Siber Sigorta konusunda sizlerle birlikteyiz. Saldırganlar her geçen gün geliştirdikleri yeni saldırı türleri ile güvenlik mekanizmalarını atlatmaya çalışmaktadırlar. Daha önce karşılaşılmamış saldırıların tespit edilmesi oldukça zordur. Bunların yani sıra yeni tespit edilen bir saldırıya karşı bütün hedef sistemlerin çok hızlı bir şekilde adapte olmaları gerekmektedir.
Siber Sigorta Nedir? Siber Saldırılara Karşı Nasıl Önlem Alınır?
Güncel siber saldırılara karşı alınması gereken ilk önlem sistemlerin güncel tutulmasıdır. Kullanılan işletim sistemi, üçüncü parti uygulamalar, antivirüsler ve kullanılan bütün yazılımlar mutlaka güncel tutulmalıdır.
Bunların yanı sıra kurumunuza yönelik gerçekleşebilecek saldırıları daha gerçekleşmeden önce kesmek istiyorsanız belirli aralıklarla Sızma Testi (Pentest) yaptırmanız şart ! Sızma Testinde siber güvenlik uzmanları hedef sisteme bir saldırgan bakış açısıyla sızmaya çalışır. Uzmanlar, hedef sistemlere erişebilmek için saldırganların deneyebileceği olası senaryoları test ederler. Testler esnasında uzmanlar, bir saldırganın yapabileceği gibi aşağıda örnekleri verilen işlemleri yapmaya çalışır.
Testi gerçekleştiren uzman ya da uzmanlar;
- Sistem üzerinde en yetkili kullanıcı olmaya çalışır.
- Kullanıcı/çalışan bilgilerine erişmeye çalışır.
- Kurum veri tabanlarına erişmeye çalışır.
- Sistem üzerinde herhangi bir açıklık olup olmadığını test ederler.
- Sistem üzerinde bir açıklık var ise bu açıklık istismar edildiğin ne gibi sonuçlar ortaya çıkacağını anlamaya çalışırlar.
Elde ettikleri bulguları firmaya rapor ederler ve bu açıklıkların kapatılması için önerilerde bulunurlar. Bir sistem barındırdığı teknik zafiyetler ile hacklenebileceği gibi Oltalama Saldırıları gibi sosyal mühendislik saldırıları ile de hacklenebilir. Oltalama Saldırıları, kullanıcıları aldatarak bazı hassas bilgileri elde etmeyi amaçlayan bir saldırı türüdür. Bu saldırı türüne karşı önlem alınması oldukça önemlidir. Bu tarz saldırıların önlenebilmesi için network bazında bazı güvenlik mekanizmalarının kurulması gerekebilir. Ayrıca çalışanların bu saldırı türüne karşı bilinç seviyesi artırılarak olası zararlar minimize edilebilir.
Sistem güvenliğinin devamlılığının sağlanabilmesi için sızma testleri ve çalışanların bilinç seviyelerinin artırılması, belirli aralıklarla tekrarlanması gereken işlemlerdir. Ancak aralıklı olarak yapılan bu işlemler sistemin devamlı güvenliğini sağlayamamaktadır.
Bir kurumun, siber saldırılara karşı sürekli bir dayanıklılık kazanabilmesi için belirli aralıklarla yapılan testler ve eğitimler tam manasıyla yeterli olmamaktadır. Sürekli (continious) bir güvenlikten söz edilebilmesi için saldırılardan korunmak istenen sistem sürekli (continious) gözetim altında tutulmalıdır. Saldırganlar, bir sisteme saldırmadan önce internette bazı izler bırakır, bu izler dark forumlarda yer alan paylaşımlar olabileceği gibi sosyal medyadan paylaşılan hacktivist bir paylaşım da olabilir. Hedef kuruma yönelik internetteki bu izler sürekli bir şekilde takip edilerek bir saldırı daha gerçekleşmeden önce tespit edilebilir.
Normshield’ın geliştirmiş olduğu Siber Risk Skor Kartı, kurumuzu ilgilendiren, internette bulunan birçok kaynağı sürekli bir şekilde izler ve kurumunuza yönelik herhangi bir tehdit olması durumunda size haber verir. Konuya ilişkin detaylı bilgi için Sürekli Monitoring yazısını inceleyebilirsiniz.
Sürekli Gözetim (Continious Monitoring), sızma testi gibi belirli aralıklarla yapılan yapılan kontrollerin yerine geliştirilmiş bir güvenlik mekanizması olmaktan çok, bu mekanizmaların eksik taraflarını tamamlayan bir yapıya sahiptir. Yani bir sistemin güvenli hale getirebilmesi için belirli aralıklarla yapılan sızma testlerinin ve çalışan bilinçlendirme eğitimlerinin yanı sıra Sürekli Gözetim mekanizmalarına da ihtiyaç duyulmaktadır.
Dünya Geneli Siber Saldırıların Genel Trendi Nedir?
Symantec 2016 Internet Security Threat Report’a göre sadece 2015 yılında saldırı amacıyla kullanılan benzersiz malware sayısı yaklaşık 430 milyon civarlarında. Bu rakam 2014 yılına oranla %36 artış olduğunu göstermektedir.
2015 yılında gerçekleştirilen Ransomware saldırıları 2014 yılına oranla %35 artarak 363 bine yükselmiştir. Bu rakam günde 992 adet saldırıya denk gelmektedir. Benzer şekilde 2015 yılında gerçekleştirilen Web Saldırıları önceki senelere kıyasla büyük artış göstererek 1.1 Milyona ulaşmış durumdadır.
Siber saldırıların sayısı her geçen gün artmaktadır. Saldırıların bir kısmı tespit edilmesine yönelik geliştirilen güvenlik mekanizmaları tarafından tespit edilmemektedir.
Hackmageddon tarafından yayınlanan istatistiklere göre 2016 yılında gerçekleştirilen siber saldırıların %33.1 ’i daha önce görülmemiş tarzda gerçekleştirilen saldırılardan oluşmaktadır. Bu rakam 2014 ve 2015 yıllarında %25 civarlarındaydı. Bu durum saldırganların kendilerini geliştirerek daha farklı saldırı yöntemleri geliştirdiklerini göstermektedir.
Marsh & McLennan Companies firmasının 2016 yılında yayınladığı raporda siber saldırıların küresel ekonomiye yıllık maliyetinin tahmini olarak 445 Milyar Dolar seviyelerinde olduğu belirtilmiştir. Aynı raporda Siber Güvenlik altyapısının geliştirilmesine yönelik yapılan harcamalara ilişkin tahmini değer is 75 Milyar Dolar olarak belirtilmiştir.
ITRC 2017 Raporuna göre 2017 yılı Ocak ve Ağustos ayları arasında rapor edilen toplam 900 adet Veri İhlali gerçekleşmiştir. Veri ihlalleri ile 2017 yılının ilk 8 ayında toplam 16,844,037 adet kayıt çalındığı rapor edilmiştir. Firmalar tarafından açıklanmayan vakaların da olabileceği düşünüldüğünde gerçek rakamın çok daha fazla olacağı öngörülebilir.
Gerçekleştirilen saldırıların sektörlere göre dağılımı incelendiğinde analiz edilen 5 sektör içerisinden (Business, Educational, Banking/Credit/Financial, Government/Military, Medical/Healthcare) en çok saldırılan sektör %54’lük pay ile Business sektörü olmuştur. Business sektörünü %20,8’lik pay ile Medical/Healthcare sektörü ve %16.5’lik pay ile Banking/Credit/Financial sektörü izlemiştir.
Marsh & McLennan Companies’e göre 2015 yılında gerçekleştirilen siber saldırıların bir önceki yıla oranla ne kadar artış sağladığı ve hangi sektörlerin bu saldırılardan ne kadar etkilendiğine yönelik istatistikler aşağıda verilmiştir.
Siber Güvenlik altyapınız oldukça güvenli olmasına rağmen Oltalama Saldırıları ile saldırganlar, sistemleriniz üzerinde çok kolay bir şekilde erişim elde edebilirler. Oltalama saldırıları insanlara/çalışanlara yönelik gerçekleştirilen bir saldırı çeşitidir. Bu saldırı türünde temel amaç, kullanıcıları yasal görünüme sahip zararlı sitelere yönlendirerek kullanıcıların hesap giriş bilgilerini çalmak ya da zararlı bir yazılımı kullanıcı bilgisayarına yükletmektir.
Bu saldırıya karşı bilinçsiz bir çalışan kitlesine sahip bir firmanın gizli bilgileri saldırganlar tarafından kolaylıkla ifşa edilebilir. APWG tarafından yayınlanan 2016 Global Phishing Survey raporuna göre Zararlı Amaçlara yönelik kullanılmak üzere Register edilmiş domain sayısı 2015’ten bu yana yaklaşık %200 oranında artmış durumda. Sadece 2016 yılında 255,065 adet Oltalama Saldırısı gerçekleştirilmiştir. Her bir saldırı milyonlarca kişiyi etkilemektedir.
Oltalama saldırıları, her gün yaklaşık 100 milyon kişiye ulaşmakta ve internet kullanıcılarının yaklaşık %55’i, her hafta bir oltalama sitesi ile karşılaşmaktadır. 2013 yılında yapılan bir akademik çalışmaya göre oltalama saldırılarının %67’si 2 sadece saat içerisinde başlayıp sona ermektedir. Bu saldırıların güvenlik mekanizmaları tarafından tespit edilme ortalaması ise yaklaşık 12 saat!
Sızma Testi Nedir?
Sızma testi (Penetrasyon Testi); bir bilgisayar sistemi, network ya da Web uygulamasını test etmek için yapılan siber saldırı simülasyonlarına verilen isimdir. Sızma testinin amacı, bir saldırganın hedef sistem üzerinde istismar edebileceği zafiyetleri bulmaktır. Sızma testi uzmanı testler gerçekleştirirken, gerçek bir saldırgan gibi hareket ederek bir sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarmaya çalışılır.
Sızma testleri bu amaç için özel olarak geliştirilmiş otomatize araçlarla ve manuel olarak olarak yapılabilmektedir. Otomatize araçlar sistemi bilinen zafiyetlere karşı tarar ve bulduğu zafiyetleri raporlar. Ancak otomatize araçlar mantıksal zafiyetler başta olmak üzere bazı zafiyetleri tespit etmekte yetersiz kalabilmektedir. Manuel yapılan testlerde sistem bir uzman tarafından detaylı olarak analiz edilir. Manuel yapılan testlerde test edilen zafiyetlerin hedef sistemde bulunup bulunmadığı çok daha yüksek başarı oranı ile ortaya konmaktadır.
Bir sızma testi esnasında aşağıdaki adımlar uygulanır;
- Test öncesinden hedef hakkında bilgi toplama,
- Olası giriş noktalarını belirleme, açık kapıların taranması,
- Giriş noktalarında bulunan zafiyetlerin tespit edilmesi,
- Tespit edilen zafiyetlerin istismar edilmesi,
- Bulunan zafiyetlerin raporlanması
Sızma testleri 3 farklı şekilde yapılabilir:
White Box (Beyaz kutu): Sızma testi uzmanı, firma hakkındaki bilgilere firma içindeki yetkili kişiler tarafından bilgilendirilir. Bu yöntem ile, firmada yer almış, hala çalışmakta ya da ağa misafir olarak dahil olan kişilerin verebileceği zararlar ortaya çıkarılır, raporlanır.
Black Box (Siyah kutu): Bu yöntemde sadece hedef belirlenir, firma içerisinden herhangi bir bilgi alınmaz. Sızma testi uzmanı, firmaya zarar vermek isteyen bir hacker gibi davranarak verilebilecek zararlar gözetilir ve raporlanır.
Gray Box (Gri kutu): Hem white box hem de gray box testlerini kapsar, yani hem içeriden hem de dışarıdan yapılan test olarak tanımlayabiliriz.
Global Riskler Arasında Siber Riskin Yeri
Siber risk son yıllarda diğer risklere göre çok daha büyük önem kazanmıştır. Protiviti firmasının The Most Important Risks for 2017 raporuna göre dünya genelinde en önemli 10 risk sıralamasında siber saldırılar sonucu firmaların marka değerine zarar gelmesi riski üçündü sırada yer alırken beşinci sırada ise kurumlara ait gizli bilgilerin bir siber saldırıda etkilenmesi yer almaktadır. Listenin tamamı aşağıda verilmiştir.
- Economic conditions in markets the organization currently serves may significantly restrict growth opportunities
- Regulatory changes and scrutiny may heighten, noticeably affecting the manner in which organizations’ products or services will be produced or delivered
- The organization may not be suf ciently prepared to manage cyber threats that have the potential to significantly disrupt core operations and/or damage its brand
- Rapid speed of disruptive innovations and/or new technologies within the industry may outpace the organization’s ability to compete and/or manage the risk appropriately, without making significant changes to the business model
- Privacy/identity and information security risks may not be addressed with sufficient resources
- Succession challenges and the ability to attract and retain top talent may limit the ability to achieve operational targets
- Anticipated volatility in global financial markets and currencies may create significant, challenging issues for our organization to address
- The organization’s culture may not sufficiently encourage timely identification and escalation of significant risk issues
- Resistance to change could restrict the organization from making necessary adjustments to the business model and core operations
- Sustaining customer loyalty and retention may be increasingly difficult due to evolving customer preferences and/or demographic shifts in the existing customer base
Allianz Top Business Risks raporuna göre en önemli 20 risk sıralamasında Siber Risk 2015 yılında beşinci sırada iken 2016 yılında üçüncü sırada yer almaktadır. Listenin tamamı aşağıdadır.
Küresel anlamda hazırlanan bu liste, ülkelere göre değişebilmektedir. Bazı ülkeler için Siber Riskler ilk sıralarda yer alırken bazı ülkelerde ise daha aşağı sıralarda yer alabilmektedir. Avrupa ve Amerika’da Siber Riskler ilk 3’te yer alırken, ülkemizde Siber Riskler sıralamaya ancak 2016 yılında girdi ve şu an 7. sıradadır.
Risklerin büyük firmalar ve küçük-orta firmalara göre etkileri genelde farklı olmaktadır. Bazı riskler büyük firmalar tarafından daha fazla ciddiye alınırken bazı riskler küçük-orta ölçekteki firmalar tarafından daha fazla ciddiye alınmaktadır. Aşağıdaki grafikten anlaşılacağı üzere siber riskler büyük çaplı firmalar tarafından daha fazla önemsenmekte, küçük-orta ölçekteki firmalar tarafından daha az önemsenmektedir. Ayrıca Siber Riskler büyük firmalar ve küçük-orta ölçekli firmasında en fazla önem farkına sahip olan risklerden birisidir.
İş Dünyasında Dijitalizasyon Trendi
İnternetin yaygın olarak kullanılması ile iş dünyası da bir dijitalleşme süreci yaşamaktadır. Bu dijitalleşme süreci ile kullanıcıların tüketim alışkanlıkları değiştiği gibi sektördeki firmalar da bu değişikliğe ayak uydurmaya çalışıyorlar. Dijitalleşme süreci ile bazı yeni iş alanları doğmuş ve bazı iş alanları da olumsuz etkilenmiştir. İnternetin küresel anlamda çok fazla kullanılması bir süredir hepimizin tanık olduğu bir olay. Son yıllarda internet kullanımının yaygınlaşması bir sonraki aşamaya geçmiş görünüyor. İnternet üzerinden yapılan alışveriş ve para transferi de son yıllarda büyük oranda artmış görünüyor.
Dünya e-ticaret sektörü, global olarak bakıldığında 2 trilyon dolar civarında. Bu kadar büyük miktarda paranın döndüğü bir sektör elbette saldırganların da iştahını kabarmaktadır. Küresel dijitalleşmeye ile değişen kullanıcı davranışlarına ilişkin bazı örnekler şu şekildedir;
- ABD’de yapılan bir araştırmaya göre tatile gidenlerin yüzde 83 ya da iş seyahatine çıkanların yüzde 76’sı bunu internet üzerinden organize ediyor.
- ABD’de tatile çıkanların yüzde 96’sı otel planlamasını arama motorundan başlatıyor. Bu, destinasyon için yüzde 95, havayolu ve uçak bileti için yüzde 89, otomobil kiralama içi yüzde 80.
- Türkiye’de tur operatörü, online seyahat acentesi, geleneksel seyahat acentesi ve sadece uçak bileti satan seyahat acentelerinin toplamı 7 bin civarında.
AirBnb, dijitalleşme trendi ile büyük bir ivme kazanmış bir firmalardan birisidir. 2016 yılı Temmuz ayının ortalarında 100 milyon müşteriye ulaşan dünyanın en büyük alternatif konaklama platformu Airbnb’nin değeri 30 milyar doları geçmiş durumda. Bu rakam, en büyük otel zinciri olan Hilton’un değerinden yüzde 30 fazla; Airbnb’nin en yakın rakibi olan HomeAway’in değerinin ise 8 katı… Airbnb’nin sahip olduğu 2.3 milyon oda ise, dünyanın en büyük üç otel zinciri Hilton, Marriott ve Intercontinental’ın toplam oda sayısının üstünde. 2016 yılı yılbaşı akşamı 1 milyon rezervasyon alarak rekor rezervasyona ulaşan Airbnb, artık bu rakamı sıradan bir günde çok rahat bir şekilde geçebiliyor. (Haziran 2016 ayının son haftasonu 1.3 milyon kişi Airbnb üzerinden rezervasyon yapmıştı.)
İnternet kullanımının bu derece yaygınlaşması elbette sanal ortamdan hizmet veren firmaların saldırganların hedefinde yer almasına neden olmuştur. Buna paralel olarak bu firmalar için siber güvenlik kavramı da büyük önem kazanmıştır.
Siber Sigorta Neden Gereklidir?
Kurumlar siber saldırıya uğramamak için gerekli birtakım önlemler almaktadırlar. Bu önlemlerden birisi Sızma Testidir. Siber güvenlik firmaları bir kuruma Sızma Testi yaptıklarında müşterilerine bir takım geri bildirimler sunmak durumundadırlar. Bu geri bildirimler;
- Kurumun ait hangi sistemlerde zafiyet bulunmaktadır.
- Kurum sisteminde bulunan zafiyetler nelerdir.
- Bu zafiyetlerin kuruma yönelik olabilecek etkilerinin açıklanması.
Bu Zafiyetler Nasıl Giderilebilir?
Tespit edilen zafiyetlerin giderilmesi kurumun sorumluluğundadır. Ancak zafiyetin tespit edilmesinden zafiyetin giderilmesine kadar belli bir miktar süre geçmektedir. WhiteHat’s Website Security Statistics Report 2015’te yayınlanan, sektörlere yönelik zafiyetlerin kapatılması için geçen ortalama süreler aşağıdaki şekilde verilmiştir.
Örneğin, Finance & Insurance sektöründeki firmalar için bir zafiyetin varlığına ilişkin bilgilendirildiklerin sonra o zafiyetin kapatılması için geçen ortalama süre 160 gündür. Retail Trade sektörü için bir zafiyetin kapatılması için geçen ortalama süre 227 gündür.
Saldırganlar bir sistemi hacklemeye karar verdiklerinde hedef olarak seçtikleri sistemi hacklemek için bir zafiyet bulmaları için ne kadar uğraşmaları gerekir?
Kurum ekosistemleri anlık değişimlerle sürekli değişen dinamik yapılara sahiptir. Bir sistem yıl içerisinde belirli zaman aralıklarında zafiyet barındırıp bazı zaman aralıklarında zafiyet barındırmıyor olabilir. WhiteHat’s tarafından yayınlanan raporda 4 iş sektörü için yıl boyunca zafiyet barındırma sürelerine ilişkin araştırma sonuçları aşağıda verilmiştir.
Örneğin Finance & Insurance sektöründe faaliyet gösteren firmaların %39’u yıl boyunca en az bir zafiyet barındırmaktadır. Bu sektördeki firmaların sadece %17’si yıl boyunca 30 günden daha az bir zaman diliminde bir zafiyeti barındırmaktadır. Retail Trade sektöründeki firmaların ise %60’ı yıl boyunca en az bir zafiyet barındırmaktadır. Bu sektördeki firmaların sadece %11 yıl boyunca 30 günden daha az süre boyunca bir zafiyet barındırmaktadır.
Rakamlar incelendiğinde saldırganların istismar etmek üzere açıklığa sahip bir sistem bulmasının çok zor olmadığı anlaşılmaktadır. Kurumlar genellikle, saldırıya uğradıktan sonra güvenlik konusunda daha fazla dikkat etmeye başlıyorlar. Bu da bir kurumların siber güvenlik altyapılarının güçlendirmesinin önemini ancak bir kez hacklendikten sonra anladıklarını göstermektedir.
2016 yılında gerçekleşitirilen BlackHat konferansına katılanlar arasında gerçekleştirilen ankete göre BlackHat katılımcılarının %72’si önümüzdeki 12 ay içerisinde büyük bir hacklenme vakası yaşayacaklarını düşünüyor.
Cyber Edge Grup tarafından Kuzey Amerika ve Avrupalı şirketlerin katılımıyla gerçekleştirilen ankete göre 2014 yılında katılımcıların %62 si son 12 ay içerisinde en az bir kez siber saldırıya uğradıklarını ifade etmişlerdir. 2015 yılı için son 12 ay içerisinde en az bir siber saldırıya uğradığını belirten katılımcı oranı ise %71’dir.
Aynı anket içerisinde katılımcılara önümüzdeki 12 ay içerisinde bir saldırıya uğrayacaklarını düşünüp düşünmedikleri sorulmaktadır. 2014 yılı sonuçlarına göre katılımcıların %71’i, 2015 sonuçlarına göre ise %76’sı son 12 ay içerisinde en az bir kez siber saldırıya uğracaklarını düşündüklerini belirtmişlerdir.
2015 yılında ISACA tarafından gerçekleştirilen ve 3,435 Bilgi İşlem Uzmanının katıldığı ankette ise katılımcıların %46’sı 2015 yılında bir siber saldırı beklediklerini belirtmişlerdir.
Maddi Kayıplar Ne Seviyededir?
Verizon Data Breach Investigation Report 2015’e göre siber saldırı sonucu oluşabilecek maddi zararlara ilişkin tahmin sonuçları aşağıda verilmiştir. Örneğin, 1.000.000 müşteri kaydı olan bir firmanın hacklenmesi durumunda bu durumun firmaya maliyetinin yaklaşık 1,2 milyon dolar olacağı tahmin edilmektedir, değişen şartlara göre bu rakamın 27,5 milyon dolara çıkması da muhtemeldir.
Yapılan anket sonuçlarına göre firmanızın ilerleyen zamanlarda bir saldırıya uğrayacağını biliyorsanız ve bunun önüne geçmek için aldığınız önlemler yeterli olamıyorsa üstelik başarılı bir saldırı sonucunda doğabilecek zararlar da çok yüksek ise ne yapmayı düşünürsünüz?
İşte bu durumda siber sigorta yaptırmayı düşünebilirsiniz.
Siber saldırılar büyük firmaları etkiledikleri gibi küçük ve orta büyüklükteki işletmeleri de etkilemektedir. Yapılan araştırmalara göre küçük ölçekteki işletmelerin %43’ü 2015 yılı içerisinde en az bir kez oltalama saldırısına maruz kalmıştır. Ayrıca çalınan her bir kaydın firmaya maliyetinin 217$ olduğu tespit edilmiştir. 1000 kayıt = 217.000$ anlamına gelmektedir.
Kurumunuzun siber risk skorunu öğrenmek ister misiniz? Hemen iletişime geçerek risk scorecard ürünü hakkında ücretsiz bir demo sahibi olabilirsiniz.