İngiltere Ulusal Suç Ajansı’nda (NCA) siber istihbarat başkanı William Lyne, gelişen fidye yazılımı ekosistemi, hizmet olarak fidye yazılımı arkasındaki iş modelleri ve zarar azaltmada bozulmanın rolü ile röportaj yaptık. NCA’nın yaklaşımının nasıl değiştiğini, üretken AI’nın resme nasıl uyduğunu ve etkili kamu-özel işbirliğinin neden gerekli olduğunu paylaşıyor.
NCA’nın rolünü ve siber suçları nasıl ele aldığını kısaca açıklayabilir misiniz?
NCA, aslında İngiltere’nin özellikle ciddi ve organize suçlara odaklanan ulusal kolluk kuvvetleridir ve tamamen suçlu bir görev ile. NCA’nın siber unsuruna Ulusal Siber Suç Birimi veya NCCU denir ve bu alana açık bir şekilde odaklanarak siber suçlara ulusal tepkiyi yönlendirir ve koordine ederiz.
Özellikle, “siber bağımlı suç” olarak adlandırdığımız şeye odaklanıyoruz, bu da kuşkusuz, şimdi biraz modası geçmiş bir terim. Yalnızca bir bilgisayar kullanarak işlenebilecek suçları ifade eder. Fidye yazılımı bunun en iyi örneğidir – bu çevrimiçi ortama özgü bir suçtur.
Öte yandan, “siber özellikli” birçok suç var. Bunlar, geleneksel, çevrimdışı yöntemler kullanılarak işlenebilecek suçlardır, ancak teknoloji onları suçlular için çok daha ölçeklenebilir, verimli ve karlı hale getirir. NCA’nın siber kolu olarak NCCU, İngiltere genelinde ciddi ve organize siber suç tepkisini yönlendirir ve koordine eder. Hükümet genelinde meslektaşlarımızın yanı sıra Londra Şehri Polisi’ndeki ortaklarımızla ve ülke çapında kuvvetler ve bölgesel organize suç birimleri ile yakın çalışıyoruz.
Hem ulusal hem de uluslararası ortaklarımızla işbirliği içinde bir ekip çabası.
Siber güvenlik alanındaki geçmişiniz, NCA’da çalışmaya nasıl geldiğiniz ve rolünüzde günlük nasıl göründüğü hakkında biraz paylaşabilir misiniz?
Aslında kolluk kuvvetlerinde bir işe girdim. NCA ile yaklaşık 15 yıl geçirdim, çeşitli rollerde çalıştım. Bu, Afganistan’da bir irtibat memuru olarak hizmet etmeyi ve Washington DC’deki FBI siber bölümüne irtibat görevlisi olarak görev yapmayı da içeriyordu. Ayrıca ajans içinde çeşitli istihbarat ve soruşturma ekiplerine liderlik ettim ve son zamanlarda NCA için siber zeka başı oldum.
Bu rolde iki gün aynı değildir. Birçoğu, karşılaştığımız tehditleri anlamak ve bu tehditlere etkili yanıtlar vermek için bir araya getirmeyi ve lider ekipleri getirmeyi içerir. Çevrimiçi ortamın doğası ve rolüm göz önüne alındığında, işimin çoğu, beklediğiniz gibi birçok toplantı ile masa tabanlıdır.
Bu alanda çalışmanın en büyük yönlerinden biri, her gün gerçekten farklı olmasıdır. Örneğin, bu öğleden sonra Londra Şehri Polisi’nden ortaklarla bir toplantı yapıyorum, bu hafta daha sonra çeşitli polis ortaklarıyla bir koordinasyon toplantısına başkanlık ediyorum ve yarın ABD kolluk kuvvetlerinden meslektaşlarıyla görüşeceğim.
Geçen hafta, NCCU bazı özel sektör ortaklarımızla bir toplantı düzenledi, bu yüzden endüstri ile de çok fazla katılım var. Toplantılar, koordinasyon ve masa tabanlı çalışmanın bir karışımı, ancak gerçekten ödüllendirici ve keyifli bulduğum bir rol.
Fidye yazılımının önemli bir ulusal güvenlik endişesi haline geldiği açıktır. Bu noktaya nasıl geldiğimiz ve fidye yazılımının neden bu kadar hızlı bir şekilde bu kadar hızlı bir şekilde geliştiğini anlatabilir misiniz?
Evet, gerçekten ilginç, değil mi, fidye yazılımının niş bir siber suç sorunu olmaktan nispeten kısa bir süre içinde önemli bir ulusal güvenlik kaygısına nasıl gittiğini. 2010’ların sonlarında, pek çok insanın radarında değildi, ancak gezinin yararına, fidye yazılımının bugünkü sorun haline gelmesi için tüm malzemeler zaten oradaydı.
Bunu düşünmeyi sevdiğim şey, geniş bir siber suç ekosistemi olması ve tehdit aktörlerinin, birçoğu hizmet olarak sunulan ve kiralanabilen veya satın alınabilen çeşitli yeteneklere, araçlara ve hizmetlere erişimi olan bu ekosistem içinde faaliyet göstermesidir. Tüm malzemeler belirli bir noktada bir araya geldi ve fidye yazılımı hızlı bir niş sorunundan gerçekten akut bir soruna hızla hızlandı.
Sanırım 2021, ABD’de, fidye yazılımlarını gerçekten kamu bilincine getiren JBS gıdaları ve sömürge boru hattını içeren olaylar gibi önemli bir saldırı gördüğümüz önemli bir andı. Bu noktadan ve muhtemelen biraz daha önce – Ulusal Siber Suç Birimi ve NCA’nın daha geniş siber suç çalışmaları için büyük bir odak noktası haline geldi.
Fidye yazılımını, ekosistemin fidye yazılımlarının bir sonucu olmaktan ziyade, bu daha geniş siber suç ekosisteminin bir belirtisi veya ürünü olarak görüyoruz. Fidye yazılımı, ondan ortaya çıkması için en yeni ve en akut tehdittir. Ekosistemin kendisi özellikle ilginçtir, çünkü birçok çevrimiçi tehdidin temelini oluşturur. Örneğin, sofistike iş e -posta uzlaşması (BEC) sahtekarlığı yapmak için kullanılan aynı araçlar ve adımlar genellikle fidye yazılımı işlemlerinde kullanılanlara benzer.
Bu nedenle, bu siber suç ekosistemini “çapraz tehdit sağlayıcı” olarak tanımlıyoruz çünkü sadece fidye yazılımı veya tamamen siber bağımlı suç değil, bir dizi çevrimiçi suç faaliyetini destekliyor. Sorun alanı büyüleyici kılar, ancak bu tehditlerle etkili bir şekilde başa çıkmak istiyorsak, dar tanımların ötesine bakmamız ve daha geniş ekosistem açısından düşünmemiz gerektiği anlamına gelir.
Siber suç manzarasını şekillendiren üretken yapay zeka nasıl görüyorsunuz – ve özellikle fidye yazılımı operasyonları üzerindeki etkisi olabilir?
Evet, bu gerçekten ilginç bir soru, değil mi? Siber suçlular-özellikle fidye yazılımı tehdit aktörleri-söz konusu olduğunda oldukça kararlı durum olma eğilimindedirler. Genellikle sadece şu anda yaptıkları daha az karlı hale gelirse veya önemli ölçüde daha fazla para kazanmak için yeni bir fırsat bulurlarsa yaklaşımlarını değiştirirler.
Bazen fidye yazılım gruplarını son derece sofistike, ince ayarlanmış operasyonlar olarak düşünmeyi seviyoruz. Ama aslında, duyduğum daha doğru bir karşılaştırma, kaotik teknoloji girişimlerine benziyorlar-genellikle dağınık, her zaman verimli değil ve kesinlikle insanların hayal edebileceği dikey olarak entegre suç işletmeleri değil. Bu anlamda, muhtemelen yeni teknolojileri benimsemek için birçoğunun beklediğinden daha yavaşlar.
Bununla birlikte, evet – tıpkı daha geniş teknoloji alanındaki herkesin nasıl kullanılacağını araştırıyor gibi AI’yi benimseyecekler. Şu anda AI’nın fidye yazılımı manzarasında devrim yaptığını söyleyemem, ancak siber suç iş modelinin çeşitli aşamalarında rol oynamaya başlıyor.
Keşif, kimlik avı, sömürü, gasp olsun – jeneratif yapay zeka olsun, siber suç operasyonunu çalıştırmak için gereken adımlara baktığınızda, bu adımların her birini biraz daha kolaylaştırabilir. Araçları daha erişilebilir, iş akışları daha verimli ve aktörleri daha üretken hale getirir. Bu noktada ekosistemi tamamen dönüştürmek yerine, tehdit aktörlerinin yeteneklerini kademeli olarak geliştiriyor.
Ama sonunda bir şeyler devrim yaratabilir mi? Evet, bence olabilir. Henüz olmadı – ama kesinlikle bu yöne gidiyoruz.
Mevcut yasal ve yargı çerçevelerinin siber suçla mücadelede uygulama çabalarını ne kadar iyi destekliyorsunuz? En önemli boşlukları veya engelleri nerede görüyorsunuz?
Demek istediğim, evet, her ne olursa olsun ortaklarla çalışmak ve işbirliği yapmak, yani yasal, yargı veya operasyonel olsun, her zaman bir çeşit engelin üstesinden gelmeniz gerekir.
Ama aslında, sanırım ulusal olarak nasıl çalıştığımız, kolluk kuvvetleri ve daha geniş Birleşik Krallık hükümet sistemi arasında ortaklık kurduğumuz konusunda çok daha fazla birleştirildik ve sofistike olduk. Ayrıca uluslararası ortaklarımızla gerçekten güçlü ilişkilerimiz var. NCA, beş göz ortağımızla (Australia, Yeni Zelanda, Kanada, ABD) ve Fransa, Hollanda, Almanya ve diğerlerinde Avrupalı meslektaşlarımızla mükemmel bağlara sahiptir.
Ortakları bir araya getirmek için genellikle Interpol ve Europol gibi çok taraflı platformları kullanırız ve yaptığımız işin büyük bir parçasıdır. Tabii ki, bu şekilde çalışırken engeller var, ancak faydalar zorluklardan çok daha ağır basıyor. Farklı kaynakları, uzmanlığı, perspektifleri ve yetenekleri bir araya getirmek inanılmaz derecede güçlüdür.
Vurduğum son nokta özel sektör. Çevrimiçi tehditler, tehdit manzarasını anlamak ve etkili yanıtlar sunmak için neden endüstri ile yakın çalışmamız gerektiğinin en iyi örneğidir. Bu, diğer ciddi organize suç alanlarından oldukça farklı. Örneğin, bir uyuşturucu kaçakçılığı soruşturması yürütüyorsanız, anlayışınızı veya yanıtınızı şekillendirmek için genellikle özel şirketlere veya tehdit istihbarat firmalarına danışmanız gerekmez. Kolluk kuvvetleri bu alana sahiptir ve uzun zamandır yapmıştır.
Ancak çevrimiçi tehditlerle, özel sektör ortaklarıyla derin işbirliği ihtiyacını kabul ediyoruz. Tehditleri daha iyi anlamamıza yardımcı olurlar ve taktik tepkileri şekillendirmeye ve sunmaya yardımcı olurlar. Yani, evet, kesinlikle zorluklar var – farklı kurallar, düzenlemeler, yasama çerçeveleri – ancak işbirliğinin faydaları bu engellerden büyük ölçüde ağır basıyor.
Özel sektör kuruluşlarından, önleme, yanıt ve kolluk kuvvetleri ile stratejik işbirliği açısından daha ne görmek istersiniz?
Her zaman daha fazlasını yapmak için zorlamalıyız, değil mi? Ve bu sadece özel sektör ortaklarının veya sadece kolluk kuvvetlerinin sorumluluğu değil, birbirimizi yarıya kadar karşılamalıyız.
Hepimiz aynı şeyi birçok yönden istiyoruz: halkı korumak, savunmasız insanları ve organizasyonları korumak ve genellikle doğru şeyi yapmak. Bu, ortaklarımızla “yağmurlu bir gün” ile bağlantı kurmakla ilgilidir, böylece zaman geldiğinde, temaslar ve güven birlikte ilerlemek için oradadır.
2024 yılında NCA olarak – Yayından Kaldırılar ve Yaptırımlar gibi, ulusal ve uluslararası kolluk ortaklarımızın yanında özel sektör ortakları olarak adlandırılan Evil Corp’a karşı çalışıyor. Umarım bu, bu özel sektör ortaklıklarının tehditleri anlamamıza ve etkili yanıtlar vermemize yardımcı olduğunu fark ederek işbirliği içinde çalışma yolculuğunda olduğumuzu gösterir.
Son olarak, güvenlik liderliğindeki daha fazla insanın siber suçlu ekosistem hakkında anlaşılmasını dilediğiniz bir şey nedir?
Sanırım bunu zaten söyledim: Hepimiz aynı şeyi istiyoruz ve güvenlik liderliği topluluğundaki birçoğu ekosistem ve tehdit manzarasının anlayışını zaten paylaşıyor. İnsanlar bu perspektifle girdiklerinde, perspektifleri ve etkinlikleri çok daha iyi hizalamaya yardımcı olur.
Bize ulaşmak, sorunu anlamamıza yardımcı olmak ve yanıtı yönlendirmeye yardımcı olmak gerçekten önemlidir ve “paylaşmaya cesaret” tutumuna sahip olmaktan çok bahsediyoruz. Ne yaptığımız konusunda daha ilerici ve açık olmak için uzun bir yol kat ettik ve ortaklarımızın çoğu aynısını yapıyor.
Ama tüm ilişkiler gibi, her zaman üzerinde çalışmaya devam etmelisiniz. Tehdit aktörleri ve tehdit manzarası sürekli değişiyor ve yenilik yapıyor ve devam etmek için çok ve işbirliği içinde çalışmalıyız. Ekosistemdeki tehdit aktörlerinin hiçbiri, yaptığımız işbirliği konusunda aynı zorluklarla karşılaşmaz, bu yüzden daha fazlasını yapmaya ve daha iyi yapmaya zorlamaya devam etmek bizim üzerimizde.
