Bu yardımda net güvenlik röportajında, İngiltere Ulusal Suç Ajansı müdür yardımcısı William Lyne, siber suç ekosistemini ve sağladığı tehditleri tartışıyor. Siber suçların nasıl daha erişilebilir ve parçalandığını açıklıyor. Lyne ayrıca temel eğilimler, son kesintiler ve kolluk kuvvetleri ile özel sektör arasındaki işbirliği hakkında konuşuyor.
Bugün siber suçlu davranışlarda gördüğünüz en ilgili eğilimler nelerdir?
Siber suç, teknik yeteneklerin ve tehdit aktörlerinin siber suç ekosistemi tarafından desteklenen ve sağlanan sürekli gelişen bir tehdittir. Bu ekosistem genellikle iki yüksek seviyeli, bağlı eğilim ile sonuçlanır – siber suçlara giriş bariyerini azaltır ve siber suç yeteneklerini çoğaltır. Fidye yazılımını siber suç ekosisteminin bir belirtisi veya ürünü olarak görüyorum.
Daha taktiksel olarak, 2024’te Blackcat-Alphv çıkış dolandırıcılığı ve Hizmet Olarak Lockbit Fidye Yazılımı Grubu’nun NCA liderliğindeki kesintisi gibi bir dizi önemli kesintiler vardı. Bunlar, tehdit aktörleri arasında her zamankinden daha az güven olduğu, güven sonrası bir döneme geçiş başlatmış veya hızlandırmış olabilir. Bu, daha az sayıda tehdit aktöründen oluşan daha fazla grupla sonuçlanan bir parçalanmaya yol açtı, hiçbiri Lockbit gibi grupların geçmişte sahip olduğu baskın pazar payını kazanmadı. Grupların daha düşük profil olma olasılığı daha yüksektir ve potansiyel olarak daha düşük profili ve daha küçük kuruluşları geçmişe göre hedeflemektedir.
Son zamanlarda dağınık örümcek gibi çeşitli isimlerle bilinen gruplar tarafından yürütüldüğü iddia edilen saldırılar hakkında önemli raporlar gördük. Belirli, devam eden soruşturmalar hakkında yorum yapamam, ancak genellikle bunlar gibi grupları, genellikle belirli bir sosyal mühendislik becerilerine sahip İngilizce konuşan ülkelerde bireylerden, genellikle genç erkeklerden oluşan-kurban sistemlerine erişim elde etmek için teknik araçlar kullanmak yerine, kuruluşlardaki insanları sömürmek olarak görüyoruz. Benim için bu, siber tehditlere karşı dayanıklılık oluşturmanın teknik yönlerinin yanı sıra insanların önemini ve siber suçların nasıl hale geldiğini gösteriyor. Artık siber suç ekosisteminde uzun bir geçmişi ve itibarı olan az sayıda Rus konuşan tehdit aktörüyle sınırlı değil.
Çevrimiçi suç ağlarıyla mücadelede hükümetler ve özel sektör arasında pratikte istihbarat paylaşımının nasıl çalıştığını açıklayabilir misiniz?
İşbirliği ve istihbarat paylaşımı, NCA içindeki tehdidi ele alma yaklaşımımızın merkezinde yer alıyor ve hem ulusal hem de uluslararası olarak kamu ve özel sektördeki ortaklarla ilişkilerden keyif alıyoruz. Birleşik ve birçok yönden ortak bir görevle motive olduk.
Bunlardan bazıları uzun zamandır sahip olduğumuz resmileştirilmiş kolluk ilişkileridir – örneğin, NCA’nın birkaç yıl boyunca Washington DC’deki FBI’a gömülmesiydim. Ancak, sadece ABD ile sınırlı değil, NCA, siber suçla mücadelede ‘Beş Göz’ ülkeleri ve Avrupa’daki ve ötesindeki ortaklarla parlak ilişkilerin tadını çıkardığı için şanslı.
Kendini paylaşmak açısından, bazıları tehdidi daha iyi anlamamıza yardımcı olurken, diğer ilişkiler tehdide yanıt vermek için birlikte çalışmakla ilgilidir. NCA’nın son siber suç aksamalarının çoğunda, birlikte çalıştığımız bazı özel sektör ortaklarını adlandırdığımızı belirtmiş olabilirsiniz.
Mevcut yasal çerçevelerin, kolluk kuvvetlerinin ulusötesi siber suçlara karşı hareket etmesini sağlamada ne kadar etkilidir?
NCA içinde siber suç tehdidine karşı hareket etmemize izin veren bir dizi araç var ve topluluklarımızda zarar verdiğini bildiğimiz tehdidi bozmak için ulusal ve uluslararası ortaklarımızla işbirliği içinde çalışıyoruz.
Hangi stratejilerin ulus-devlet destekli veya eyalet tolere edilen siber suçluları caydırmada en etkili olduğunu kanıtlamıştır?
NCA’da, ağırlıklı olarak finansal olarak motive olmuş siber suçlara odaklandık, İngiltere için tehdidin ne kadar önemli olduğu göz önüne alındığında, fidye yazılımı ana bir odak alanı olarak. Bazı siber suç gruplarının Rus devletiyle bağlantıları olduğunu biliyoruz (örneğin, 2019 ve 2024’te Evilcorp Grubuna karşı yönlendirdiğimiz faaliyete bakın), ancak bu tür köklü ilişkilerin normun aksine istisna olabileceğini değerlendiriyoruz.
Siber suç tehdidini hedeflerken, maliyet ve riski bize ve müttefiklerimize zarar vermek isteyen tehdit aktörleriyle ilişkilendirmeye odaklandık ve bunu bir dizi farklı şekilde başarıyoruz. NCA’nın önderliğinde Lockbit’in 2024’te (Cronos Operasyonu) grup üyeleri arasındaki güveni ve kurbanların Sözlerini tuttukları güvenleri zayıflatmada başarılı oldu. Bunu Lockbit’in sistemlerine sızarak, grup hakkında kendi sızıntı alanlarında bilgi yayınlayarak ve fidye ödeyenler için çalınan kurban verilerinin asla silinmediğini göstererek yaptık.
Diğer taktikler, fidye yazılımı iş modelini destekleyen ve etkinleştiren siber suç ekosisteminin temel unsurlarını hedeflemeyi içerebilir. Yine 2024’te NCA, Rusça konuşan yasadışı finans ağlarını, bir dizi farklı fidye yazılım grubu tarafından bir dizi başka tehdit aktörünün yanı sıra başarılı bir şekilde bozan OP’nin Destabline’sine liderlik etti.
Özel sektör kuruluşları hükümetin siber suçların önlenmesi ve yanıtındaki çabalarını daha iyi desteklemek için ne yapabilir?
Özellikle çevrimiçi tehditler için özel sektörle işbirliği içinde çalışmanın hayati önem taşıdığını biliyoruz. Saldırıları bilmek, tehdit anlayışımızı geliştirmek ve mağdur deneyimini geliştirmek ve gelecekte daha iyi hedeflememize izin vermek istiyoruz. Kuruluşları kolluk kuvvetleri ile ilişkiler kurmaya kesinlikle teşvik ediyorum ve herkesi NCSC web sitesinde siber ve diğer çevrimiçi tehditlere karşı esneklik oluşturmak için nasıl atabileceğimiz konusunda mükemmel kaynaklara imzalayacağım.