Ciaran Martin'in neden fidye yazılımı ödemeleri üzerinde yasal kontrolleri savunma pozisyonunu aldığını anlayabiliyorum ve bu teklifin arkasındaki mantık basit: Suç çeteleri, gelir elde etmek için fidye yazılımı saldırılarını kullanan bir iştir. Her işletme gibi, yatırım getirisi (ROI) ilkesine göre çalışırlar. Dolayısıyla, fidye yazılımı saldırıları sürekli olarak geri dönüş sağlamıyorsa, bu karlı değildir ve bu saldırıyı gerçekleştirenler başka bir şeye yönelecektir.
Fidye yazılımı çetelerinin giderek daha açgözlü hale geldiğinden bahsetmiyorum bile. Aralarında neredeyse bir onur duygusunun var olduğu çok uzun zaman önce değildi. Örneğin birçok önde gelen çete, Kovid-19 salgını sırasında sağlık kuruluşlarına saldırmama sözü verdi. Ancak Şubat ayında FBI'ın ABD hastaneleri için yayınladığı bir tavsiye niteliğindeki bildiri, bunun en iyi ihtimalle geçici bir ateşkes olduğunu vurguluyor ve fidye yazılımı çetelerinin özellikle ABD hastanelerini hedef aldığı uyarısında bulunuyor.
Fidyeyi ödeyen kuruluşların da yeniden hedef alınması muhtemeldir. NCSC'den yapılan tahminler, fidye yazılımından etkilenen tüm kuruluşların yaklaşık üçte birinin yeniden saldırıya uğradığını ve bazılarının bir yıl içinde birden fazla saldırı yaşadığını gösteriyor.
Ve son olarak, fidyeyi ödemenin dosyalarınızı geri getireceğinin garantisi bile yok. İlk olarak, suçlular adil oynamayabilir. İkinci olarak, fidyeyi ikiye, hatta üçe katlamayı seçebilirler; dosyalarınızın şifresinin çözülmesi için ödeme yapmanız, dosyalarınızın karanlık ağda yayınlanmaması için ödeme yapmanız ve hatta suçluların düzenleyicinize ya da yetkilinize söylememeleri için ödeme yapmanız gerekebilir. İhlaliniz hakkında Bilgi Komiserleri Ofisi'ne (ICO) başvurun.
Bunlar ödememe konusundaki argümanlardan bazıları. Ancak sorun bu kadar basit değil. Şirketinizin fidye yazılımı saldırısına maruz kaldığı ve varoluşsal bir tehditle karşı karşıya olduğu bir senaryo hayal edin. İkilem, işin kapanması ve iş kaybı riskiyle karşı karşıya kalarak ödemeyi yapıp yapmama veya ödemeyi reddetme haline gelir. Saldırı doğrudan kuruluşunuzun sonunu getirmese bile, toparlanmanın alacağı zaman bunu yapabilir. Britanya Kütüphanesi örneğine bakın; Ekim 2023'te başarıyla saldırıya uğradılar ve Mart 2024 itibarıyla hâlâ tam hizmete geri dönmediler. Çevrimiçi hizmetlerinin çoğuna erişim sınırlı ve bunun uzun sürebileceğini tahmin ediyorlar. Tamamen iyileşmek için 12 aya kadar.
Dikkate alınması gereken pratiklikler de vardır. Fidye ödemelerinin suç olarak kabul edilmesi, kuruluşların bu olayları bildirmelerini engelleyebilir, yasa dışı uygulamayı daha da yeraltına sürükleyebilir ve kolluk kuvvetlerinin takip etmesini ve ele almasını daha da zorlaştırabilir. Nasıl ki bireyler karşılaştıkları sosyal mühendislik saldırılarını bildirmeye teşvik ediliyorsa; Şirketler ayrıca fidye yazılımı olaylarını cezalandırılma korkusu olmadan rapor etme konusunda kendilerini güvende hissetmelidir.
Hem NCSC hem de ICO şu anda fidyeyi ödeyecek olsanız bile onları bilgilendirmenizi, özellikle de risk göstergeleri (IoC'ler) veya saldırının nasıl başarılı olduğu hakkında bilgi paylaşmanızı istiyor. Britanya Kütüphanesi saldırısından çıkan birkaç iyi şeyden biri, nasıl saldırıya uğradığına dair derinlemesine bir rapordur ve bu, yalnızca gelecekte kuruluşlara yardımcı olabilir.
Fidye yazılımı saldırılarının sayısını etkili bir şekilde nasıl azaltabiliriz? Gerçek şu ki, insanlar olarak hatalara yatkınız ve bu hatalar siber suçlular tarafından istismar edilebilir. Güvenlik eğitimi bireyleri daha dikkatli olmaya teşvik ederek bu hataları en aza indirebilir ancak insan hatası hiçbir zaman ortadan kaldırılamaz.
Daha sürdürülebilir bir yaklaşım, tasarım ve hijyen uygulamalarında güvenliği vurgulayan çok katmanlı bir savunmaya odaklanmaktır. Bu, güvenlik önlemlerinin bir kuruluşun operasyonlarının her düzeyine entegre edilmesini içerir ve bu da siber suçluların güvenlik açıklarından yararlanmasını zorlaştırır.
Etkilenen makinelerin hızlı bir şekilde izole edilmesine olanak sağlamak ve fidye yazılımı ile diğer kötü amaçlı yazılımların şirket içinde yayılmasını sınırlamak ve kontrol altına almak için sıfır güven gibi ağ tasarımı ilkeleri dahil edilmelidir. Yapay zeka (AI) siber güvenliğin güçlendirilmesinde de rol oynayabilir. Örneğin, anormal davranış modeli eşleşmesi, sistemlerin olağandışı davranış kalıplarını hızlı bir şekilde tanımlamasına ve izole etmesine olanak tanıyacaktır. Örneğin, IBM'in 2023 tarihli X-Force raporu, makine öğrenimi algoritmalarının, ağ trafiği modellerini analiz ederek fidye yazılımı saldırılarını belirlemede %85'e kadar başarı oranına sahip olduğunu öne sürdü. Büyük miktarda verinin aniden şifrelenmesi gibi olağandışı etkinlikleri hızlı bir şekilde tanımlayıp bunlara yanıt vererek fidye yazılımı saldırısının etkisi daha etkili bir şekilde azaltılabilir.
Aslında fidye yazılımı saldırılarıyla mücadelenin anahtarı yalnızca ödemeleri yasaklamak olmayabilir. Bunun yerine, sağlam güvenlik önlemleri, şeffaflık, sürekli eğitim ve yapay zeka teknolojisinden yararlanma gibi stratejilerin bir kombinasyonu ileriye yönelik daha etkili bir yol olabilir.
John Scott, CultureAI'de baş siber güvenlik araştırmacısıdır