Eugene Kaspersky ile geçen sene Singapur’da tanıştığımda ilk izlenimim kendisinin siber tehditlere karşı paranoyakça bir yaklaşımının olduğuydu. Kaspersky Lab’in Kurucusu, Başkanı ve CEO’sunun şirkete yaptığı en büyük katkı, istisnasız her şeye şüphe ile yaklaşmasıydı. Bunu Kaspersky’nin interneti, “Tehditlerin İnterneti” olarak adlandırmasını vurgulayarak yansıtmıştık.
Kaspersky’nin o dönemde yarattığı tartışma, internete kimlik bilgileri ile girilmesini önermesi olmuştu. Kişilik ve gizlilik hakları ile ilgili kaygıları olanlar bu teze ateş püskürürken Singapur’daki sorular karşısında Kaspersky de bunun biraz abartılı bir önerme olduğunu kabul etmişti. Ancak tehditler karşısındaki tavrından bir adım bile geri atmış değil.
Günümüzün can yakan tehdidi fidye yazılımlarının popülerliğine kendisini kaptırmayan Kaspersky, bugün olduğu kadar geleceğin en büyük tehditlerini anlatırken siber silahlar gibi daha az bilindik bir konuya odaklanıyor; yeni tehdit alanları olarak elektrik hatları ve ulaşıma işaret ediyor.
Aslında bunun çok yeni olduğunu söylemek zor. Geçen sene Avrupalı bir sanayi devinin fabrika sistemlerine sızan zararlı kodun, üretim bandındaki metal bir bloğu raydan çıkararak maddi hasara neden olması, Singapur’da demosu ile birlikte sergilenmişti. Tabii, nesnelerin interneti ve Endüstri 4.0 bu tehditleri kıyas kabul etmeyecek kadar üst düzeye taşıyor.
Kaspersky Lab’ın açığa çıkardığı ve ağustos ayı içinde duyurduğu Project Sauron da siber tehditlerin çok daha ciddi hale gelebileceğine işaret ediyor. Eylül 2015’te Kaspersky Lab’ın müşterisi olan bir kuruluşun ağında tespit edilen olağandışı bir özellikten hareketle açığa çıkarılan tehdit, devlet kuruluşları arasında etkin ve her bir kurbanına bir dizi özgün araç ile saldırarak geleneksel risk göstergelerini işe yaramaz hale getiriyor. Adli analiz, ProjectSauron’un Haziran 2011’den beri faaliyette olduğunu ve 2016’da halen aktif olduğunu belirtiyor. Aradan bu kadar uzun zaman geçmiş olmasına karşın ProjectSauron’un kurban ağlara girmek için kullandığı ilk enfeksiyon vektörü hâlâ bilinmiyor.
Ulus-devletleri hedef alan ProjectSauron kapsamındaki saldırıların amacı daha çok siber-casusluk gibi görünüyor.
Özellikle şifreli haberleşmeye erişim sağlamakla ilgilenen ve bir dizi özgün araç ve teknikle çalışan gelişmiş bir modüler siber-casusluk platformu kullanarak bu haberleşmeyi ele geçiren ProjectSauron’un taktiklerinin en dikkat çekici özelliği, altyapısını ve implantlarını her bir hedefe göre özelleştirmesi ve onları bir daha asla kullanmaması. Elde edilen verilerin yasal e-posta ve DNS gibi çoklu yollar ile dışarı çıkarılması sayesinde bu yaklaşım, ProjectSauron’un hedef ağlar üzerinde gizli ve uzun vadeli casusluk operasyonları yürütebilmesini sağlıyor. ProjectSauron, gizli kalabilme konusunda Duqu, Flame, Equation ve Reign’in de aralarında bulunduğu diğer çok gelişmiş siber tehditlerin taktiklerini öğreniyor ve geliştiriyor.
Kaspersky Lab, Rusya, İran ve Ruanda’da bulunan 30 kuruluşu kurban listesine yazarken İtalya’da da kurbanların olabileceğine işaret ediyor. Olası kurban listesi daha uzuyor. Hedef alınan kuruluşlar arasında ise, hükümet, ordu, bilimsel araştırma merkezleri, telekomünikasyon operatörleri ve finansal kuruluşlar başta geliyor. Bu, ulaştırma ve enerji sistemlerinin çok üzerinde bir ölçek.
Eugene Kaspersky bunun üzerine değişen saldırgan profilini ekliyor; siber saldırganlar ile mafyavari yöntemler arasındaki mesafe kısalmış durumda. Üstelik siber güvenlik artık fiziksel dünyayı da kapsayan çok daha geniş bir coğrafyayı hedeflemek zorunda çünkü siber saldırılar fiziksel dünyayı da hedef alabilir hale geliyor. İşte, Kaspersky’nin sorularımıza verdiği yanıtlar…
Ransomware (fidye yazılımları) siber tehditlerin kralı olacak mı yoksa hackerlar yeni şaheserler üzerine çalışıyor mu?
Ben kötü amaçlı yazılımların “şaheser” olarak anılmasına katılmıyorum. Şaheser iyi, güzel bir şey olmalı; kötü amaçlı yazılımlar (malware) gibi zarar verici değil. Bazı kötü amaçlı yazılım üreticilerinin ve hackerların yaptıkları işte çok yetenekli olduklarını kabul ediyorum. Ama yanlış işler yapıyorlar. Kötü amaçlı yazılımlar çok çirkin ve ciddi şeyler. Fidye yazılımları da özel şahıslar ile işletmeler için kesinlikle çok büyük ve sürekli gelişen bir tehdit. Ama bana göre, bugünün bilgi teknolojileri dünyasında başınıza gelebilecek en kötü ve en tehlikeli şey değil. En kötüsü, hayatımızı sürdürebilmek için muhtaç olduğumuz elektrik hatları ve ulaşım gibi kritik altyapılara zarar vermek için tasarlanmış siber tehditler. Biz böyle kötü amaçlı yazılımlara siber silahlar (cyberweapons) diyoruz. Bunlar yıkıcı ve ölümcül olabiliyor. Şimdiye kadar bu tür araçların kullanıldığı pek fazla olay görmedik, ama bunlar olmuyor değil. Hollywood filmlerinden, bilim kurgu senaryolarından bahsetmiyoruz.
Nesnelerin interneti (IoT) ve Endüstri 4.0’ın büyümesiyle yeni siber güvenlik temaları neler olacak?
Siber güvenlik önceleri daha çok bilgisayarlar ve ofis ağlarının korunması ile ilgiliydi. Ardından mobil cihazlar için tehditler çıkageldi. Bence gelecekte gömülü bilgisayarlar için, yani çevremizdeki tüm bilgisayarlı cihazlar için ve endüstriyel sistemler için güvenliğin sağlanması siber güvenlik için çok büyük bir mesele olacak. Bu alanlarda güçlü bilgi teknolojisi savunmaları oluşturabilmek için farklı araçlar ve farklı yaklaşımlar gerekiyor. Örneğin, endüstriyel ortamda tüm çalışma süreçlerini ve veri akışlarını kesintisiz hale getirmek önem taşıyor. Aksi takdirde bir şey her an bir yerden patlak verebilir. Siber güvenlik artık sadece “siber” de değil; giderek fiziksel gerçek dünya güvenliği ile ilintili hale geliyor. Oldukça ilginç bir zamanda yaşıyoruz. Bugünün ve geleceğin dijital ekosistemini herkes için güvenli hale getirebilmek için önümüzde büyük zorluklar var.
Güvenlik açısından otomobilleri de hedefleriniz arasına aldınız mı ve yakın gelecekte başka nelere odaklanmalısınız?
Tüm ayrıntıları veremiyoruz ama şu anda otomotiv güvenliği üzerine oldukça ilginç projeler üzerinde çalışıyoruz. Modern bir araba bir uç noktadan daha fazlası. Rakamlarla oynandığında gerçek hayatta zarara neden olabilecek gerçek bir siber-fiziksel sistem. Otomotiv güvenliği yakında sektörümüz için çok büyük önem kazanacak. Daha önce söylediğim gibi bir diğer odak noktamız, özellikle kritik altyapıların korunması açısından, endüstriyel güvenlik.
Ancak siber suçluların yaptıkları işte nasıl giderek daha iyi olduklarını görüyoruz. Bazıları, APT olarak adlandırılan son teknoloji ürünü hedefli saldırılar üzerine uzmanlaşıyor. Kısa bir süre önce tüm APT’ler neredeyse tamamen devlet düzeyinde operasyonlar gibi görünüyordu. Artık öyle değil. Bu işin içinde sayıları gitgide artan suç çeteleri var. Bilgi teknolojisi güvenlik şirketleri, işletmeleri ve özel kişileri bu tarz saldırılardan korumakla fazlasıyla meşgul olacak. Bir başka endişe verici olasılık ise, suçluların bazı kritik operasyonları aksatıp, daha sonra onları yeniden başlatmak için büyük fidyeler isteyeceği hedefli fidye yazılımları. Şimdiden hastanelere çok sayıda saldırılar yapıldığını gördük. Bence bu durum, bu tür çetelerin hiçbir ahlaki sınırlarının olmadığını ve ciddi zararlar veren şeyler yaparken gözlerini bile kırpmayacaklarını gösteriyor.
Blockchain altyapısı ve dijital ödeme sistemleri siber tehditler için adeta yeni bir üs inşa ediyor. Bu alan ne açıdan önemli ve gelecekte daha ne kadar büyüyebilir?
Blockchain teknolojisi ve kripto-para halihazırda siber suçların odak noktalarından biri. Bitcoin pazarlarına yönelik saldırılar, bitcoin çalan yazılımlar ve bitcoin madenciliği yapan botnet’ler oldu.
Ben blockchain teknolojilerinin, geleceğin güvenlik teknolojileri üzerinde bir rol oynamasının muhtemel olduğunu düşünüyorum. Blockchain’deki zincirlerden, örneğin seçimlerde kullanılacak güvenli bir platform oluşturmak için faydalanılabilir. Blockchain ile güzel şeyler yapabilmek adına büyük bir potansiyel olduğunu düşünüyorum.
Sigorta şirketleri siber güvenlikten giderek daha fazla bahsediyor. İş dünyasında Kaspersky gibi şirketleri sigorta ve benzeri şirketlerle bir araya getiren yeni bir ekosistem var mı?
Bir siber güvenlik ihlali çok büyük bir iş riski oluşturuyor ve bu yüzden siber güvenliğin sigortalanması gayet doğal. Riskleri tanımlamak, ölçmek ve fiyatlandırmak için sağlam metotların oluşturulması gerekiyor ve bence bir noktada böyle şeyler söz konusu olacak. Siber güvenlik sigortası henüz gelişiminin çok erken aşamalarında bulunuyor. Bunun giderek yaygın hale gelmesi oldukça mantıklı görünüyor.
Bir karşılaştırma yaparsak, şu anda Kaspersky ile hacker camiasının güçlü ve zayıf noktaları neler?
En güçlü yanımız doğru şeyi yapıyor olmamız ve muhtemelen sektördeki en iyi beyinlere sahip olmamız. Ama suçluları tek başımıza yenemeyiz. Çünkü sonuçta onları tutuklayıp hapse atamıyoruz. Bu, kolluk kuvvetlerinin işi.
Hackerlar, yerel yönetmeliklerdeki açıkları ve emniyet kuvvetlerinin uluslararası işbirliğindeki boşlukları istismar ediyor. Bazıları çok kısa sürede çılgın düzeyde paralar kazanıyor. Ama bence en sonunda iyi olan taraf kazanacak.
Siber suçluların zihniyeti ne yönde değişiyor ve sizin için gelecekte hangi alanlar daha kritik olacak?
On yıl önce siber suçlar ile geleneksel, mafyavari organize suçlar arasında net bir ayrım vardı. Ama bugün bu sınır bulanıklaşıyor. Geleneksel suç çeteleri, uyuşturucu ticareti gibi geleneksel işlerini kolaylaştırmak için gözlerini bilgi teknolojilerine dikmiş durumda. Siber suçların, insanlığa acı çektirmek adına gösterdikleri yüksek tolerans ile çok zalimleştiklerini ve böylece organize suçlara dönüşme yolunda ilerlediklerini düşünüyorum. Genelde siber suçlardaki zihniyet, paranın kral olduğudur ve ona ulaşmak için elden gelen her şeyi yapmaktır. Ancak hastanelere yapılan ransomware saldırıları bu insanların ne kadar acımasız olduğunu ve onlar için hiçbir şeyin dokunulmaz olmadığını gösteriyor. Onların daha iyi insanlara dönüşmelerini beklemiyorum.
Gelişmiş ülkeler de siber saldırılara hazır değil
Intel Security ve Stratejik ve Uluslararası Araştırmalar Merkezi’nin (CSIS) araştırmasına katılanların yüzde 82’si siber güvenlik uzmanlığında eksiklik olduğunu kabul ediyor.
Intel Security ile Stratejik ve Uluslararası Araştırmalar Merkezi (CSIS) tarafından şirketler ve ülkeler düzeyinde gerçekleştirilen araştırma siber güvenlik uzmanı eksikliğini ortaya koyuyor. Araştırmaya katılanların yüzde 82’si siber güvenlik uzmanlığında eksiklik olduğunu kabul ediyor. Bu eksiklik nedeniyle hackerlar açısından kolay birer hedefe dönüşen kurumların doğrudan ve ölçülebilir zarar gördüğünü belirtenlerin oranı ise yüzde 71.
Avustralya, Fransa, Almanya, İsrail, Japonya, Meksika, ABD ve İngiltere’de gerçekleştirilen araştırmaya katılanların dörtte biri, kurumlarının siber güvenlik uzman açığı nedeniyle tescilli verilerini kaybettiğini belirtiyor. Bulut, mobil uygulamalar ve nesnelerin interneti gibi alanlardaki gelişmeyle birlikte, ileri düzeydeki hedefli siber saldırılar ve siber terörizmin yarattığı tehdit büyüyor.
Bununla mücadeleye hazırlanma konusunda da önemli eksiklikler var. Araştırmaya katılanların sadece yüzde 23’ü eğitim programlarının öğrencileri sektörün ihtiyaçlarına göre hazırladığını düşünüyor. Uygulamalı eğitim, bilgisayar oyunları, teknoloji alıştırmaları ve sistem kırma çalışmaları gibi alışılagelmişin dışındaki eğitim yöntemleri, siber güvenlik eğitimleri için daha etkin araçlar olarak görülse de bu konudaki bilinç henüz aksiyona yansımış değil.
Aynı durum devlet politikaları için de geçerli. Halihazırda araştırmaya katılanların yüzde 76’sı devletlerin siber güvenlik uzmanı geliştirmeye yeterince yatırım yapmadığını belirtiyor. Bu eksikliğin ABD, İngiltere, İsrail ve Avustralya devlet başkanlarının geçtiğimiz yıl siber güvenlik işgücüne desteğin artırılması yönündeki çağrılarından beri önemli bir siyasi konu olarak gündeme oturmuş olması olumlu. Ancak zamanın hızlı aktığı siber saldırı dünyasında bir kez daha bilinç ile aksiyon arasındaki dengenin yeterince iyi kurulamadığı görülüyor.
