MERHABALAR
Güvenlik ihlallerinin oluşturduğu etkiler nelerdir? Bu etkilerin size ve kuruma etkisi ne seviyededir?
Bu sorulara açıklık getirmeye çalışıp, bazı büyük şirketlerin yaşadığı güvenlik ihlallerinin sonuçlarına değineceğim.
İÇİNDEKİLER
1 - Güvenlik İhlallerinin Etkileri
2 - Güvenlik İhlali Örnekleri
2.1 - Güvenlik İhlali Örnek - 1
2.2 - Güvenlik İhlali Örnek - 2
2.3 - Güvenlik İhlali Örnek - 3
1 - Güvenlik İhlallerinin Etkileri
Bir kurum veya kuruluşu, muhtemel herhangi bir siber saldırıdan korumak, birkaç sebepten ötürü mümkün değildir; Bir ağı, güvenli bir şekilde oluşturmak ve o ağı korumak için gereken uzmanlık maliyetli olabilmektedir. Size saldırmak isteyen kişiler ağlarınızı hedeflemek için, sürekli yeni yöntemler aramaya devam edecektir. En nihayetinde, ağınızı hedefleyen ve gelişmiş bir siber saldırı, amacına ulaşacaktır.
Bu vaziyette önceliğiniz; kaybettiğiniz verileri, kesinti zamanını ve kaybettiğiniz geliri en aza düşürmek için, var olan güvenlik ekibinizin saldırıya ne kadar zamanda müdahale edebileceğidir. Ne kadar erken müdahale edilirse kaybınızda bir o kadar az olacaktır.
Çevrimiçi olarak gönderdiğiniz herhangi bir şeyin, sahip olduğunuz tüm kopyaları sildiğinizde bile sonsuza kadar çevrimiçi ortamda yaşayabileceğini biliyor muydunuz?
Sunucunuz hacklendiğinde, gizli olan şahsi bilgileriniz herkese açık bir hale getirilebilir. Bir saldırgan veya hack grubu, doğruluğu olmayan bilgileri yayınlayarak şirketinizin web sitesini tahrip edebilir ve şirketinizin, oluşturulması yıllarca süren saygınlığını bozabilir.
Saldırganlar, şirketin gelir kaybetmesi için şirket web sitesini de çökertebilir. Eğer ki web sitesi uzun bir süre erişime kapalı kalırsa; şirket artık güvenilir görünmeyebilir ve var olan güvenilirliğini yitirebilir. Şirketin web sitesi veya ağı saldırganlar tarafından ihlal edilmiş ise, bu durum gizli belgelerinizin, ticari sırlarınızın ve fikri mülkiyet haklarınızın çalınmasına yol açabilir. Tüm bu mühim bilgilerin kaybedilmesi şirketin büyümesini ve gelişmesinin önüne geçebilir.
Bir ihlalin mali kaybı; kaybolan veya çalınan aletlerin değiştirilmesinden, mevcut güvenliğinize yatırım yapmaktan ve binanızın fiziksel olarak güvenliğini güçlendirmekten çok daha yüksek seviyededir. Şirketiniz; ihlal sırasında, ihlalden etkilenmiş ne kadar müşteriniz varsa hepsiyle tek tek iletişime geçmekten sorumlu olabilir ve şirketinize bir dava açılması ile yüz yüze kalabilirsiniz. Tüm bu kaos ortamında çalışanlarınız şirketten de ayrılmak isteyebilir.
Bu ve bunun gibi olaylar yaşamamak için lütfen çevrim içi güvenliğinize azami ölçüde önem gösterin!
2 - Güvenlik İhlali Örnekleri
2.1 - Güvenlik İhlali Örnek - 1
Çevrim içi şifre yöneticisi LastPass, Temmuz 2015'te ağında yaşanan gayri tabii bir faaliyet saptadı. Saldırganların, kullanıcıların e-posta adreslerini ve şifre hatırlatıcılarını çaldığı ortaya çıktı. Ama saldırganlar hiç kimsenin şifresini ele geçiremedi.
Bir güvenlik ihlali olsada, LastPass o ihlale rağmen kullanıcılarının hesap bilgilerini koruyabilirdi. Bilinmeyen bir IP adresinden veya herhangi bir cihazdan yeni bir giriş yapıldığında LastPass çok faktörlü kimlik veya elektronik posta doğrulaması gerektirir. Saldırganlar hesaba erişim sağlamak için ana parolaya gereksinim duyacaktır.
Tabi ki LastPass kullanıcılarının da herhangi bir güvenlik ihlaline karşı kendi hesaplarını korumaları gerekmektedir. Kullanıcılar tüm şifreleri için karmaşık parolalar kullanmalı ve şifrelerini belli sürelerde değiştirmeleri gerekmektedir.
Kullanıcılar kimlik avı saldırılarına karşı son derecede dikkatli olmalıdır. Kimlik avı saldırısına örnek olarak, LastPass'ten geldiğini iddia eden ve sahte e-postalar gönderen bir saldırganın yapmış olduğu fiili örnek olarak gösterebiliriz. Bu elektronik postalar kullanıcıdan gömülü bir bağlantıya tıklamasını ve şifresini değiştirmesini ister. Elektronik postadaki bağlantı; şifrenizi çalmak için, sitenin web sitesi gibi gözüken sahte bir siteye gider.
Kullanıcılar asla e-postalara gömülü olan bağlantılara tıklamamalıdır. Kullanıcılar ayrıca şifre istemine de dikkat etmelidirler. Şifre istemi asla size şifrenizi vermemelidir. Daha da önemlisi, kullanıcılar web sitelerde iki faktörlü kimlik doğrulamasını da aktif etmelidir.
Eğer ki kullanıcılar, hizmet sağlayıcı kurum veya kişiler, kullanıcı bilgilerini korumak için uygun güvenlik tekniklerini kullanıyorsa, herhangi bir güvenlik ihlali yaşansa bile kullanıcıların verileri korunabilir.
2.2 - Güvenlik İhlali Örnek - 2
Kasım 2015'te, yüksek teknolojili çocuk oyuncakları üreticisi olan Vtech, veri tabanında bir güvenlik ihlali yaşadı. Yapılan bu ihlal neticesinde çocuklar da dahil olmak üzere dünya çapında diyebileceğimiz, milyonlarca müşteriyi etkiledi. Bu veri ihlali, müşterilerin isimleri, elektronik posta adresleri, şifreler, fotoğraflar ve sohbet günlükleri gibi hassas bilgilerin ortaya çıkmasına neden oldu.
Saldırganlar için yeni hedef, bu sefer oyuncak bir tabletti. Oyuncak tablet sahibi müşteriler fotoğraflar paylaştılar ve bu tabletleri ile tabletin sohbet özelliğini kullandılar. Ama bilgiler doğru bir biçimde güvence altına alınmamıştı ve şirketin web sitesi güvenli soket katmanı olan SSL iletişimini desteklemiyordu. Yaşanan ihlalde hiç kimsenin kimlik ve kredi kartı bilgileri ortaya çıkmamasına rağmen, şirketin borsadaki işlevleri durduruldu, çünkü hala hack konusunda yaşanan endişe çok büyük derecedeydi.
Yaşanan bu güvenlik ihlali sadece müşterilerinin özel hayatını etkilemekle kalmamış, Şirketin borsadaki tüm işlevlerinin durdurulmasına ve halk nezdinizde tüm itibarını da yitirmesine neden olmuştur.
2.3 - Güvenlik İhlali Örnek - 3
Equifax Inc., ABD’deki ulusal çapta tüketici kredilerini raporlayan bir ajanstır. Equifax Inc.; uluslararası düzeyde milyonlarca bireysel ve ticari müşteri hakkında bilgi toplar. Bu bilgileri toplayarak müşterilerle ilgili kredi puanları ve kredi raporları oluşturur. Toplanan bu bilgiler, müşterileri iş aradıklarında ve kredi almak için başvuru yaptıklarında etkileyebilir.
Equifax bir veri ihlali yaşadığını Eylül 2017'de kamuya duyurdu. Saldırganlar bu saldırıyı Apache Struts web uygulamasındaki bir güvenlik açığından yararlanarak yaptılar. Şirket, bu ihlal neticesinde Mayıs ve Temmuz 2017 tarihlerinde, milyonlarca ABD'li tüketicinin, önemli düzeyde hassas ve kişisel verilerine erişildiğini tahmin ediyor. Bu hassas kişisel veriler; müşterilerin sosyal güvenlik numaralarını, tam adlarını, adreslerini, doğum tarihlerini ve diğer önemli kişisel bilgilerini içermektedir. Hatta bu ihlalin İngiltere ve Kanada'daki müşterileri dahi etkilemiş olabileceği düşünülmektedir.
Equifax, müşterilerinin hassas bilgilerinin ele geçirilip geçirilmediğini belirlemek ve kimlik hırsızlığının önüne geçmek için; müşterilerininin kaydolabilecekleri özel bir internet sitesi kurdu. equifax.com adı altında bir alt alan adı (subdomain) kullanmak yerine yeni bir alan adının kullanılması, saldırganların benzer adlarda ama yetkisiz web siteleri oluşturmasına yol açtı.
Bu oluşturulan internet siteleri, sizlere kişisel bilgilerinizi girdirip, sizi kandırmak maksadıyla kimlik avı sisteminin bir parçası olarak kullanılıyordu. Ek olarak, bir Equifax çalışanı, korkuya kapılmış müşterileri için sosyal medya hesabında yanlış bir internet sitesi bağlantısı paylaştı. Paylaşılan bu internet sitesi geç de olsa fark edilip kaldırıldı.
Olası bir kriz anında, kimlik avı için oluşturulmuş web siteleri tarafından kandırılabilirsiniz. Tekrardan kişisel bilgilerinizi çaldırmamak için bu tür konularda çok dikkatli olmalısınız. Ayrıca, verilerimizi elinde tutan tüm şirketler, bu verileri yetkisiz erişimlere karşı korumaktan sorumludur. Şirketler, olası bir güvenlik açığının saldırganlar tarafından kullanımını en aza indirebilmek için düzenli olarak yazılımlarını güncellemeleri gerekmektedir.
Şirket çalışanlarının, verileri korumak için uygulanan prosedürleri ve herhangi bir sızıntı durumunda ne yapılması gerektiği konusunda bilgilendirilmeleri ve gerekirse eğitilmeleri lazımdır.
Ama, gerçekleşen bu ihlalin asıl kurbanları saldırganlar tarafından verileri ele geçirilen kişilerdir. Saldırganlar ele geçirdikleri bu verileri sizi taklit etmek için kullanabilir. Saldırgan ve kurban aynı bilgiyi bildiğinden dolayı aksini iddia etmek de maalesef çok zordur.
Bu gibi olaylarda yapılabilecek en iyi şey bilgilerinizi verirken çok dikkatli olmaktır. Kredi raporlarınızı her ay kontrol edin. Haberiniz olmadan açılan kredi başvuruları ve kredi kartlarınızdan yapılan harcamalar ile başınızın ağrımaması için bunları düzenli olarak kontrol edin.
Buraya kadar okuduğunuz için teşekkür eder, iyi forumlar dilerim.
