2023 yılının istatistiklerine baktığımızda, en yaygın saldırı türünün insanların aldatılması yoluyla yayılan 'ransomware' fidye yazılımları olduğunu görüyoruz. Oltalama (phishing) yöntemi ile, yani kullanıcının çok iyi bildiğini düşündüğü ama aslında sahte bir eposta adresinden aldığı mesajla, fidye yazılımı gönderiliyor...

Teknolojik gelişmeler, siber güvenlik alanındaki değişimin ve gelişimin hızını, yönünü, niteliğini de belirliyor. Kuşkusuz, siber güvenlik alanındaki inovasyon, teknoloji alanındaki inovasyona paralel olarak şekilleniyor. Bulut bilişim, yapay zekâ, makine öğrenme gibi teknolojiler ile siber güvenlik alanında tehditleri algılama ve hızla yanıt verme konusunda önemli gelişmeler elde edildi. Savunucular operasyonel kazanımlar sağlarken, aynı teknolojilerden yararlanan saldırganlar saldırıları otomatikleştirmeye, saldırı hızını artırmaya, daha ikna edici aldatmacalar tasarlamaya başladırlar.

Yapay zekâ (AI) bu konuda iki tarafı en keskin bıçak desek yanlış olmaz. Çünkü yapay zekânın siber güvenlikteki kullanımı şunları mümkün kılıyor:

  • Davranış Analizi: Normal kalıplardan sapmaları belirlemek için kullanıcı ve sistem davranışının analizi
  • Örüntü Tanıma: Daha önce bilinmeyen tehditlerin makine öğrenme (ML) modelleri ile tanımlanması
  • Tahmine Dayalı Analitik: Geçmiş veriden ve mevcut eğilimlerden hareketle gelecekteki potansiyel tehditleri tahmin etme

Bu fonksiyonları kullanan anti virüs, saldırı tespit ve önleme, veri sızıntısını önleme, izleme ve keşfetme sistemleri başta olmak üzere güvenlik çözümleri geliştirildi. Ama aynı zamanda insan davranışını taklit etme ve gerçek zamanlı olarak uyum sağlama yeteneği sayesinde yapay zekâ güdümlü siber saldırılar daha sinsi hale geldi.

2023 istatistiklerine göre en yaygın saldırı türleri

Örneğin sahte videoların üretilmesine olanak sağlayan 'Deepfake' uygulamalarına kolayca ulaşılabiliyor. Kötü niyetli birinin yapması gereken tek şey, internetten kurbanının yeterince yüksek kaliteli görüntüsünü ve videosunu indirmek... Yakın gelecekte, yüz tanıma yöntemiyle kimlik doğrulama ve konferans görüşmeleri yeni saldırı vektörleri haline gelebilir.

Kaldı ki 2023 yılının istatistiklerine baktığımızda, en yaygın saldırı türünün insanların aldatılması yoluyla yayılan 'ransomware' fidye yazılımları olduğunu görüyoruz. Oltalama (phishing) yöntemi ile, yani kullanıcının çok iyi bildiğini düşündüğü ama aslında sahte bir e-posta adresinden aldığı mesajla, fidye yazılımı gönderiliyor. Kullanıcı yazılımı çalıştırınca verisi şifrelenerek erişimi engelleniyor. Şifreyi açacak anahtar için fidye isteniyor. Basit bir e-posta yerine kullanıcının tanıdığı birinin videosunu alınca nasıl davranacağını düşünürsek, Deepfake ile yapılabilecekleri tahmin edebiliriz.

2023 yılında çok yaygın olan bir diğer atak yöntemi ise DDoS saldırısıydı. Bu yöntemle farklı adreslerden çok sayıda iletişim paketinin sürekli olarak belli bir adrese gönderilmesi yoluyla, hedeflenen adres hizmet veremez duruma getiriliyor. Her zaman çok yaygın olan bu saldırı yönteminin geçtiğimiz yıl sadece büyük ve önemli kurumların web sitelerini değil, IoT (Internet of Things: bağlı nesneler) cihazlarını da hedef aldığına şahit olduk. Bu cihazlar evlerimizde kullandığımız 'akıllı' makineler olabildiği gibi, sağlık amacıyla veya kritik altyapıların izlenmesi, yönetilmesi için kullanılan cihazlar da olabilir. Bağlı nesnelerin yazılım ve donanım bakımından çeşitliliği, güvenlik standartlarının oluşturulmasını ve dolayısı ile korunmasını zorlaştırıyor. Standart güvenlik ürünleri bu cihazları tanıyamayabiliyor. Kurumlar bu tür cihazların envanterini tutmakta zorlanıyor. Çoğu zaman sınırlı bir fonksiyonu yerine getirmek üzere tasarlanan bu cihazların işlem kapasitesi düşük olmasına rağmen, zararlı yazılımlardan etkilenebiliyorlar. Kullanıcı farkındalığının düşük olması da eklenince bağlı nesneler hedef haline geliyor. Ancak IoT cihazının ele geçirilmesi, kişisel güvenliğin yanı sıra, ülkelerin sosyoekonomik yapısını ilgilendiren sağlık, enerji, eğitim, finans gibi alanlarda kritik altyapıları tehdit eden büyük riskler oluşturabilir.

Devler destekli aktörler

2023 yılının siber güvenlik açısından bir diğer yönü de devlet destekli aktörlerin rol aldığı bir yıl olmasıydı.

Yılın başında, Rusya'nın işgalini takiben Ukrayna hükümetine ve Ukrayna'yı destekleyen ülkelerin kamu ve medya kuruluşlarına karşı siber saldırılar arttı. Özellikle İnternette hizmet vermeyi engelleyen DDoS ve veri silme atakları gözlemlendi. Ancak Ukrayna'nın uyguladığı siber güvenlik programı ve aldığı uluslararası destek sayesinde saldırıların etkisinin sınırlı olduğu açıklandı.

Batılı ülkeler, Çin'in teknoloji alanındaki gelişimini önemli bir güvenlik tehdidi olarak algıladı. Birleşik Krallık başta olmak üzere, birçok ülke, Çin devleti ile bağlantılı siber casusların yüksek teknolojiye dayalı istihbarat sistemleri ile kendilerine ait kritik alt yapıları izlediğini iddia etti.

İran merkezli oltalama saldırılarıyla, karşıt görüşlü addedilen akademi, sivil toplum, medya, kamu kurumlarının yanı sıra, politikacı, gazeteci, aktivist bireylere fidye yazılımları gönderildiği tespit edildi.

Muhtemeldir ki, teknolojik gelişmelerin daha sofistike ve etkili saldırılar gerçekleştirmek için kullanılması, devletlerin siber saldırıları araçsallaştırması, hükümetlerin siber güvenlik düzenlemelerini yürürlüğe koymalarına neden oldu. Kişisel veri başta olmak üzere veri güvenliğinin sağlanması, kritik altyapıların korunması ve güvenlik ihlallerinin sorumlularının yaptırımlara maruz kalması düzenlemelerin odak noktalarıydı.

Türkiye ve AB'de durum

Türkiye'de "Ulusal Siber Güvenlik Stratejisi ve Eylem Planı / 2020-2023" ve "Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi" siber güvenliğin yönünü belirleyen çerçeveyi oluşturmaktadır. 2023 yılı, sektörel düzenlemelerin uygulamaya başlandığı bir yıl oldu. "Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği" ve "Sivil Havacılık İşletmelerine Yönelik Siber Güvenlik Talimatı" yılın ilk yarısında yürürlüğe girdi.

Komşumuz ve üyesi olmaya çalıştığımız Avrupa Birliği'nde de 2023 yılında önemli düzenlemeler hayata geçirildi ve planlamalar devam etti. Avrupa Komisyonu ve AB Dış İlişkiler ve Güvenlik Politikası Yüksek Temsilcisi, 2020 yılı sonunda yeni bir "AB Siber Güvenlik Stratejisi" sunmuştu. Hastaneler, enerji şebekeleri ve demiryolları gibi temel hizmetlerin güvenliğinin yanı sıra evlerde, ofislerde ve fabrikalarda kullanılan, giderek artan sayıdaki bağlı nesnelerin güvenliği kapsanmaktaydı. 16 Ocak 2023 tarihinde, bu strateji doğrultusunda hazırlanan NIS2 Direktifi yürürlüğe girdi. NIS2, AB genelinde siber güvenlik olgunluk düzeyini artırmak için şu gelişmeleri sağlayacak yasal çerçeveyi oluşturmaktadır:

  1. "Bilgisayar Güvenliği Olay Müdahale Ekibi" (CSIRT) ve yetkin bir ulusal ağ ve bilgi sistemleri (NIS) yetkilisi belirlemek gibi yöntemlerle, üye devletlerin hazırlıklı olması.
  2. Stratejik iş birliğini ve bilgi alışverişini desteklemek ve kolaylaştırmak için bir çalışma grubu kurmak sureti ile tüm üye devletler arasında işbirliği.
  3. Ekonomi ve toplum için hayati önem taşıyan ve büyük ölçüde bilgi iletişim teknolojilerine dayanan enerji, ulaşım, su, bankacılık, finansal piyasa altyapıları, sağlık ve dijital altyapı gibi sektörleri kapsayan güvenlik kültürünün oluşturulması.

Avrupa Parlamentosu ve Konsey, son kullanıcının, tüketicinin güvenliğini sağlayacak Siber Dayanıklılık Yasa Tasarısı (Cyber Resilience Act (CRA)) üzerinde çalışmaya devam etmektedir. Bu yasa ile, bebek monitörlerinden akıllı saatlere kadar dijital bir bileşene sahip ürünlerin üreticileri ve satıcıları için zorunlu siber güvenlik gereksinimleri tanımlanmaktadır. Düzenleme yürürlüğe girdiğinde, internete bağlı yazılımlar ve ürünler, yeni standartlara uyduklarını göstermek için "CE" işareti ile etiketlenecekler.

2024 ve sonrası için öngörüler

Yeni düzenlemeler ile 2024 yılına girerken, kuruluşlar dijital dönüşüm, bulut mimarisi, uzak ve hibrit çalışma ortamı için siber güvenlik gereklerini yerine getirmeye çalışırken, aynı zamanda risk yönetimi ve mevzuat uyumu konusunda çözümler geliştirmek için daha fazla kaynak ayırmak zorunda kalacaklar. Özellikle bilgi güvenliği yöneticilerinin (CISO) hayatı her geçen gün biraz daha zorlaşıyor. Gartner'ın 2024 yılı için öngörüleri şöyle:

  1. 2024 yılına kadar, GDPR/KVKK gibi kişisel verileri koruyan mevzuat tüketici verilerinin çoğunu kapsayacak, ancak kuruluşların yüzde 10'undan daha azı kişisel verinin korunmasını bir rekabet avantajına dönüştürebilecek 2025 yılına kadar, stres nedeni ile siber güvenlik liderlerinin neredeyse yarısı iş değiştirecek, yüzde 25'i ise tamamen işi bırakacak.
  2. 2025 yılına kadar, siber güvenlik liderlerinin yüzde 50'si, kurumsal karar alma sürecini yönlendirmek için siber risk ölçümünü kullanmayı denemiş ancak başarısız olmuş olacak.
  3. 2026 yılına kadar, büyük işletmelerin yüzde 10'u kapsamlı, olgun ve ölçülebilir bir sıfır güven (Zero Trust) programına sahip olacak. Bu oran bugün yüzde 1'den az.
  4. 2026 yılına kadar, tehdit algılama, araştırma ve müdahale (TDIR) yeteneklerinin yüzde 60'ından fazlası, tespit edilen tehditleri doğrulamak ve önceliklendirmek için maruz kalma yönetimi verilerinden yararlanacak. Bu oran bugün yüzde 5'ten az.
  5. 2026 yılına kadar yönetim kurullarının yüzde 70'inde siber güvenlik uzmanlığına sahip bir üye yer alacak.
  6. 2027 yılına kadar, çalışanların yüzde 75'i BT'nin bilgisi dışında bir teknoloji edinecek, değiştirecek veya yaratacak. 2022'de bu oran yüzde 41 idi.
  7. 2027 yılına kadar, büyük kurumsal CISO'ların yüzde 50'si, siber güvenlik kaynaklı sürtüşmeleri en aza indirmek ve güvenlik tedbirlerinin benimsenmesini en üst düzeye çıkarmak için insan merkezli güvenlik uygulamalarını benimsemiş olacak.

Öngörülerin ne oranda gerçekleşeceğini zaman gösterecek. Ancak siber güvenliğin kullandığımız cihazdan, global politikalara kadar, mikro ve makro düzeyde yaşamımızı etkilemeye devam edeceği kesin.

Originally published in T24

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.