Küresel ölçekli şirketlerden, orta ve küçük çaplı işletmelere kadar coğrafya fark etmeksizin yüzbinlerce kuruma korku salan bu siber tehdit sadece geçtiğimiz sene global ekonomiye 20 milyar dolar zarar verdi.
Siber saldırganların yeni gözdesi olan fidye yazılımlar ile hackerlar bir kurumun dijital ortamına sızarak, dosyaları şifreliyor ve erişilmez hale getiriyor. Kurumdan şifreyi verme karşılığı fidye isteyen saldırganlar kripto paralar üzerinden ödeme yapılmasının ardından şifreyi vererek kurumun yeniden dosyalarına ulaşmasına izin veriyor. Fidyenin ödenmediği durumda ise şirket tüm dosyalarını kaybetmiş oluyor.
2019 yılında bildirilen siber saldırıların yüzde 85’ini fidye yazılımlar oluşturuyordu. Bu istatistik Covid-19 sürecinde artan dijitalleşme ile birlikte daha da arttı. 2019’da 188 milyon fidye yazılım saldırısı olurken bu rakam bir sonraki sene 304 milyona ulaştı.
Sadece 2021 yılının ilk yarısında ise 304.7 milyon ile fidye yazılım saldırısı bildirildi. Fidye yazılımlar bugün bazı siber suç gruplarının adeta ‘ekmek kapısı’ haline gelmiş durumda.
Şirketlerin siber tehditlere karşı aldığı önlemler saldırganları yavaşlatmaya yetmiyor.
Fidye yazılım saldırısına uğramış bir şirketin verilerini yedeklemiş olması, örneğin, bu şirketi siber tehdit unsurlarından tam olarak korumada yeterli olmuyor. Son dönemde stratejilerini geliştiren saldırganlar, verileri sadece şifrelemekle kalmıyor aynı zamanda çalıyor.
Çaldıkları verileri ise fidye ödenmediği takdirde parçalar şeklinde ifşa etmekle tehdit ediyor.
Yöneticilerin kişisel belgelerinden şirketin anlaşmalarına kadar farklı gizlilik seviyesindeki bu verilerin internete sızdırılması sadece IT birimlerine değil tüm şirket için işkenceye dönüşüyor. Fidye yazılımı süreci boyunca dosyalarına ulaşamayan şirket müşterilerine ve iş ortaklarına da yeterince hizmet veremediğinden iş sürekliliği kesintiye uğruyor. Şirketleri hem maddi hem de itibari açıdan zarara uğratan fidye yazılım kâbusu ortalama 21 gün sürüyor.
En büyük neden oltamala saldırıları
Fidye yazılım çetelerinin kurban listeleri oldukça kalabalık. Apple, Acer gibi teknoloji devlerinden Accenture gibi küresel danışmanlık şirketleri listede dikkat çeken şirketler. Sadece büyük kurumlar değil, bilgisayar sistemlerine bağlık her boyuttaki şirket siber saldırganların hedefinde. Köşedeki beyaz eşyacıdan, AVM’deki restoran zincirine kadar her kurum büyüyen fidye yazılım tehdidine karşı önlem almak zorunda.
Statista’nın 2020 yılında yaptığı araştırmaya göre fidye yazılım saldırılarının en büyük nedenini yüzde 54 ile oltalama saldırıları oluşturuyor. Kurum çalışanlarını hedef alan bu zararlı e-posta türü, zararsız ve gerçek gibi görünse de, bilgisayar sistemine bulaştırılmak üzere bir zararlı yazılım içeren bir link ya da dosya eklentisini barındırıyor.
“Erken rezervasyon avantajını kaçırmayın” gibi e-postanın alıcısına sahte bir ‘havuç’ uzatan siber saldırganlar eposta içerisinde kullanıcıyı bir linke tıklamaya ve/veya bir dosyayı indirmeye ikna etmeye çalışıyor. Siber güvenlik konusunda farkındalığı zayıf olan bir kullanıcının saldırganın tuzağına düşmesinin faturasını tüm şirket çok ağır şekilde ödeyebiliyor.
En zayıf halkanız kadar güçlüsünüz
Bir anlık bir hatanın şirketin itibarını sarsmasına ve maddi zarar vermesine önüne geçmenin yegane yolu, çalışanların siber güvenlik farkındalıklarını artırmaktan geçiyor. Fidye yazılımların şirketleri felce uğratması bir ‘tık’ kadar kolayken, şirketler siber güvenlikte en zayıf halka olarak değerlendirilen ‘insan’ kadar güçlü. Diğer bir deyişle siber güvenlik farkındalığı zayıf bir çalışan kadar siber saldırganlara karşı dayanıklısınız.
Farkındalığın kolektif bir şekilde artırılması şirket bazında bir seferberlikten geçiyor. Siber güvenliği şirket kültürünün bir parçası haline getirmek için çıkılan bu yolun ilk adımı farkındalık eğitimleri.
Çalışanlarınıza gerçek saldırı senaryolarındaki gibi zararlı epostalar göndererek dayanıklılığınızı ölçebilir, aynı zamanda tüm çalışanlarınıza hitap edecek şekilde hazırlanmış eğitimler ile en zayıf halkanızı güçlendirebilirsiniz?
Bu yazı Digital Report Dergisinin 15. sayısında yayınlanmıştır.
