Fidye yazılımının sadece bir siber suç meselesi olmadığı bir aşamaya ulaştık: şimdi açıkça bir iş yıkıcı, toplumsal güven için bir tehdit ve giderek daha fazla ulusal güvenlik krizi.
İngiltere’nin Ulusal Suç Ajansı’ndaki (NCA) genel müdür (tehditler) James Babbage’ın yakın zamanda belirtildiği gibi, fidye yazılımları “hem burada hem de dünyada kendi başına ulusal bir güvenlik tehdididir”. Endişe verici bir şekilde, yıllarca hedeflenen operasyonlara, küresel strateji makalelerine ve endüstri rehberliğine rağmen, fidye yazılımı grupları her yıl gerçek sonuçlardan çok az korkuyla kuruluşlardan milyonlarca çıkmaya devam ediyor. Neden? Çünkü mevcut çabalarımızın çoğu, ilk etapta gerçekleşmesine izin veren koşullar değil, saldırıların ardından başa çıkmaya odaklanmıştır.
Avustralya’da piyasaya sürülenler gibi fidye yazılımı ödemelerinin raporlanmasını zorunlu kılan yasalar iyi niyetlidir: tehdit manzarasının daha iyi ulusal görünürlüğünü geliştirmeyi amaçlamaktadır. Birleşik Krallık’ta hükümet, kamu sektörü ajanslarının artık suç gruplarına mali teşvikleri kesmek için tasarlanmış bir hareket olan fidye ödemesine izin verilmemesini öneriyor.
Bu önlemleri prensipte desteklesem de, bu girişimler reaktiftir ve saldırıların olmasını engellemeyecektir. Bu saldırıların arkasındaki suçlular için maliyeti finansal veya başka bir şekilde artırmak için hiçbir şey yapmazlar ve en çok risk altındaki kuruluşlarda esneklik oluşturmak için çok az şey yaparlar.
Karmaşık bir sorun
Çoğu fidye yazılımı saldırısı hedeflenen saldırılar değil, sadece fırsat suçlarıdır. En iyi ihtimalle, hükümet yasakları suçluların bu saldırıları yapmasını engellemek için çok az şey yapacak. En kötüsü, suçlular bunun yerine daha savunmasız diğer sektörlere odaklanacak ve bunları hedefleyecekler.
Fidye yazılımı saldırılarının arkasındaki kişilerin organize suç çetelerinin bir parçası olduğunu hatırlamamız gerekiyor. Bunlar, küresel altyapılara erişim, faaliyet gösterecek güvenli cennetler ve kârlarını temizlemek için aklama mekanizmalarına sahip yalnız bilgisayar korsanları değil, profesyonel suç işletmeleridir. Bunu ele almak, raporlama gereksinimlerinden daha fazlasını gerektirir. Fidye yazılımı ciddi ulusötesi suç olarak davranan uluslararası, işbirlikçi bir yaklaşıma ihtiyaç duyar.
İyi haber şu ki, sıfırdan başlamıyoruz. Hükümet, endüstri ve akademiyi içeren küresel, çok paydaşlı bir girişim olan Fidye Yazılımı Görev Gücü (RTF), bu sorunu 2021’de eşleştirdi ve sağlam bir eylem planı sağlamıştır. Daha anlamlı uluslararası işbirliği, kritik altyapı sektörlerinde daha güçlü esneklik ve sanal varlık aklama için hesap verebilirlik gibi şeyleri çağırdı.
Bazı fidye yazılımı gruplarına karşı son kolluk operasyonları ve kripto para birimi mikserleri üzerindeki uluslararası baskının artması gibi bazı ilerlemeler kaydedilmiştir. Bununla birlikte, yasama değişimi veya daha geniş teknoloji endüstrisi işbirliği gerektiren daha karmaşık önerilerin çoğu sadece kısmen ele alınmaktadır.
Atmamız gereken adımlar
Kaynaklar kolluk kuvvetleri konusunda ciddi olmalıyız. Fidye yazılımı çetelerini bozmak sadece bir web sitesini veya karanlık bir pazarı çevrimdışı devirmekle ilgili değildir. Eğitimli personel, uluslararası yasal araçlar, güçlü finansal zeka ve siyasi destek gerektirir. Aynı zamanda zaman alır, yani siyasi sabır. Ajansların sadece kısa vadeli finansman pencereleri ve reaktif görevlerle küresel suç ağlarını sökmelerini bekleyemeyiz. Bize saldıran suç çeteleri çevik ve iyi finanse edildi. Polislik yanıtı, uzun vadeli yatırım ve sabırla desteklenen stratejik ve (en önemlisi!) Olmalıdır.
Aynı zamanda, temel siber hijyen yoluyla hala çok fazla saldırının önlenebileceği daha sıradan gerçeklikle mücadele etmeliyiz. Kuruluşlar, kimlik avı e -postaları, maruz kalan uzak masaüstü bağlantıları, kapatılmamış yazılım veya kötü şifre uygulamaları nedeniyle düşmeye devam ediyor. Temel bilgiler heyecan verici değil, ama önemli. Siber esneklik, özellikle özel güvenlik kaynaklarından yoksun ancak küresel dijital tedarik zincirinde temel bağlantılar oluşturan küçük ve orta ölçekli işletmeler arasında yükseltilmelidir.
Burası düzenlemenin devreye girmeye başladığı yerdir. AB’nin NIS2 Direktifi ve Dijital Operasyonel Esneklik Yasası (DORA) gibi daha yeni yasama çerçeveleri sadece büyük oyunculara odaklanmaz. Şimdi, tedarikçileri ve hizmet sağlayıcılarında siber riski yönetmek için düzenlenmiş kuruluşlara açık yükümlülükler sunuyorlar. Kritik bir hizmeti destekleyen küçük bir satıcıysanız, minimum güvenlik standartlarını karşılamalısınız. Ve daha büyük bir oyuncuysanız, dijital ekosistemin en zayıf noktanız olmadığından emin olmalısınız. Bu, isteğe bağlı en iyi uygulamadan düzenleyici gereksinime geçiştir ve gecikmiş.
Fidye yazılımı veya genel olarak siber suç sorunu sadece kuruluşların siber güvenliklerini nasıl yönettiğini geliştirmekle değil, aynı zamanda bu kuruluşların güvendiği teknoloji sağlayıcılarından daha iyi talep etmemiz gerekiyor. İronik olarak siber güvenlik çözümleri de dahil olmak üzere çok fazla yazılım sistemi, modası geçmiş kütüphaneler, güvensiz varsayılan ayarlar, karmaşık yama iş akışları ve güvenlik açığı açıklaması etrafında çok az şeffaflık ile gönderilir. Müşteriler, yaratmadıkları kusurları ele alma yükünü taşımak için bırakıldı ve genellikle kolayca düzeltemedi.
Bu değişmeli. Güvenli tasarım ve teminatla güvenli bir şekilde, satıcıların “siber güvenliği ciddiye aldıkları” bir pazarlama slaytında veya pinkie projelerinde sloganlar değil, gerçeğe dönüşmelidir. Satıcıların, mimari planlamadan ürün piyasaya sürülmeye, dağıtıma ve sürekli destek ve bakıma kadar, geliştirme yaşam döngüsünün her aşamasına güvenliğin inşa edildiğini göstermeleri gerekir.
AB’nin Siber Dayanıklılık Yasası gibi düzenleyici tekliflerin satıcının hesap verebilirliğini ciddiye almasını görmek cesaret vericidir. Yazılım ve donanım sağlayıcılarına daha net bir sorumluluk atayarak, ticari teknolojinin güvenlik ve güvenlik için aynı mühendislik standartlarını diğer altyapılarla karşılaması gerektiği beklentisini belirler. Sonuçta, bir otomobil üreticisi hatalı frenlere sahip araç sattıysa, bir kullanıcı kılavuzu uyarısı veya otomobil üreticisini herhangi bir sorumluluktan kurtaran bir son kullanıcı lisans sözleşmesi kabul etmeyiz. Öyleyse neden yazılım firmalarının kritik hizmetleri destekleyen güvensiz kodlara sahip ürünleri göndermesine izin vermeliyiz?
Son olarak: İşler yanlış gittiğinde, mağdurların mümkün olduğunca çok desteğe ihtiyacı var. Europol’s gibi kamu-özel girişimler “Daha fazla fidye yok” Bilinen varyantlar için ücretsiz şifre çözme araçları sağlayın ve mağdurların fidye ödemekten kaçınmasına yardımcı olun. Bunlar değerli topluluk çabaları ve daha fazlasına ihtiyacımız var, ancak onlara güvenmek için çok rahat olmamalıyız. Kurtarma araçları sistemik esnekliğin yerini tutarsa, kuruluşlar başarısız olacak şekilde kurulur.
Kök nedenlerini çözene kadar, fidye yazılımı bir sorun olmaya devam edecek
Fidye yazılımı karmaşıklık, kayıtsızlık ve teknik borç üzerine inşa edilmiş bir ortamda gelişir. Uluslararası yasal tutarsızlık, parçalanmış uygulama, güvensiz ürünler ve olası olmayan hedef olduğuna inanan kuruluşlar tarafından etkinleştirilir.
Bu gerçeklikte bir değişiklik olmadan geçen her gün fidye yazılımı gruplarını kar, örtü ve güçle ödüllendirir. Uluslararası, sürekli ve koordineli bir yaklaşıma ihtiyacımız var. Fidye yazılımı tehdidine ciddi cezai ekosistem olarak davranan biri. Bu, polislik ve istihbarat paylaşımına devam eden yatırım, bu suçluları koruyan devletlere karşı firma diplomatik yanıtlar, satıcılar için daha zorlu beklentiler ve güvenlik hijyeni bir seçenek değil, bir temel haline getirme taahhüdünün yenilenmiş bir taahhüdünü anlamına geliyor.
Fidye yazılımı gitmiyor. Ona attığımız her savunmaya gelişiyor, büyüyor ve uyum sağlıyor. Basitçe semptomları tedavi etmeyi ve hastalığı iyileştirmeye başlamamızın zamanı geldi.