Siber saldırılar her gün gerçekleşse de, Ekim 2023’te Britanya Kütüphanesi’ni vuran saldırı kadar ilgi çeken ve medyada çok az yer bulan saldırılar oldu.
Kütüphanenin çevrimiçi sistemlerini aylarca felç eden ve tahmini 7 milyon £ tutarında bir maliyete neden olan saldırı, büyüklüğüyle dikkat çekiyordu. Ancak saldırganların izlediği plan ne yazık ki tanıdık geliyor.
Rhysida olarak bilinen bir fidye yazılımı çetesi, çalışanların güvenliği ihlal edilmiş çalışan kimlik bilgilerini kullanarak uzaktan erişim sağlayan sanal özel ağ (VPN) üzerinden erişim sağladıktan sonra 490.000 belgeyi çalmayı ve kütüphanenin operasyonlarını ciddi şekilde aksatmayı başardı. Ekip, 600.000 £ fidye almayı başaramayınca, bu belgeleri ücretsiz olarak yayınlamadan önce Dark Web’de açık artırmaya çıkarmaya çalıştı.
8 Mart’ta kütüphane saldırıyla ilgili ayrıntılı bir rapor yayınladı. Kültür sektörünün çok ötesinde birçok şirketin yararlı bulabileceği öğrenmeleri ve çıkarımları içerir. İşte öne çıkanlardan bazıları.
Eski sistemlerinizin görünürlüğünün olmaması sizi riske atıyor (ve olay kurtarmayı yavaşlatıyor)
Uzman olmayan pek çok kişi hâlâ “gizlilik yoluyla siber güvenliğe”, yani eski yazılımların çok eski ve gizli olabileceği ve bir şekilde siber saldırıları önleyebileceği fikrine inanıyor.
Rapor bu düşünceye iki büyük darbe vuruyor. Birincisi, eski yazılımının karmaşıklığının, saldırganlara geniş erişim olanağı sağlayarak ve kritik verilerin çeşitli yerlerde depolanmasına yol açarak saldırının ciddiyetine katkıda bulunduğunu belirtiyor.
Ayrıca, bu eski uygulamalardan birçoğu, eskime ve satıcı desteğinin bulunmaması nedeniyle saldırıdan sonra geri yüklenemiyor, bu da kurtarma işlemini daha uzun ve daha zor hale getiriyor. Rapor şu sonuca varıyor: “Kütüphanenin saldırıdan kurtulmak için ihtiyaç duyacağı sürenin uzunluğuna en büyük katkıyı eski altyapıya olan bağımlılığımız sağlıyor.”
Birçok kuruluşun bu uyarıyı dikkate alması gerekir: Eski yazılımlara dokunulmaması ve denetlenmemesi genellikle “ücretsiz” olarak görülür, ancak bu aslında bir tür ertelenmiş maliyettir. Ve bir siber saldırı meydana geldiğinde, kritik sistemlerin yerinde değiştirilmesi gerekmesi, aylarca süren kesintilere ve büyük mali sonuçlara yol açabilir.
Bu, operasyonel teknolojilerin çok eski ve karmaşık olmasının, güvenlik açıklarını göz ardı etmek için iyi bir neden olarak görülebildiği endüstriyel sektör için özellikle kritik bir çıkarımdır. Bu durumda “gizlilik yoluyla siber güvenlik”, “körlük yoluyla siber güvenlik” olarak daha iyi anlaşılır. Çok daha iyi bir strateji, mevcut sistemleri denetlemek ve risklere ve zayıf noktalara göre eylem ve yatırımlara öncelik vermektir.
Ağ bölümlemesi olayların azaltılmasında anahtardır
British Library siber saldırısından geniş çapta uygulanabilir ikinci ders, ağ bölümlemenin önemidir. Raporda “Hiçbir çevre tamamen güvenli hale getirilemez” ifadesine yer veriliyor. “Bu nedenle başarılı bir saldırının neden olduğu hasarı sınırlamak için ağ bölümlemesi önemlidir. Kütüphanenin eski ağ topolojisi, saldırının daha fazla hasara yol açabileceği anlamına geliyordu.”
Kötü ağ bölümlendirmesinin birçok sonucu vardır. Birincisi, saldırganların ortalığı kasıp kavurmasına ve operasyonları uzun süre kesintiye uğratmasına olanak tanıyor, bu da şirketlerin fidyeye razı olma olasılığını artırıyor. Ayrıca, daha fazla mali kazanç elde etmek için kullanabilecekleri, özel bilgiler veya şifreler dahil, daha yüksek değerli verilere erişmelerini de sağlar. Ağları farklı düzeylere ayıran sağlam, çok katmanlı bir yaklaşımın benimsenmesi bu nedenle önemli bir azaltma stratejisidir.
Beceri eksiklikleri, BT ekiplerinin otomatikleştirilmesi gereken görevlerden kurtarılmasını zorunlu kılıyor
Raporda, siber saldırıya katkıda bulunan bir diğer bilinen faktörün de Kütüphane’nin teknoloji departmanının “olaydan önce aşırı yük taşıması ve bazı personel eksikliklerinin başarılı bir şekilde giderilmeye başlanması” olduğu belirtiliyor. Kütüphane, bazı sistemlerini yeniden inşa etme zorunluluğuyla karşı karşıya kalırken, bu eksiklikler yeniden şiddetli bir şekilde hissediliyor ve “Kütüphanenin yüksek talep gören BT becerilerini nasıl ödüllendirdiği yeniden değerlendirilmeden bu eksikliklerin giderilmesi zor olacak.”
Herhangi bir şirket şunu anlayabilir: Hükümetin Birleşik Krallık İşgücü Piyasasında Siber Güvenlik Becerileri 2023 raporuna göre, 11.000 nitelikli profesyonel açığı var ve siber açık pozisyonların %37’sinin doldurulması zor. Bu durumda daha da önemli bir faktör, BT ekiplerinin eski uygulamalara hizmet vermekle ve otomatikleştirilebilecek manuel veri işleme görevlerini gerçekleştirmekle meşgul olmasıydı.
Kütüphanenin durumu benzersiz değil: Beceri eksikliklerini gidermenin kritik adımlarından biri, envanter yönetimi veya güvenlik açığı tespiti de dahil olmak üzere sıkıcı manuel görevleri otomatikleştirmek ve BT ekiplerine riskler ve öncelikler konusunda net bir fikir vermektir. Raporda, saldırıda istismar edilen bir risk faktörünün (bazı uygulamalar için çok faktörlü kimlik doğrulamanın olmaması) 2022’de tespit edildiği ancak önlem alınmadığı belirtiliyor.
Yönetim kurulunuz siber güvenliğe “sahip” olmalı
Son önemli çıkarım ise bu tür saldırıların önlenmesinde kurum kültürünün ve üst düzey yönetimin rolüdür: Raporda “Tüm üst düzey yöneticilerin ve yönetim kurulu üyelerinin, en uygun stratejik yatırım seçimlerini yapabilmek için siber risk konusunda açık ve bütünsel bir anlayışa sahip olmaları gerekir” ifadesine yer verildi. notlar. “Mevcut riskler ve azaltımlar üst düzey yöneticiler düzeyinde sık sık ve düzenli olarak tartışılmalıdır. Siber uzmanlığa sahip bir yönetim kurulu üyesinin veya yönetim kurulu düzeyinde danışmanın işe alınması şiddetle tavsiye edilir.”
Bu gerçek kurumsal düzeyde giderek daha fazla kabul görüyor: AB’de NIS2 direktifi, 35 sektördeki şirketlerin üst düzey yönetimine, kuruluşlarının siber savunmasını güçlendirmek için doğrudan yükümlülükler ve yükümlülükler getiriyor.
Ancak şirketler henüz yetişemedi. Büyük şirketlerin %12’sinde siber güvenlik hâlâ tek bir kişi tarafından, bazen daha geniş bir rolün parçası olarak yürütülüyor. Siber saldırıların milyonlarca hasara yol açabilmesine ve bir şirketin aylarca durmasına neden olabilmesine rağmen, siber güvenlik çoğu zaman yarı zamanlı bir sorun olmaya devam ediyor; ta ki çok geç olana kadar.
Yazan: Edgardo Moreno, Yönetici Sektör Danışmanı, Varlık Yaşam Döngüsü İstihbarat Bölümü, Hexagon