Bir hafta da 1 milyar insanın bilgisi çalındı!

İki gün önce 500 milyon linkedln kullancısının datası ele geçildi.

Ardından 1.3 milyon Clubhouse kullanıcısının kişisel verileri ele geçirildi.

Geçen hafta Yemek Sepetinin 21 milyon kullanıcısının datası ele geçirilmişti.

Birkaç gün önce de 500 milyon üzeri Facebook kullancısının (20 milyonu Türk kullanıcı) datası sızmıştı.(Nedense Facebook da bu durum iki, üç yılda bir yaşanıyor)

Yani son bir hafta da yaklaşık 1 milyar kullanıcının kişisel bilgileri şu an başka ellerde. 

Bazı küçük-büyük çaplı şirketler bu tür çalınma-sızıntıları duyurmamayı da göze alabiliyorlar. Target, SEC vs. gibi birçok şirket aradan geçen 300-400 gün içinde bile gerçekleri anlatmaktan uzak durmuştu. 

Hatırlayalım Yahoo ve Sony, bilgileri çaldırdıktan sonra büyük hatalar yapınca son geldikleri nokta ikisininde vahim oldu. (Sony, ihtimal iflas ile karşı karşıya kalacak) 

Nitekim Facebook ve Linkedln de bu bilgilerin çalındığını kendileri duyurmadı. Bazı yetenekli mühendisler veya Business Insider gibiler olmasa duyma imkanımız yoktu.(Bir diğer iddiaya göre Facebook’tan sızan bilgiler aslında 2019’da çalındığı ve yeni ortaya çıktığı iddiası…)

Peki çalınan bilgiler ile ne yapabilirler?

Banka hesabı açılabilir,

Yeni telefon hatları alınabilir, 

Alış veriş yapabilir,

Kredi çekilebilir, 

Fişleme yapabilirler…vs.

Kişisel bilgi bir anlamda -yapay zeka çağında- para demektir.

Siber güvenliğin temelinde bilgi ticareti yattığı için bu mesele her daim karşımıza çıkmaya devam edecek. Ele geçirilen bilgileri stratejik hale getirip -data- satmak büyük para kazandırabiliyor. (Sadece bilgileri çalan kişiler minimum 250.000 dolarlardan 3-4 milyon dolarlara veya daha fazlasına meblağlara bilgileri satabiliyorlar. Tabi o bilgileri alanların yapacağı ticaret hacmi ise şu an ki facebook, linkedln’in yıllık kazançlarına bakınca az çok bir fikir verebiliyor)

ABD’de Kimlik Hırsızlığı Kaynak Merkezine göre, son on yılda 5.500'den fazla veri ihlali yapılmış. Bu, yılda 550 veri ihlali demektir. Yani günde 1'den fazla ihlal yapılıyor.

Bu mevzu da bir diğer ayrıntı, bu sistemleri yapanların en iyi yazılımcıları dahi sistemin zaaflarını tam kapatamıyor. Ponemon Enstitüsüne göre, ‘’ABD şirketleri sistemlerine bir sızma olduğunu ortalama 200 günde saptayabiliyor. Üstelik çoğu zaman bu ihlalin farkına ancak başka bir şirketin uyarısı sonucu varabiliyorlar.’’

Nitekim ‘’Target, Sony Pictures, Equifax, Home Depot, Maersk, Merck ve Saudi Aramco gibi firmalara yönelik yüksek profilli siber saldırılar her geçen gün artıyor.’’

Şu gerçeği kabul etmemiz lazım. Andy Bochman diyor ki; ‘’Organizasyonunuz ne kadar en yeni siber güvenlik donanımı, yazılımı, eğitimi ve personeline para harcarsa harcasın ya da ana sistemini diğerlerinden ne kadar ayrı tutmaya çalışırsa çalışsın, nafile. Eğer misyonunuz bakımından kritik olan sistemleriniz dijitalse ve şu ya da bu biçimde internetle bağlantılıysa (siz olmadığını sansanız dahi büyük olasılıkla öyledir) asla tam anlamıyla güvenli hale getirilemez. Nokta.’’

Güvenlik uzmanı öncülerinden Willis Ware ise ''tümüyle güvenli denebilecek tek bilgisayar, kimsenin kullanmadığı bilgisayardır'' ifadesini kullanıyor.

Bu meseleler ne yazık ki siyasi-sosyal magazin kadar halkın ilgisini çeken meseleler olmadığı için, topluma bu meselenin dünyanın cennet-cehennemi meselesi olduğu kadar önemli olduğunu haliyle anlatmak çok zor oluyor.

Lüks ve detay gerektiren bir muhabbet-alan olarak görülüyor. Keşke günlük kazanılan rızkın önemi kadar önemli olduğunu anlatabilsek. Heyhat. Mevzu ne bir komplo ne siyasi ne de romantik bir mevzu. (Bir önceki makale de üzerinde farklı yönleri ile ele almıştık)

Konu, bir anlamda ileriye dönük özgürlüğün kısıtlanması, şirketler, toplum yönetimi, aile yönetimi, insan-robot dönemi vs… gibi bizi bizatihi ilgilendiren ayrıntılar içeriyor. (Fortune 500 CEO’larının %71’i bugün bir teknoloji şirketi yönettiği hakikati önümüzde duruyor. Maddi akış süreci tamamen yer değiştiriyor. Daha önceki zamanlarda bu yüzdelikte -İlaç, Sanayi, Perakende, Banka vs- gibi farklı sektörler hakimdi.)

Evet, meseleyle ilgili Identity'den Rasmussen konunun vehameti açısından bu işleri yapanların niyetini şöyle izah ediyor, "Asıl mesele kişi hakkında ele geçirebileceğin kadar veri ele geçirmek. İsmini alırsın, sonra e-posta adresi, telefonu, adresi, kredi kartı numarası, şifresi, gerekirse farklı kaynakları kullanarak tüm verileri toparlarsın"

Aslında mesele çok net. Ve parasal desteği olan ve bu konu da azmeden bir hacker muhakkak bir kapı bulup girebildiği bir sistem de, aylık düzenli kazancı olan, para-ev arasında mekik dokuyan, sosyal medyadaki siyasi magazinle vakit geçirerek günlük haz dopaminini alan insanlık, okuduğu bu ifadeleri de bir internet sitesinde yere alan sıradan bir haber niteliği olarak görecektir. 

Bu düşücedeki arkadaşlar ihtimal makalenin ilk cümlelerinde ‘’yapay zeka, robot, bilgi çalınmış, hesaplar ele geçirilmiş vs…’’ gibi kelimeleri gördükten sonra sayfayı hemen terk etmiş olacak. (12-13 yıldır Google analitikten bu verileri takip ettiğimiz için somut bir bilgi olarak yazıyorum)

Keşke Sjouwerman’ın aktardığı şu bilgi onlar bir şey ifade edebilseydi; ‘’Yapılan bir deney de, marka patronundan geliyormuş gibi bir e-posta gönderilerek tuzak kuruluyor. Çalışanların %40'ının bu tuzağa düştüğü görülüyor.’’

Farklı bir veri de ise güvenlik, istihbarat, sosyal hayata müdahale vs... gibi alanlara her geçen yıl saldırı daha fazla artarak devam ediyor. Kişisel -veri- şantajları nedeniyle intihar oranlarında da ciddi artış var.

Ne yazık ki bu konuda birçok uzman daha şimdiden ümidini kaybetmiş durumda. Eski güvenlik şeflerinden Bob Lord Wall Street Journala verdiği röportajda "Şirketin güvenlik sorumlularıyla konuştuğumda bir çeşit kadercilik görüyorum. En sofistike devlet saldırısına karşı 'Ne yapabilirim ki? Biz oyunu baştan kaybetmişiz zaten. Problem üzerine derinlemesine kafa yormaya gerek yok' diye düşünüyorlar" diyor.

Bochman buna örnek olarak 2012 yılında dünyanın en güçlü savunma sistemine sahip olan Saudi Aramco’ya yapılan virüs saldırısını gösteriyor. (İran nükleer sistemine de yapılan karşı saldırıyı daha evvel paylaşmıştık. Ayrıca 2018 de Suudi petrokimya tesisine de yine bir virüs saldırısı gerçekleşmişti)

Bir diğer ayrıntı ise siber saldırıların % 76'sı 100'ün altında çalışanı olan işletmeleri vuruyor. Yani tehlikede olan sadece büyük şirketler değil, küçük işletmelerde büyük risk altında. Tehlikenin boyutunu görmek için sizlerle şu grafiği paylaşmak istiyorum.

Verizon’un raporuna göre en çok saldırıya uğrayan 9 sektör;

Konaklama ve gıda,

Eğitim,

Finans ve sigorta,

Sağlık,

Enformasyon,

İmalat,

Meslek, teknik, bilimsel hizmetler,

Kamu,

Perakendecilik,

Grafikte de görüldüğü üzere, bu sektörlerdeki ana hedefleri;

Banka bilgileri,

Kişisel özel bilgiler,

Tıbbi bilgiler,

Ödeme bilgileri.

Saldırılara ve elde edilmek istenen bilgilere baktığımızda meselenin sadece ticari boyut olarak değil, potansiyeli görme adına da bir data elde edilmek istendiği gözüküyor. Yoksa bilim, sağlık ve enformasyon ve meslek alanlarına -kişisel verileri toplamak için- bir siber saldırının başka bir anlamı olmasa gerek. Bir işyeri açılacağı zaman eldeki bu verilere göre hareket edilebiliyor…

Buradaki ince nokta verinin kimde olacağı savaşı. Ve burada işin içine küçük, büyük çaplı şirketler giriyor. Eğitim hizmeti vereninden, sağlık kurumu çalıştıranına, online satış yapanından yeni bir yazılım üretenine vs. ‘e kadar herkesi ilgilendiren bir savaş.

Saldırıların maddi zararı milyon dolardan milyar dolara kadar çıkabildiği bir mücadele de bizlerin bir şey yapmaması tehlikenin boyutunu her geçen gün daha da artırıyor. (Benzer bir durum şu an Corona sürecinde de yaşanıyor. 20-30 bilim kurulu üyesi veya 17 AİHM üyesi yargıç karar alıyor milyonlar ise o kararın gerçekliğini sorgulamadan koyun gibi itaat ediyor. Adına da tedbir diyor. Ya tedbirin ne olduğunu bilmiyoruz ya da işimize böyle geliyor. Sonra da yokluğa düşünce isyan başlıyor...)

Evet, siber saldırıların maddi zararı demişken 2017’deki Wannacry saldırısının 4 milyar dolar, NotPetya saldırısının ise 850 milyon dolar zarar verdiğini hatırlayalım. HBR’de konuyla ilgili yayınlanan makale de bu kısmın ayrıntısı şöyle ifade edilmişti: Windows kullanan bilgisayarlarda, bir açıktan yararlanarak veriler şifrelenmiş ve 150 ülkede hastane, okul, işyeri ve evlerdeki yüzbinlerce bilgisayara zarar verildi ve sonucunda fidye istendi. 

Rusya'nın Ukrayna'yı istikrarsızlaştırma kampanyasının bir parçası olarak gerçekleştirdiğine inanılan NotPetya saldırısı ise bir Ukrayna muhasebe şirketinin yazılım güncellemesi üzerinden yürütüldü.

 Önce Ukrayna hükümeti ve bilgisayar sistemlerine yönelik bir saldırı olarak başlayıp ardından dünyanın diğer yerlerine yayıldı. Bu süreçte Danimarkalı nakliye şirketi Maersk, ilaç şirketi Merck, çikolata üreticisi Cadbury ve reklam- çelik devi WPP başta olmak üzere birçok şirkete zarar verildi)

Evet, konuyu fazla uzatıp sıkıcı bir konu olarak görülen bu mesele de daha fazla vaktinizi almak istemem. Ancak bu gerçek üzerine düşünmek iktiza ediyor. Sorumluluk adına -okuyup araştırdığım- bazı bilgileri sizlerle paylaşma nedenimde bu yüzden. 

Zira meselenin farklı boyutu daha var. Geçenlerde blog yazarı Rowse önemli bir konuya daha dikkat çekmişti. Hatırlayacağımız üzere Facebook, Avustralya'daki hizmetiyle ilgili haberleri paylaşmayı bırakmaya karar verdiğinde, Avustralya haberlerinden çok daha fazlasını engelledi. 

Rowse demişti ki, ‘’bu tartışmadan öğrenebileceğimiz bir şey varsa, o da tüm bilgi trafiğiniz için asla tek bir kaynağa güvenmemeniz gerektiğidir…Ayrıca COVID-19 salgını, akıl sağlığı, acil servisler ve hatta Meteoroloji Bürosu ile ilgili hükümet web sitelerini de engelledi. Ve bloglarına trafik çekmek için Facebook'u kullanan birçok blog yazarını da etkiledi. Facebook sonunda bu sitelerdeki kısıtlamaları kaldırdı ve o zamandan beri Avustralya Hükümeti ile Facebook'a haber içeriği getirmek için bir anlaşma yaptı. Ancak, geliriniz için ona güvenirseniz, trafiği bir günlüğüne bile kaybetmek yıkıcı bir etkiye sahip olabilir.''

Benzer bir örneği 2 hafta önce Linkedln yapmış ve önemli bir işadamının hesabını kapatmıştı. Uzun yıllardır emek verdiği bir kitleydi ve yok edildi. 

Yani meselenin hem siber saldırıya hem de şirketlere bakan yanları mevcut. Bir anlamda oluşturulan, emek verilen ve belli bir akışa yönelik izlenen kişisel hesaplar, ticari siteler, bloglar günü geldiğinde şirketler tarafından da yok edilebiliyor. Veya insanların çalışarak kazandığı kazançlar siber saldırılarla ele geçiriliyor. Bir süre önce Almanya’da para transferi -swift- hedef alınmış 81 milyon dolar çalınması örneği de diğer bir gerçeği ortaya koyuyor.

Mesele sadece çalınmakla bitmiyor, o nokta da çocuklarda kullanılıyor. 2016’de üretilen My Friend Cayla adlı oyuncak bebek gözetleme cihazı görevi görüyordu. Ev ve odalardan bilgi topluyordu. Almanlar sonrasında yasaklamış olsa da, o tarihe kadar ne büyüklükte veri topladığı ise hala meçhul.

Bu mevzu da bir diğer risk unsuru ise ülkelerin durumu. 

Burt’un aktardığına göre, Norveç’in 2014’deki tüm kritik teknolojisi yurt dışından alınıyordu. (Bunların içerisinde hayati önem taşıyan elektrik santralleri, su istasyonları ve telefon kuleleri gibi yazılımlar… ‘Huawei ve Snowden’ kitabına bir bakılabilir) 

Ayrıca şaşırtıcı bir diğer gerçek ise Çin ve İngiltere ile ilgili. 

İngiltere, ulusal güvenlik alt yapısını sağlamak için 2010 yılından itibaren Çinli Huawei şirketi ile birlikte çalışıyor. Yani güvenlik sistemini Çinlilere teslim etmişler. İşin garibi, İngilizlere uyarı yapılmasına, rapor yazılmasına rağmen bu konuyu dikkate almamışlar. 

İngilizler böyle bir hatayı nasıl yapabildi? diye sorulabilir, ancak İngiltere tarihi aslında bu gafletin boyutunu net şekilde gösteriyor. Böyle bir teslimiyet onların için çok vahim ama yapacak çok fazla bir şey yok. Umarım kurtulmak için bir ihtimalleri kalmıştır. Zira ehil mühendisler çok iyi şeyler söylemiyor bu konuda. 

Evet, daha önceki ‘’data’’ makalesinde de bahsettiğimiz üzere kişisel olarak insanlığı sistemi yöneten teknoloji devlerinin ellerine bırakmamalı. Hz. Pirin 2129 verisi ele alındığında önümüzdeki 100-110 yılın planı yapılmak zorunda. Bu insanlığı düşünen her birey için hayati derecede önem arz eden bir gerçekliktir.

Baron -90’lık- Warren Buffet bile siber riski insanlığın önündeki en büyük tehlike olarak görüyor. Haksız sayılmadığı da ortada. Malum, siber suçların Buffet gibi şirket sahiplerine maliyeti 2013’den bugüne %62 artarak yükselişe devam ediyor. Mesela Hackett’in iddiasına göre Target’ın 2013 yılında yediği siber saldırıdaki kaybı 200 milyon dolar.

Evet, konu daha da genişletilmeye müsait. Ancak çözüm noktasında bireysel ya da şirketsel baz da ne yapılabilir üzerine kısa birkaç madde ekleyip noktalayalım.

Neler yapılabilir!

Şifreleme politikası, ( Üç ay da bir değişilikten biraz daha fazlası üzerine düşünülmeli)

Yazılım güvenlik ekibi ile koordinasyon,

Şirket ve kişisel güvenlik stratejisinin yerleşmesi,

Notion, Slack, Evernote vb. gibi üçüncü parti paylaşım hizmetleri kullanım eğitimi,

Kişiye özel siber güvenlik eğitiminin tamamlanması,

Liderlerin, CEO’ların, çalışanların yıllık eğitim süreci (Her gelişen teknolojiye dönük eğitim)

Hesap takibi yapılmalı,

Veriler yedeklenmeli ve bilgisayardan ayrı olarak saklanmalı, 

Koruma hizmetleri ile irtibat düzenliliği,

Sosyal medya eğitimi,

Dolandırıcılık e-postalarına (kimlik avı) dikkat edilmeli ve ekler açmamalı veya istenmeyen iletilerde bulunan bağlantılar tıklanmamalı,

Veri koruması için danışılacak bir site: https://identitytheft.gov/

Ayrıca ARAG’dan BT güvenlik analistleride şu ipuçlarını veriyor;

- Bir cihazın hafızasını atılmadan önce silin. Bir BT uzmanının, attığınız herhangi bir cihazdan verilerinizin tamamen kaldırıldığından emin olmasını sağlayın.

- Ev kablosuz ağınızı şifreleyin. "WPA2" güvenliğini kullanarak tüm kablosuz ağlarınızı koruyun.

- Gizli verileri elektronik olarak gönderdiğinizde, verileri harfleri, sayıları ve sembolleri birleştiren parolalar kullanarak şifreleyin. Gizli bilgileri gönderirken bir şifreleme hizmetine bakın.

- Tüm dijital depolama cihazlarını disk düzeyinde şifreleyin. "Bulutta" depolama dahil olmak üzere, içerik veya depolama türünden bağımsız olarak tüm verileri korumak için şifreleme kullanın.

- Mobil cihazlar, kaybolmaları veya çalınmaları durumunda İnternete bağlanmaları durumunda cihazı devre dışı bırakan komutlarla donatılmalıdır. Cihazınızı şifrelemek ve kilitlemek ve cihazın kaybolması veya çalınması durumunda tüm verilerin silinmesine izin vermek için telefon sağlayıcınız tarafından sunulan ortak hizmetleri kullanın.

- Ofis ağlarına erişim ve güvenli müşteri verilerine erişmek için iki kimlik türü gerektiren bir güvenlik süreci kullanın. Ofis bilgisayarlarınızın hepsinin güçlü parolalara sahip olmasını zorunlu kılarak koruduğunuzdan emin olun.

- Sorularınız olduğunda bir BT uzmanıyla konuşun. Gizli bilgilerinizi korumak için gereken teknik önlemlerden herhangi birini oluşturmaya aşina değilseniz, yetkin bir BT Güvenlik uzmanı görevlendirin ve güvenliğinizin yıllık denetimi ile sistemlerinizi test edin.

Son olarak şunu da ifade etmek isterim. Bu alanda ciddi bir iş imkanı söz konusu. Detayı uzun olduğunu kısaca; Yatırımcı ve iyi bir yazılım ekibi ile bu körpe alana kuvvetli bir yatırım ile küresel piyasada söz sahibi olmak mümkün. Üstelik küçük-büyük çapta her anlamda ihtiyaç söz konusu. Yatırım sahası arayanlar bu mevzuyu araştırıp vakıf olurlar ise hem kendilerine hem insanlığa büyük fayda sağlayabilirler.

Linkedln demişken siteye ait bir bilgiyi fikir vermesi açısından proje noktasında düşüncelerinize sunuyorum. 

Sitenin verilerine göre LinkedIn de küresel piyasa da en çok talep gören 10 meslek ise şöyle;

1. Yazılım Geliştiricisi : 15 milyon iş ilanı

2. Satış Temsilcisi : 8,5 milyon iş ilanı

3. Proje Yöneticisi : 2,7 milyon iş ilanı

4. BT Yöneticisi : 2 milyon iş ilanı

5. Müşteri Hizmetleri Uzmanı : 1,8 milyon iş ilanı

6. Dijital Pazarlamacı : 860 bin iş ilanı

7. BT Destek / Yardım Masası : 590.000 iş ilanı

8. Veri Analisti : 360.000 iş ilanı

9. Finansal Analist : 360.000 iş ilanı

10. Grafik Tasarımcı : 355.000 iş ilanı

Rauf Atilla Polat

blog@rapolat.com