Büyük çaplı siber saldırılarla etkili mücadele için hızla “Siber Olaylara Müdahale Ekipleri” SOME kurmak gerekli.
Dünya 21 Ekim’den bu yana ABD merkezli DDos (servis dışı bırakma) saldırısını konuşuyor ve bu tarz saldırıları bertaraf etmek için SOME şart. Siber suç tarihine geçen eylemin boyutu ve hedef aldığı nokta, saldırının etkisini artırdı. KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Şirket Ortağı Sinem Cantürk siber saldırının nasıl gerçekleştiğini detaylarıyla açıkladı, giderek daha ciddi ve organize hale gelen siber suçlara karşı nasıl önlem alınabileceğini anlattı:
Nereden saldırdılar?
ABD’de lider bir DNS (alan adı sistemi) kuruluşu, 21 Ekim 2016’da siber saldırganlar tarafından hedef alındı, sunduğu hizmetler kesintiye uğratıldı. Söz konusu saldırıya konu olan kuruluşun hizmet olarak sunduğu DNS altyapısı 1980’li yılların ortasında internet kullanımını kolaylaştırmak amacıyla ortaya atılmış merkezsizleştirilmiş bir rehber hizmeti olarak tanımlanabilir. İnternet altyapısı oluşturulurken IP adreslerini ezberlemenin zorluğu fark edilince DNS sistemi devreye sokuldu. Alan adları, IP adresleriyle eşleştirildi. Bu sayede günümüzde hiçbir sitenin IP adresini ezberlemeye gerek kalmıyor.
Nasıl saldırdılar?
21 Ekim’de yapılan saldırı da ilgili alan adı sistemi üzerinden gerçekleşti. Saldırganlar milyonlarca cihaz üzerinden DNS çözümleme talepleri gönderdi. Çok miktarda taleple karşı karşıya kalan kuruluş, gerçek kullanıcıların isteklerine cevap veremez hale geldi. ABD merkezli küresel çapta birçok şirket, söz konusu kuruluştan DNS hizmeti alınması ve DNS yapısının iletişimsel altyapısı sebebiyle erişilemez hale geldi. Saldırı ABD’nin her bölgesini etkiledi. Devamında Avrupa’da da erişim sıkıntısı yaşandı. Saldırının etkisi Türkiye’de de hissedildi.
Neden etkili oldu?
Saldırının bu kadar başarılı olmasındaki asıl sebep milyonlarca cihaz üzerinden gerçekleştirilmesiydi. Saldırının geldiği cihazların büyük bir kısmının internete açık çalışan kameralar olduğu tespit edildi. Kullanılan zararlı yazılımın (Mirai) varsayılan
kullanıcı adı ve parolalar üzerinden kameralara erişerek yayıldığı belirlendi. Kamera cihazlarının çoğu ön tanımlı veya basit şifrelerle kullanıldığından saldırganların bu cihazları ele geçirmesi hiç de zor olmadı.
Ne yapmak gerek?
Kurumlar gün geçtikçe daha ciddi ve organize siber saldırılarla karşı karşıya kalıyor. Siber saldırılara karşı yüzde 100 önlem almanın imkânsız olduğu uluslar ve kuruluşlar düzeyinde fark edilmeye başladı. Saldırıya uğrayan kurumların büyüklüğü veya siber güvenlik alanında yaptığı harcamalar saldırganların yeni yöntemler geliştirerek sistemlere saldırmasını engelleyemiyor. Burada kuruluşlara düşen görev, SOME kavramını benimsemek.
Türkiye’de SOME konusundaki çalışmalar Bakanlar Kurulu kararıyla kurulan Siber Güvenlik Kurulu ve Telekomünikasyon İletişim Başkanlığı (TİB) bünyesindeki Ulusal Siber Olaylara Müdahale Merkezi (USOM) yönetiminde son zamanlarda hızlanarak ilerliyor. Devlet kurumlarında ve özel sektörde yapılandıracak olan ekipler birbiriyle iletişim halinde saldırılara karşı koordineli tepkiler verebilecek.
Müdahale ekiplerinin yanı sıra henüz saldırı gerçekleşmeden tehdit ve zaafiyet analizlerinin yapılması gerekiyor. Her kuruluşun stratejisi, bilgi teknolojileri bölümlerinde ve kuruluşta bilgi güvenliği kültürünü yaygınlaştırmak ve son kullanıcıların farkındalık seviyelerini artırmak olmalı. SOME oluşumlarının etkin biçimde sektörlerde yer alması tehditleri azaltacaktır. Kuruluşların öncelikli olarak SOME personellerini aktif yapılandırması çok önemli.
SOME denetimini kim yapacak?
Akıllardaki soru SOME ekiplerinin varlığının ve yeterliliğinin denetimi. Kurulacak ekiplerin verimli ve efektif çalışıp çalışmadığının denetiminin hangi kurumlar tarafından hangi standartlara göre belirleneceği henüz netleşmiş değil. Bakanlığın şu anki çalışmaları düzenleyici ve denetleyici kurumların belirlenmesi yönünde.