Mathew Schwartz: Bunun sizi şok edebileceğini ve şaşırtabileceğini biliyorum. Ancak uzmanlar aynı fikirde. Saldırganların çalınan verileri silme sözü karşılığında asla fidye ödememelisiniz. Bunu yapmak enayiler içindir, suçlulara karşılığında hiçbir şey için para veriyorsunuz. Birçok kurban, çalınan verileri korumak ve belki de itibarlarını kurtarmak için bir şeyler yapma dürtüsünü hissedecektir. Ve bu dürtü anlaşılabilir, övgüye değer. Ancak Coveware’in CEO’su Bill Siegel’in bana çok az, çok geç olduğunu söylediği gibi.
Bil Siegel: Güvenlik duvarlarından çıkan verilerle birlikte gittiler, korumayı başaramadılar ve çalındı. Ve fidye ödemek bunu düzeltmez veya iyileştirmez. Açıkçası sorunu şiddetlendirebilir. Yani bu durumlarda da ödeme yapmanıza gerek yok çünkü veriler ortada ve diş macununu tekrar uca koyamazsınız.
Schwartz: Yine, denemek ve hasarı düzeltmek için bir şeyler yapma dürtüsü anlaşılabilir. Ancak konuştuğum diğer uzmanlar, saldırganların herhangi bir veri silme taahhüdünü yerine getirmeleri için para almış olabilecekleri hiçbir vakayı bilmediklerini söylediler. İşte Recorded Future’dan fidye yazılımı analisti Allan Liska.
Alan Liska: Verilerinizi silmeyecekler, sadece düzleştirin, verilerinizi silmiş gibi yapacaklar, bir kopyasını çıkaracaklar ve ardından güvenli bir şekilde silecek ve önünüzde büyük bir gösteri yapacaklar. kopyanın silinmesi, hatta orijinalin silinip kopyanın saklanması. Ancak verilerinizi silmeyecekler. Bunu defalarca gördük. Ve organizasyonların bunun tamamen farkında olduğunu düşünüyorum. Öyleyse soru şu hale geliyor: Verilerin kaldırıldığı yanılsamasının bedelini ödeyecekler mi? Ve bunun cevabını bilmiyorum. Verileriniz ne olursa olsun orada olacaksa, kötü adam bunu şantaj sitelerinde gururla sergileyecek mi? Bir yeraltı forumunda sessizce mi satacaklar? Bunu kabul etmek isteseniz de istemeseniz de aslında bunun için para ödüyorsunuz.
Schwartz: Allan’ın değerlendirmesi kulağa iç karartıcı gelse de gerçek bu.
Delaney: Peki Matt, bu tür fidyeleri ödemeye karşı herhangi bir yasak var mı?
Schwartz: Bildiğim kadarıyla hayır. ABD, İngiltere ve diğer birçok ülkedeki yetkililer, yaptırımları ihlal etmemesi koşuluyla bunu yasaklamıyor. Yetkililer, fidye ödemeyi seçmenin ticari bir karar olduğunu söylüyor. Bununla birlikte, iş açısından bakıldığında, burada bazı nüanslar var. Örneğin, Coveware’den Bill Siegel, bazen bir işletmenin bir saldırıdan kurtulmasının tek yolunun şu olduğunu söylüyor: eğer işe yararsa, şifresini çözmek için çalışıyoruz ve umarım o şifre çözücüyü geri alırız. Ancak burada genellikle fidye ödemeleri karşılığında bir şeyler alıyorlar.
Siegel: Bir şifre çözme aracı veya anahtarı için fidye öderseniz ve şifre çözme aracı veya anahtarı alırsanız, bozulmaz, kaybolmaz. Kötü oyuncular bunu geri alamazlar. Ve sonra, diyelim ki, şirketinize saldırırız ve önceden doğru özeni ve testi yaptıysanız, umarız verilerinizi kurtarabilirsiniz. Yani, hızlı bir şekilde, değer getiren bir şey için para ödemiş olsanız da olmasanız da, çünkü anahtar çalışır veya çalışmaz. Veri hırsızlığı ile karşılığında hiçbir şey almazsınız. Verileri yönlendiren tehdit aktörlerini denetleyemez. Bilgilerin zaten satılıp satılmadığını görmek için siber suç forumunun her köşesine bakamazsınız. Kötü aktörün daha sonra geri gelip organizasyonu yeniden gasp edip etmeyeceğini söylemenin bir yolu yok ve birçok durumda bunun gerçekleştiğini görüyoruz.
Schwartz: Yine, uzmanların savunması, iyi hissetmek için değil, yalnızca gerçek bir şey için ödeme yapmaktır.
Delaney: Öyleyse, kaç kurban boş vaatler için para ödüyor?
Schwartz: Ne yazık ki fidye yazılımı hakkında bilmediğimiz çok şey var. Birçok saldırı asla gün ışığına çıkmaz. Birçok kurban onları asla bildirmez. Ancak veri silme vaatleri için ödeme yapmak yeterli bir sorun gibi görünüyor, bu yılın başlarında İngiltere’nin gizlilik gözlemcisi ICO ve ayrıca GCHQ’nun bir parçası olan Ulusal Siber Güvenlik Merkezi, avukatlardan müvekkillerine asla tavsiyede bulunmaya çağıran ortak bir savunma yayınladı. veri silme sözü için fidye ödeyin. ICO, bunun herhangi bir para cezasını azaltmayacağını da vurguladı. Kötü siber güvenlik uygulamaları için ücret alınabilir. Bütün bunlar, birçok fidye yazılımı grubunun gasp konusunda uzman olduğunu hatırlatıyor. Yardım etmek için kullanılacak psikolojik araçları biliyorlar – ve burada ironik bir şekilde yardım kelimesini kullanıyorum – kurbanların pisliği temizlemesine yardımcı olmak için. “Bize daha fazla ödeyin. Bir sürü kötü şey yapmış olmamıza rağmen bu durumda bize güvenebileceğinize söz veriyoruz” diyorlar.
Delaney: Yani buradaki çıkarım, kurbanların ne zaman oynandıklarını bilmeleri gerektiği gibi görünüyor.
Schwartz: Evet, bu mevsimsel bir bağlama oturtulabilir, Anna. Ren geyiği oyunlarını oynamayın.
Delaney: Genel Veri Koruma Yönetmeliği de dahil olmak üzere Birleşik Krallık’ın gizlilik yasalarını uygulayan ICO, 2021’in dördüncü çeyreğinden bu yana kişisel verilerin ihlalleri, veri sahibi şikayetleri ve yürüttüğü hukuk soruşturmaları hakkında ayrıntılı bilgiler içeren büyük veri kümeleri yayınladı. Göreceli bir tanıtım eksikliği ile gelen , çok sayıda organizasyonun dahil olduğu olayların maskesini düşürdü. Ropes & Gray hukuk firmasında veri gizliliği ve siber güvenlik grubunun bir çalışanı olan Edward Machin’e kuruluşların bir veri öznesi şikayetinin merkezinde yer almaktan kaçınmak için hangi pratik adımları atması gerektiğini sordum.
Edward Makine: Evet, bence ihlal açısından listede olmanın garip bir yolu en kötü şey değil çünkü yasalara uyduğunuzu gösteriyor, kuruluşlar bir ihlaliniz varsa bildirilebilirlik açısından her iki şekilde de gidebileceklerini düşünüp düşünmeyecek. Listeye girmemek için rapor vermiyorlar mı, bu bazı kuruluşların düşündüğü bir şey olabilir, her ne kadar yapılacak doğru şey rapor etmek olsa da. Diğer yönler açısından, her zaman tavsiye ettiğimizden hiçbir şeyin değişmediğini düşünüyorum. Şikayetleriniz varsa, konu istekleriniz varsa, bunlarla doğrudan ilgilenmeye çalışmak her zaman en iyisidir. Başınızı kuma gömmeyin, bireyle veya şikayetçiyle bir çözüm bulmaya çalışın, çünkü bu muhtemelen ICO’yu düşünmedikleri anlamına gelir ve eğer ICO’ya gitmezlerse, bu durumda şikayet Excel’de listelenmeyecektir. Dolayısıyla, örneğin çağrı merkezi çalışanlarından birine ulaşan şikayetlerin nasıl görüneceğini belirlemeye yönelik süreçler ve prosedürler yürürlükteyse, bu kişi şikayeti iletmesi ve ilgili zaman dilimleri içinde tasnif etmesi gerektiğini biliyor mu? Ve bu süreçleri yerine oturtmak zor gelse bile, bence artık işletmeler bunu yapmazlarsa listeye girebileceklerini görecekler. Ve birden çok listede birden çok kez listelenen bazı kuruluşlar, büyük ölçüde kamu sektörü kuruluşları vardır. Ve bir noktada, ICO’nun aynı adı tekrar tekrar görmeye başlaması söz konusu olabilir. Ve daha fazla işlem yapılmadan kapatılan bir eylem, ileriye taşıdıkları bir şey olabilir. Dolayısıyla, bu listelerin ileride ICO’nun yapacağı bir şey gibi görünmesi, bireylerin kafalarını kuma gömmemeleri konusundaki şikayetlerine kesinlikle benziyor. Bu nedenle, devam etmek istemiyorsanız, bir talepteki şikayetleri olabildiğince hızlı ve dostane bir şekilde ele almaya çalışmak için süreçleri ve prosedürleri uygulamaya koymaktır.
Delaney: Siber güvenlik gazisi ve Fidye Yazılımı Görev Gücü eş başkanı Jen Ellis, son olarak, hükümetler ve savunucuların fidye yazılımı sorununun kapsamını daha iyi anlamak için büyük adımlar attığını ve sorunu ortadan kaldırmak için adımlar attığını söylüyor. Yönetici editörümüz Mathew Schwartz, düşünce kuruluşu RUSI tarafından üstlenilen yeni bir proje de dahil olmak üzere fidye yazılımlarıyla mücadeleye yönelik son çabaları tartışmak için kısa bir süre önce Black Hat Europe’da Jen ile bir araya geldi.
Jen Ellis: Yani RUSI, Kraliyet Birleşik Hizmetler Enstitüsüdür. Çok çeşitli şeyleri kapsıyorlar, ancak son zamanlarda siber güvenlik alanında bir şeyler yapmaya başladılar ve bu alanda iyi bir itibar kazandılar, çünkü iş güvenilir. Bu nedenle, Birleşik Krallık Hükümeti’nin bir parçası olan Ulusal Siber Güvenlik Merkezi olan NCSC tarafından zararın ne olduğunu, etkisinin ne olduğunu ve fidye yazılımı saldırılarının neden olduğunu araştırmak üzere görevlendirildiler. Ve size fidye yazılımı görev gücü bakış açısıyla söyleyebilirim ki, bununla başa çıkmak istedik, bunu insanlar için daha somut hale getirebilmek ve “Ekonomi üzerindeki etki bu ya da etki bu” diyebilmek istedik. insanların hayatları üzerine.” Ve onu bir şekilde ölçebilmek ve bir şekilde nitelendirebilmek ve onu insanlaştırabilmek. Ve bu zor çünkü insanlar hikayelerini paylaşmak istemiyor. Ve kolluk kuvvetleri veri paylaşmak istemiyor ve kimse veri paylaşmak istemiyor. Ve bu yüzden, bunu yapabilme noktasına gelmenin son derece zor olduğunu gördük. Ve şimdi RUSI bu zorluğun üstesinden geldi ve “bir şey bulup bulamayacağımıza bakacağız” dedi ve bir akademik kurumla ortaklık kuruyorlar ve bence bu onlara bu konuda ilerleme yeteneği veriyor. yüksek disiplin ile sıkı bir yol. Ve bence bunu dinleyen birinin paylaşmak istediği bir hikayesi varsa, o zaman mutlaka onlarla iletişime geçmelisiniz yoksa bana ulaşabilirsiniz, ben de sizin için onlarla iletişime geçerim. Hangi Mastodon’a sahip olduğunuza bağlı olarak şu anda ya Twitter’da ya da LinkedIn’de ya da aslında Mastodon’dayım. Deneyimli ve hikayelerini paylaşmaya istekli insanlardan duymamıza ihtiyaç duydukları ve isimlerini gizli tutmaktan mutluluk duydukları şeyler. Her şey bir araya gelecek. Bunu yapmak için boynunuzu çok fazla uzatmanıza gerek yok.
Delaney: ISMG Güvenlik Raporundan bu kadar. Müzik Ithaca Audio’ya ait. Ben Anna Delaney’im. Bir dahaki sefere kadar çok mutlu Noeller.