Uluslararası Fidye Yazılımlarıyla Mücadele Girişimi Beyanı’ndan Önemli Bilgiler
Yazan: Todd Thorsen, Bilgi Güvenliği Baş Sorumlusu, CrashPlan
Kasım ayının başlarında, medya kuruluşları dikkate değer bir ortak açıklamanın içeriğini geniş çapta haber yaptı. 40 ülkeyi kapsayan Uluslararası Fidye Yazılımlarıyla Mücadele Girişimi (CRI), artık kötü aktörlere fidye ödemeyeceklerini açıkladı. Aynı politika beyanında CRI, fidye yazılımı aktörleri tarafından kullanılan cüzdanların ortak bir kara listesini oluşturmayı ve herhangi bir fidye yazılımı saldırısı durumunda üyelerinin herhangi birinin müdahale etmesine yardımcı olmayı da kabul etti. Fidye yazılımlara karşı bu güçlü duruşun yanı sıra, koalisyon bu yıl 13 yeni üyeyi de bünyesine kattı. Tüm bunlar, fidye yazılımının birçok devlet için küresel bir endişe olarak büyük bir boyuta ulaştığına ve büyüyen bir soruna güçlü, tutarlı uluslararası politika tepkileri geliştirmeye gerçekten ilgi duyulduğuna işaret ediyor.
Sorun gerçek. Statista’ya göre 2019’dan 2022’ye kadar dünya çapındaki fidye yazılımı girişimlerinin sayısı 187 milyondan 493 milyona çıktı. Ayrıca Corvus’un 2023 3. Çeyreği Küresel Fidye Yazılımı Raporu, küresel fidye yazılımı saldırı sıklığının geçen yıl %95 arttığını kaydetti. Bu çerçevede, CRI’nin açıklaması ve gerçekleştirdiği diğer eylemler doğru yönde atılmış bir adımdır. Birinin bir şeyler yapması gerekiyor.
Gümüş kurşun
Ancak uluslararası bir taahhüdün CISO’ların hâlâ aradığı sihirli çözüm olması pek mümkün değil. Veya en azından şu anda mevcut olan bu uluslararası taahhüt değil. Anlaşma, ulus devlet düzeyinde izleme ve paylaşmayı amaçlayan bazı iyi başlangıç adımlarıyla sembolik olarak güçlü olsa da, ön saflarda yer alan kuruluşlar için eyleme geçirilebilir yönergeler içermiyor. Bu, en azından fidye yazılımıyla ilgili küresel endişenin düzeyini gösteren bir barometre görevi görüyor ancak bu taahhüdün fidye yazılımı aktörlerinin ödeme mekanizmalarını bozmada ne kadar etkili olacağını ve bu eylemlerin fidye yazılımı saldırılarının sayısını azaltıp azaltmayacağını zaman gösterecek. Taahhütlerin zorlukları uluslararası politikayı takip eden herkes için ortaktır: bu işler çok fazla uyarı ve istisna dışında yavaş ilerliyor. Taahhüt elbette yalnızca Ulusal düzeyi kapsıyor ve o zaman bile acil durumlarda fidye ödemesinin reddedilmesine istisna getirilmesine izin veriliyor. Peki fidye yazılımı ne zaman acil bir durum değildir?
CRI’nin açıklamasının ana faydası, küresel ölçekte veri güvenliği ve dayanıklılık konusunda bir kez daha tartışmaya açılmasıdır. Bu faydalıdır çünkü bizi verilerimizi nasıl koruduğumuza ilişkin mevcut uygulamalarımızı ve temel varsayımlarımızı dikkate almaya davet eder. Bu konuşmaya çok ihtiyacımız var çünkü bana göre bu konuda tamamen yanlış düşünüyoruz.
Önlemenin kendisi yeterli değil
Çoğu kuruluş, fidye yazılımı saldırılarını önleme açısından, yani ilk etapta bunların gerçekleşmesini nasıl önleyecekleri açısından düşünme eğilimindedir. Hiçbir kötü aktörün geçemeyeceği kadar yüksek dijital duvarlar inşa etmeye büyük miktarda siber güvenlik bütçesi harcanıyor. Bu kötü bir uygulama değil – önleyici tedbirler önemlidir – ancak bunlar hatasız değildir. Fidye yazılımı başarılı olduğunda ne olur? Yanıt süresi önemlidir, ancak başarılı bir fidye yazılımı saldırısına veya ihlaline ne kadar hızlı yanıt verirseniz verin, yine de verilen hasarı geri almak için çalışmanız gerekir ve bu nedenle dayanıklılık ve kurtarma yetenekleri devreye girer.
Bu noktada daha fazla konuşmanın zamanı geldi. Cevabın anlaşılması zor ya da derin olmasından değil, burnumuzun dibinde olduğundan ve yeterince tartışılmadığından: Yedekleme ve kurtarma stratejisi. Aslında, derinlemesine savunma stratejinizin gerçekten temel bir yönü olmasına rağmen, bunun genellikle sahip olunması güzel bir şey olarak görülmesi sinir bozucu. Mevzuat, uluslararası anlaşmalar, politika pozisyonları, sağlam bir yedekleme ve kurtarma stratejisi de dahil olmak üzere her şeyden çok, fidye yazılımlarının ve kötü aktörlerin etkisini büyük ölçüde azaltma potansiyeline sahiptir.
Güç yedekleme ve kurtarma dahilindedir
Fidye yazılımı bir sorundur ancak bir çözümü vardır. İşletmelerin %50’sinden fazlasının bir yedekleme ve kurtarma planı olduğunu biliyor muydunuz? Kritik verileriniz ve sistemleriniz için amaca yönelik olarak oluşturulmuş yedekleme ve kurtarma araçlarına sahip sağlam bir yedekleme ve kurtarma stratejisine sahip olmak, fidye yazılımı aktörlerinin tüm gücünü elinden alabilir; bir fidye yazılımı saldırısından etkilenirseniz, fidye yazılımı olup olmadığını düşünmek zorunda kalmazsınız. Verilerinizi geri almak için ödeme yapmanız gerekiyor, zaten şifrelenmiş, değiştirilemez ve izole edilmiş yedeklerinizden kurtarma olanağına sahipsiniz.
Her CISO ve güvenlik uygulayıcısı, fidye yazılımının ciddiyetini ve etkisini kuruluşlarındaki yönetim kurulları ve liderleriyle güçlendirmek için CRI’nin sözünü bir fırsat olarak almalı ve kuruluşun kontrol ortamına dayalı olarak veri esnekliğiniz ve kurtarma duruşunuzdaki boşlukları vurgulayan bir risk tartışması yapmalıdır. . Çalışan bir yedeklemeye ve kurtarmaya sahip olmak, kötü amaçlı olmayan ve kazara veri kaybı senaryolarının yanı sıra, fidye yazılımıyla ilişkili riski de büyük ölçüde azaltabilir. Dediğim gibi, hepimizin bildiği gibi önleyici tedbirlerin alınması önemlidir, ancak kötü şeyler olduğunda hassas verilerinizi korumak için veri esnekliği ve kurtarma yeteneklerinin mevcut olması da aynı derecede önemlidir. Öyleyse benim isteğim şu… kendinize ve kuruluşlarınıza bir iyilik yapın ve veri dayanıklılığı ve kurtarma yeteneklerinize yeni bir göz atın; bir planınız yoksa bir plan oluşturun; Kritik verileri kurtarma yeteneğiniz yoksa bunları uygulayın veya bu bilgiyi liderleriniz ve Yönetim Kurulu üyelerinizle paylaşın ve yeteneklerinizdeki boşlukları gidermek için risk bazlı tartışmalar ve seçenekler başlatın.
CRI’nin taahhüdü olumlu bir adım olsa da, fidye yazılımı sorununu çözmelerini kesinlikle beklemiyorum. Ancak bunun yarattığı tüm enerji ve ilginin, şirketleri veri dayanıklılığı ve kurtarma yetenekleri ile planlarına daha dikkatli ve objektif bir şekilde bakmaya ve herhangi bir boşluk varsa bunları gidermek için harekete geçmeye zorlayacağını umuyorum. Bunu yaparak, kontrolü ele alıyor ve bir fidye yazılımı saldırısının kuruluşunuz üzerindeki etkisine ilişkin anlatıyı değiştiriyorsunuz.
yazar hakkında
Todd Thorsen, CrashPlan’in Bilgi Güvenliği Baş Sorumlusudur. Çeşitli disiplinlerde 15 yılı aşkın bilgi güvenliği deneyimine sahiptir. Todd’un küresel güvenlik operasyonları, risk ve uyumluluk, olaylara müdahale, dayanıklılık ve veri korumaya odaklanan güvenlik programları oluşturma ve yönetme konusunda kanıtlanmış bir geçmişi vardır. Kendisine çevrimiçi olarak LinkedIn’den ve şirketin www.crashplan.com web sitesinden ulaşılabilir.