi en iyi şekilde, bir kuruluşun ağının ve cihazlarının sağlam şekilde hazırlanması ve sürekli izlenmesiyle önlenir.
Hayır kurumlarının hem geniş bir saldırı yüzeyiyle hem de üst düzey yöneticilerin zayıf bir siber güvenlik odağıyla karşı karşıya olduğu bir zamanda, oldukça etkili üç çözüm vardır:
- Siber güvenlik önceliklerini ve korumasını yönlendirmek ve yönlendirmek için bir Sanal CISO (Bilgi Güvenliği Baş Sorumlusu), dış kaynaklı bir güvenlik uzmanı (veya güvenlik uzmanlarından oluşan bir ekip) işe alarak itibar riskini azaltın. vCISO’lar genellikle mevcut dahili BT ekipleriyle birlikte yarı zamanlı olarak çalışır, kurum içi, tarafsız ve güvenilir danışmanlar olarak hareket eder ve derin işbirliği yoluyla siber stratejiyi ileriye taşır.
- MDR’ye (Yönetilen Tespit ve Müdahale), siber güvenlik analistlerini ve uzman araçları birleştirerek tüm BT varlıklarını anormallikler açısından izlemek, siber tehditleri gerçek zamanlı olarak aramak ve bunlara yanıt vermek için bir araya getiren bir hizmete yatırım yapın. MDR ayrıca bir kuruluşun üçüncü taraf ağındaki tehditleri belirleme yeteneğine de sahiptir. Bu, herhangi bir etkinliğin herhangi bir yerde görünür olmasını sağladığından, BOYD politikasına sahip bir hayır kurumununki gibi dağınık ağlar için idealdir.
- Savunmalarınızı test edin. Orta ve büyük ölçekli yardım kuruluşları için NCSC yönergeleri, sızma testi de dahil olmak üzere üçüncü taraf hizmetlerin kullanılmasını önerir. Sızma veya pen testleri, sistemlerin veya uygulamaların düşmanca saldırılara dayanıp dayanamayacağını test ederek saldırganların güvenlik açıklarını keşfetmek için kullandıkları tekniklerin aynısını kullanan etik korsanlardan oluşan bir ekip tarafından gerçekleştirilen simüle saldırılardır.
Siber savunmada dış kaynak kullanımı, bir hayır kurumunun en iyi seçeneğidir
Hayır kurumları siber suçluların radarında, büyük, iyi bilinen hayır kurumları bile savunmasız durumda. Büyük ölçekli bir saldırının etkisi, özellikle kesinti süresi ve marka ile destekçi güveninin zarar görmesi gibi yıkıcı olabilir.
Sektörün zorluklarını anlayan uzmanların doğru siber güvenlik stratejisine ve hizmetlerine yaptığı zaman ve para yatırımı, başarılı bir saldırıdan kurtulmaya giden uzun ve itibara zarar veren yoldan her zaman daha ağır basacaktır.
Rob Shapland, uzman bir MDR sağlayıcısı olan Falanx Cyber’de etik bir bilgisayar korsanı ve siber inovasyon başkanıdır. Güvenlik konularında sık sık yorumculuk yapıyor ve TechTarget Security ve Computer Weekly’ye düzenli olarak katkıda bulunuyor. Adam Monks, hayır kurumları ve kar amacı gütmeyen kuruluşlarla çalışan uzman bir yönetilen hizmetler sağlayıcısı (MSP) olan Smartdesc’in CEO’sudur.