NCSC Olay Yönetimi Direktör Yardımcısı Eleanor Fairford ve ICO Düzenleyici Siber Direktörü Mihaela Jembei, Birleşik Krallık’ta artan sayıda fidye yazılımı kurbanının siber güvenlik olaylarını ifşa etmekten çekindiğini belirtti.
Bu, dünyadaki hemen hemen tüm kolluk kuvvetlerinin şikayetidir.
Bir NCSC blog gönderisinde, “Bize bildirilmeyen ve sessizce geçip giden, bir kenara itilen, onları ortadan kaldırmak için ödenen fidyeler olan saldırılardır” diye yazdılar.
“Saldırıların üstü kapatılırsa, suçlular daha büyük başarı elde eder ve daha çok saldırı gerçekleşir. Bunun ne kadar zarar verici olduğunu biliyoruz.”
NCSC-ICO ortak blog gönderisi, Birleşik Krallık’ta yayınlanan ve firmaların siber güvenlik olaylarını ifşa etmesi konusunda ısrar eden uzun bir düzenleyici uyarılar listesinin en sonuncusu.
Düzenleyiciler neden firmaların siber güvenlik olaylarını ifşa etmesi konusunda ısrar ediyor?
Temmuz 2022’de NCSC ve ICO ortak bir açık mektup yayınlayarak, avukatların müşterilere bir siber saldırıya kurban gitmeleri durumunda fidye yazılımı taleplerini ödemelerini önermemelerini talep etti.
“Son aylarda, fidye yazılımı saldırılarının sayısında ve ödenen fidye tutarlarında bir artış gördük ve fidye yazılımı kurbanı olan müşterilere nasıl yanıt vermeleri ve ödeme yapıp yapmamaları konusunda tavsiyelerde bulunmak için genellikle hukuk danışmanlarının tutulduğunun farkındayız.” dedi mektup.
“Fidye ödemesinin çalınan verileri koruyabileceği ve/veya bir soruşturma yürütmesi durumunda ICO tarafından daha düşük bir ceza ile sonuçlanabileceğine dair bir inancın devam ettiği bize önerildi. Durumun böyle olmadığını açıkça belirtmek isteriz.”
Mektupta, kolluk kuvvetlerinin fidye ödeme eylemini ne desteklediği ne de onayladığı belirtildi.
Fidye ödemek genellikle yasa dışı olmasa da, ödemeyi seçenlerin ilgili yaptırım politikalarının, özellikle Rusya ile ilgili olanların ve beraberindeki kamu rehberliğinin durumu değiştirebilecek potansiyel etkisini göz önünde bulundurması gerektiği açıklandı.
Ayrıca, fidye ödemek, kötü niyetli kişileri daha fazla zararlı faaliyetlerde bulunmaya teşvik eder ve etkilenen ağların şifresinin çözüleceğini veya çalınan verilerin iade edileceğini garanti etmez.
Fidye yazılımı ve veri koruması hakkındaki ICO danışmanlığı, fidye yazılımı ödemesi konusunda nettir: Yapma!
“Fidyeyi ödemeden önce suçlu ve kötü niyetli aktörlerle karşı karşıya olduğunuzu dikkate almalısınız. Ödeme yapsanız bile, size şifre çözme anahtarını vereceklerinin garantisi yok” dedi.
Şifre çözme anahtarı için ödeme yaptığınız ve ardından saldırganın verilerin yayınlanmasını durdurmak için ek bir ödeme talep ettiği “çifte gasp” da yaygındır. Ödemeye istekli olduğunuzu gösterdiyseniz, saldırı grupları gelecekte sizi tekrar hedef alabilir.”
Europol İnternet Organize Suç Tehdit Değerlendirme Raporu 2020’ye göre, kurbanlar siber güvenlik olaylarını ifşa etmese bile, siber suçlular ödeme ayrıntılarını ve genellikle çalınan verilerin kopyalarını koruduklarından, kolluk kuvvetleri genellikle yakalar.
Siber suçlular, fidye yazılımı saldırılarının kurbanlarıyla yapılan müzakerelerde, kurbanın verilerinin ödeme yapıldıktan sonra şifresinin çözüleceğinin kanıtı olarak genellikle belirli şirketlerden bahseder.
Bu şirketlerden bazıları, kurbanın faturasına yansıyan veya yansımayan fidye ödemesinde daha büyük bir indirim elde etmek için suçlularla pazarlık yapabilir.
Rapora göre, bu şirketleri kullanmaları karşılığında mağdurlar fidye indirimi alabilir ve kolluk kuvvetlerine resmi şikayette bulunmaktan caydırılabilir.
Raporda, “Farklı vakalardan elde edilen önemli kanıtlar ve istihbaratlar gözden kaçabileceğinden, vakaları kolluk kuvvetlerine bildirmemek, herhangi bir çabayı açıkça engelleyecektir” dedi.
“Ayrıca, kişisel bilgisayarların fidye yazılımı tarafından hedef alınmasıyla ilgili bir vaka, kurbanların olayı kolluk kuvvetlerine bildirmek yerine yeni makineler satın almayı tercih ettiklerini gösteriyor.
“Buradaki kurbanlar, fidye yazılımı saldırıları nedeniyle kolluk kuvvetleriyle temasa geçtiklerinde şaşkına döndüler ve kolluk kuvvetlerinin durumla ilgili hiçbir şey yapmayacağı izlenimine kapıldılar.”
Ancak kuruluşların anlatacak başka bir hikayesi var.
Mağdurlar neden siber güvenlik olaylarını ifşa etmekten çekiniyor?
Kuruluşların, müşteri kaybından düzenleyici para cezalarına ve uzun davalara kadar, siber güvenlik olaylarını ifşa etmemek veya hafife almak için uzun bir geçerli nedenler listesi vardır. Bunlar aralarında yaygın olan iki tanesidir.
Düzenleyici işlem ve para cezalarından korkma: Bu, kurbanların siber güvenlik olaylarını ifşa etmekten çekinmelerinin uzun süredir devam eden bir nedenidir. Sistemlerinizin ve içerdikleri verilerin güvenliği tamamen sizin sorumluluğunuzdadır ve herhangi bir ihlal sizi yasanın kötü tarafına yerleştirir.
AB’de Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR), ihlaller için 20 milyon Euro’ya veya bir şirketin küresel yıllık gelirinin %4’üne (hangisi daha büyükse) varan para cezalarıyla önemli uygulama yetkilerine sahiptir.
2020’de Avrupa veri ajansları, GDPR ihlalleri için 193 milyon $ (159 milyon €) para cezası verdi ve en büyük ceza Fransız yetkililer tarafından Google’a verilen 57 milyon $ oldu.
ABD’nin GDPR’ye doğrudan bir eşdeğeri olmamasına rağmen, üç eyalet (California, Colorado ve Virginia) kapsamlı tüketici verileri gizliliği yasaları uygulamıştır.
Üç yasanın, diğer hakların yanı sıra kişisel bilgilere erişme ve bunları silme hakkı ile kişisel bilgilerin satışından vazgeçme hakkı gibi birkaç ortak hükmü vardır.
Mart ayında ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), 2020’de 13.000’den fazla müşteriyi etkileyen bir fidye yazılımı saldırısı hakkında yanıltıcı açıklamalarda bulunduğu için yazılım şirketi Blackbaud’a suçlamaları karşılaması için 3 milyon dolar ceza verdi.
SEC’in emrine göre Blackbaud, 16 Temmuz 2020’de fidye yazılımı saldırganının donörün banka hesap bilgilerine veya sosyal güvenlik numaralarına erişmediğini duyurdu.
Ancak, bu duyurudan birkaç gün sonra, Blackbaud’un teknoloji ve müşteri ilişkileri personeli, saldırganın hassas bilgilere eriştiğini ve onları sızdırdığını öğrendi, ancak bu bilgileri kamuya ifşa etmekten sorumlu üst yönetime iletmedi.
Bu bizi bir sonraki nedene götürür.
İtibar zedelenmesi ve iş kaybı korkusu: Şirketler, bir siber güvenlik olayını bildirmenin itibarlarına zarar vereceğinden, müşteriler, yatırımcılar ve diğer paydaşlar arasında güven kaybına yol açacağından korkabilir.
Müşterilerin benzer güvenlik ihlalleri yaşamamış rakiplerle iş yapmayı seçeceklerinden endişe edebilirler. Genellikle siber güvenlik olaylarını ifşa etmemeyi veya durumu örtbas etmeyi tercih ederler.
Bu, Blackbaud örneğinde olduğu gibi genellikle cezalara yol açar.
Daha önce, Birleşik Krallık merkezli eğitim ve yayıncılık şirketi Pearson, yatırımcıları milyonlarca öğrenci kaydının çalınmasına yol açan 2018 veri ihlali hakkında kandırdığı için menkul kıymetler gözlemcisinden 1 milyon dolar ceza aldı.
Ajans, Pearson’ın milyonlarca öğrenci kullanıcı adının, karıştırılmış parolaların ve 13.000 okul, bölge ve üniversite müşteri hesabının yönetici oturum açma kimlik bilgilerinin çalınmasına neden olan veri ihlaliyle ilgili yanıltıcı beyanlarda bulunduğunu ve ihmaller yaptığını keşfetti.
SEC’e göre, veri ihlali zaten gerçekleşmiş olsa da Pearson, Temmuz 2019’da yapılan altı aylık bir incelemede olaydan varsayımsal bir risk olarak bahsetti.
Aynı şekilde, aynı ay yayınlanan bir bildiride şirket, bu tür kayıtların çalındığını bilmesine rağmen, ihlalin doğum tarihlerini ve e-posta adreslerini içerebileceğini belirtti.
Siber güvenlik olaylarını ifşa etmek neden daha iyidir?
En son ICO-NCSC blog yazısı, kuruluşların siber güvenlik olaylarını ifşa etmemeye karar vermesine neden olan altı efsaneyi listeliyor.
Saldırıyı gizlersem her şey yoluna girecek:
Blog gönderisinde, “Soruşturma veya bilgi paylaşımı olmaksızın gizlenen her başarılı siber saldırı, başka saldırıları daha olası hale getiriyor çünkü kimse bundan bir şey öğrenmiyor” dedi.
“Sessizce ödenen her fidye, suçlulara bu saldırıların işe yaradığı ve daha fazlasını yapmaya değer olduğu mesajını veriyor.”
Olayın yetkililere bildirilmesi, kamuya açılma olasılığını artırır: Bir siber saldırı durumunda, Ulusal Siber Güvenlik Merkezi’nden (NCSC) veya kolluk kuvvetlerinden yardım istemek, mevcut destek ve kaynaklara erişim sağlayabilir.
Blog gönderisine göre, ICO, bir kuruluşun destek aramak ve tavsiye uygulamak için proaktif çabalarını dikkate alıyor ve hatta olumlu bir şekilde ilgilenenler için para cezalarını açıkça azaltmayı düşünüyor.
Kamuya açıklamanın gerekli olduğu durumlarda, ICO herhangi bir sürprizle karşılaşmamak için genellikle şirketle iletişime geçecektir.
Fidye ödemek olayı çözer: ICO, veri koruma yasası kapsamında makul bir güvence olarak görülmediğinden, bireylere yönelik riski azaltmanın bir yolu olarak fidye ödemeyi desteklemez.
Benzer şekilde, NCSC ve kolluk kuvvetleri fidye ödemesini onaylamaz, teşvik etmez veya teşvik etmez.
Blog gönderisi, seçenekleri dışında bırakılan mağdur kuruluşları, durumu anlamalarına ve sistemlerinde saldırının gerçekleşmesine en başta izin vermiş olabilecek güvenlik açıklarını belirlemelerine yardımcı olmak için kolluk kuvvetleriyle iletişime geçmeye teşvik etti.
İyi çevrimdışı yedeklemeler varsa fidye ödemeye gerek yok: Blog gönderisinde, saldırganların fidye ödenmediği takdirde verileri ifşa etmekle tehdit edebileceğinden, sahip olduğunuz verilerin hassasiyetini ve bunları güvence altına almak için alınan önlemleri göz önünde bulundurmanız önemlidir.
Söz konusu diğer kişilerin kişisel verilerini korumak sizin sorumluluğunuzdadır. Veri koruma yasaları, kişisel verilerin uygun şekilde işlenmesini ve güvenliğini gerektirir.
Veri hırsızlığına dair bir kanıt yoksa, şunları ifşa etmeye gerek yoktur: Blog gönderisinde, bir saldırganın verileri tutan sistemlerinize eriştiğine dair herhangi bir belirti varsa, her zaman verilerin çalındığını varsayın.
Erken destek aramak ve açık bir şekilde iletişim kurmak, gelecekteki veri sızıntısı riskini azaltabilir. Unutmayın, kanıt eksikliği yokluğun kanıtı değildir ve zayıf durumsal farkındalık yeterli bir teknik kontrol değildir.
Veri koruma kanunu ve diğer mevzuat kapsamında kuruluşların, eşik değerlerin karşılandığı vakaları raporlama sorumluluğu vardır.
Para cezası, veri sızıntısının tek cezasıdır: Blog gönderisinde, ICO’nun yalnızca bir veri sızıntısı olduğu için size her zaman ceza vermeyeceğine dikkat çekiliyor. Düzenleyici kurum, kuruluşları cezalandırmak yerine veri koruma uygulamalarını geliştirmelerine yardımcı olmayı amaçlar.
Kuruluşunuz olayı anlamak ve olaydan ders çıkarmak için adımlar attıysa ve rehberlik ve destek istediyse, bu ICO’nun tepkisini olumlu yönde etkileyebilir.
Siber suç çeteleri fidye ödemenin büyük bir para cezasını önleyeceğine sizi ikna etmeye çalışabilir, ancak taktiklerine kanmayın. Daha fazla sorun yaşamamak için destek alın ve erken iletişim kurun.