Rehin alınan bilgisayarlar nedeniyle
hizmet dışı kalan üretim bantları, kişisel verilerin çalınması sebebiyle kimlik
hırsızlığı/sahtecilikler ve hatta hackerların (saldırganlar) ekonomik ve
teknolojik olarak dünyanın en gelişmiş ülkesinin seçim sonuçlarını etkilediği
şüphesi son dönemlerin en bilinen siber olayları arasında yer almaktadır. World
Economic Forum (Dünya Ekonomik Forumu) şirketlerin üst düzey yöneticileriyle gerçekleştirdiği
2018 yılı Global Risk Raporu’na göre Siber Saldırılar ankete katılanların en
çok endişe duyduğu risk olarak değerlendirilmiştir.[1]
Gemisini tehlikeli ve dalgalı sularda yüzdüren kaptan edasıyla korsanlar
tarafından hedef alınan şirketlerin üst düzey yöneticileri siber güvenlik
tehditlerini ve önlemlerini yönetim kurullarının gündemlerine taşımaktadırlar.
Bu yazımızda tavşana kaç, tazıya tut diyen siber güvenlik ekonomisinin ana hatlarıyla
oluşum ve gelişim eğilimlerini konu alacağız.
Saldırganların Motivasyonu
Siber olayların anatomisi
incelendiğinde, döneminin teknolojik imkânları ve özelliklerinden bağımsız
olarak değerlendirilemeyeceği çıkarımında bulunabiliriz. Bilgi Teknolojilerinin
deneysellikten kurtulup, pratik olarak da hayatımıza girdiği 1980’lerde imkânlar
çoğunlukla akademik amaçlarla kullanılmaktaydı. Bu akademik kullanıcılar teknik
olarak bilinçli bireyler olmalarının yanı sıra eğlence amacıyla
sistemlerin zayıflıklarını istismar edebilmekteydi. 2000’li yıllara gelindiğinde
“.com” furyasının yaşandığı, web sitelerin revaçta olduğu bir dönemde
saldırganlar, çoğunlukla kamuya açık bu siteleri hackleyip geride izlerini
bırakmaya çalışan yani şöhret amacıyla saldırı
gerçekleştirenlerdi. Devamında, 2000’lerin ilk döneminde saldırganlar sadece
geride iz bırakmayı değil sistemleri de ele geçirerek verileri çalma ve değiştirme
yoluyla maddi kazançlar sağlamak amacıyla saldırılarda bulunmuşlardır.
Devletlerin ve özel sektörün teknoloji kullanımı ve bağımlılığının artmasının
ardından saldırganlar, politik ve hacktivist amaçlarla
saldırılar gerçekleştirmeye başlamışlardır. Bu saldırılar devlet destekli
olarak enerji ve kritik altyapılara zarar vermek, ticari veya devlet sırlarını çalmak
üzerine olduğu kadar toplumsal olarak şeffaflık ve hesap verilebilirliği
sağlamak amacıyla politikacıları hedef alan örneklerine rastlanmaktadır.
Saldırı Yüzeyi
Bu konu başlığını bağlantılılık
ve veri hacminin genişlemesi olarak da isimlendirebilmek mümkün olmakla
birlikte, bağlantının saldırgan tarafından bilgi barındıran, işleyen, ileten
ortamlara erişme ve istismar etmesini sağladığı gerekçesiyle saldırı yüzeyi
olarak adlandırılmıştır. Bilgisayar ağlarının kurulması ve yaygınlaşmasıyla bu
bilgisayar ağlarının bağlantılı olduğu sistemlere de saldırı gerçekleştirilmeye
başlanmıştır. Dolayısıyla, bağlantılılık hareketiyle saldırı hareketinin eş
güdümlü ilerlediği ifade edilebilir. Örneğin, günümüzün trendi olan Nesnelerin
Internetini değerlendirecek olursak bağlantılı cihaz sayısının giderek
arttığını, bu cihazların akıllı sistemler, kritik altyapılar ve kişisel veriler
içeren uygulamalar olarak birçok siber saldırının hedefi olduğunu
belirtebiliriz. Saldırı yüzeyi vasıtasıyla istismar edilen kaynaklar hedef
olduğu kadar, “enfekte sistemler” üzerinden yeni saldırıların
gerçekleştirilebilmesi sebebiyle tehdit de olabilmektedir.
Savunmanın Maliyeti ile Saldırının Maliyeti Arasındaki Farklılıklar
Bir siber olayın taraflarını
saldırganlar ve savunanlar olarak ele alabiliriz. Bilgi ve İletişim
Teknolojilerinin ortaya çıkmasından itibaren bu iki taraf arasında yaşanan
üstünlük mücadelesini “Hırsıza kilit dayanmaz” atasözümüzle açıklamak doğru
olacaktır. Savunan taraf kendisini güvende hissetmek için birçok önleyici,
caydırıcı, tespit edici adımlar atsa da saldıranlar bu önlemleri ekarte edecek
veya etrafından dolaşacak yolları bulmaktadır.
Taraflar arasındaki mücadele
tarihsel olarak incelendiğinde, saldırıların gerçekleştirilmesi için gerekli
olan yetenek kümesinin ve özelliklerinin teknolojilerin ortaya çıktığı dönem
ile yaygınlaştığı dönem arasında ciddi farklılıklara sahne olduğunu
görebilmekteyiz. Başlangıç döneminde teknolojik özelliklerin anlaşılması ve
istismar edilebilmesi yerleşik bir kültür olmaması sebebiyle saldırganlar
tarafından nadiren ve zorlukla gerçekleştirilebilmekteydi. Gelişme döneminde,
teknolojileri anlayan ve kendi amaçları uğruna kullanabilen bireyler ve gruplar
ortaya çıktı ve istismarı gerçekleştirebilmek için kendileri için gerekli olan araçları/scriptleri
yazabilmekteydiler. Teknolojik olarak kültürün oluştuğu ve olgunlaştığı dönemde
ise topluluklar (community) ortaya çıktı ve bunlar otomatize araçlar ve
uygulamaları oluşturarak güvenlik dünyasının çehresini değiştirdiler. Otomatize
araçlar bazı örneklerinde ara yüzlere de sahip ve kolaylıkla erişilebilir
olarak, bir tuşla hedef sistemi tarayıp zafiyetlerini raporlar hale geldi. Bu
durum sonuç olarak aracı kullanan kişilerin gereksinim duyduğu yetenek kümesini
daraltmakta ve doğal olarak sıradan kişiler tarafından saldırı gerçekleştirilebilmesine
imkân tanımaktadır.
Siber olayı savunanlar tarafından
ele aldığımızda yani işletmeler, sivil toplum, kamu kuruluşları vb. doğaları
gereği var olma amaçlarının kârlılık, pazar payı, sosyal fayda olduğunu,
kaynaklarını fırsatları kovalamaya yönelik olarak kullandıklarını
görebilmekteyiz. Bu durumda kurum içinde savunma amacıyla yeterli kaynakların
tahsis edilmediği, sorumluların atanmadığı, paydaşlarda bilincin
oluşturulmadığı örneklerle karşılaşılabilmektedir. İyimser bir varsayımda
bulunarak risk odaklı yönetilen kurumları ele alırsak, onların da yatırım
yapacak birçok güvenlik çözümü ve hizmeti olduğunu, bu çözümlerin sadece satın
alınmalarının yeterli olmadığını, bu nedenle konfigürasyonlarının da doğru
yapılmasının gerektiğini ve birçok güvenlik süreçlerini ve uygulamalarını
işleten kişilerin gerekli yetkinlik düzeyini sağlayabilmeleri gibi zorluklarla
yüzleşeceklerini ifade edebiliriz.
Sonuç olarak, günümüzde saldırı
gerçekleştirebilmek için saldırı yüzeyi genişleyip kişilerin sahip olması
gereken kabiliyetler gittikçe azalmakta ve maddi gereksinimler düşük düzeyde iken,
savunanlar için güvenlik önlemlerini alabilmek için yüksek bütçe kalemleri ve
yüksek nitelikli personele ihtiyaç artmaktadır. Saldırganlar ve savunanlar
arasındaki bu mücadele tarihsel olarak günümüze kadar evrilerek gelmiştir ve
gelecekte de devam edecektir.
[1] https://www.weforum.org/agenda/2018/01/our-exposure-to-cyberattacks-is-growing-we-need-to-become-cyber-risk-ready
