Küresel siber suçlar 2021’de işletmelere 6 trilyon dolara mal oldu. 2025’e kadarsa bu kaybın yıllık 10 buçuk trilyon dolara ulaşması bekleniyor. Siber tehditler gelişmeye devam ediyor, saldırıların karmaşıklığı da artıyor. Özellikle pandemi döneminde bireylerin online alışverişe yönelmesi, kart bilgilerinin ele geçirilmesine yönelik yazılımları artırdı. 2020 yılında 580 binden fazla yeni kötü amaçlı yazılım keşfedildi. İstanbul Üniversitesi Üniversitesi İstatistik Araştırma Merkezi Müdürü Prof. Dr. Haluk Zülfikar, ülkelerin şirketlere yönelik siber güvenlik saldırılarını TRT Haber’e değerlendirdi.
Pandemide siber saldırı şekilleri gelişti
“Yeni dünyayı ifade ederken anlayamadığımız kelimeler, anlayamadığımız kavramlar var. Eğer bunları anlayamazsak 2021 yılının sonuna kadar 6 trilyon dolar iş dünyası para kaybetmiş olacak siber saldırılardan dolayı. 2025’te bu kaybın 10 buçuk trilyon dolara ulaşması bekleniyor. Siber sahtekarlığın 8 ayrı türü var. Hepsi birbirinden kritik… Yaptığımız araştırmalar gösteriyor ki; Türkiye’deki firmaların, yani küçük orta ölçekli işletmelerin sadece yüzde 12’si dijital dünyayla ilgili teknik destek alıyor. Bu destek güvenlik için de değil, bilgisayarın bozulması gibi basit konular da bu yüzde 12’nin içinde. Türkiye’deki büyük ölçekli firmaların oranı yüzde 3 civarında. Pandemide de siber saldırılarda özel teknikler gelişti. Bir görüş var ki, pandemi dönemi siber saldırıların gelişmesi için ciddi bir fırsat dönemi oluşturdu. Bir sürü saldırı sistematiğinin bu dönemde geliştirildiği iddia ediliyor.”
Şirketlerin en sık uğradığı 8 saldırı türü:
E-dolandırıcılık Kötü amaçlı yazılım Fidye yazılımı Veri ihlalleriKimlik hırsızlığı Hizmet engelleme saldırıları Tedarik zinciri saldırıları Siber-fiziksel saldırılar
Kimlik avı ve kötü amaçlı yazılımlar her boyutta işletmenin karşılaştığı en büyük siber riskler… E-posta, telefon, kısa mesaj veya sosyal medya mesajlarıyla bu saldırılar gerçekleştirilebiliyor. Kimlik avı saldırılarının sayısı 2020 yılında tam iki kat arttı. Kötü amaçlı yazılım saldırılarının sayısı ise 10 milyarı geçti. 2020 yılında işletmelerin yarısından fazlası, işi kesintiye uğratan kötü amaçlı yazılım saldırısına uğradı. 300 milyondan fazla yazılım saldırısı gerçekleşti. Rusya ve Çin kaynaklı saldırıların etkisinin 2021 ve sonrasında daha çok hissedileceği endişesi var.
Veri ihlalleri, fidye yazılımlar, kimlik hırsızlığına, balina avı, CEO dolandırıcılığı gibi birçok yeni saldırı yöntemi de eklendi.
“Mesela küçük bir elektronik tamir yaptığınız dükkanınız var. Sizi de ilgilendiriyor mu bu saldırılar diye sorarsanız evet ilgilendiriyor. Komplo dizayn ederek oyuna getiriyorlar şirketleri. Özellikle CEO’lara, büyük şirketlerin yönetimlerine karşı özel uygulamaları var. Çok ciddi koruma altında olan bir kitle olmasına rağmen, geçtiğimiz yıl CEO’ların yüzde 5’i bu saldırılara maruz kaldı. MTA’ları ve finansal varlıkları, malları, ticari değeri olan unsurlarla beraber hisse senetleri, tahvilleri, dövizleri, arsaları tapu sistematiği üzerinden ele geçirilmeye çalışılıyor. Firmaların tedarik zincirleri ele geçiriliyor. Müşteriler komple ele geçirilebiliyor. Bunların hepsi veriler. Veriler ele geçiriliyor… O yüzden veri güvenliği, verilerin nerede saklandığı nasıl muhafaza edildiği çok önemli.”
Siber saldırı şekillerine yönelik farkındalık az
Siber saldırıların şekli ve karmaşıklığı artıyor. Ancak bu konuda tüm dünyada bireyler yeterince bilgi sahibi değil… 40 yaşından büyük olanların üçte biri, 18-39 yaşındakilerinse yaklaşık yarısı “kimlik avı” teriminin ne anlama geldiğini dahi bilmiyor. Türkiye’de de genç kuşağın yüzde 88’i bu saldırılardan habersiz. Ancak online dünyada ticaretin, finansal yapının içinde en çok yer alan yine gençler…
“ABD’de yaş gruplarına soruluyor. Bize e-dolandırıcılığı anlatabilir misiniz? 40 yaş üzerinde doğru tanılama oranı ABD’de yüzde 40… 18-39 yaş arası yüzde 34… Peki Türkiye’de? 40 yaş üstünde yanlış tanımla, yüzde 62. Doğru tanımlayabilme yüzde 38. 18-39 yaşta yüzde 12 doğru tanımlıyor. yüzde 88’i genç kuşağın tanımlayamıyor.”
Şirketler gelirlerinin yüzde 5’ini kaybediyor
Şirketler her yıl gelirlerinin yaklaşık yüzde beşini bu saldırı şekilleriyle kaybediyor. Uzmanlara göre tüm dünyada çalışanların ve müşterilerin koruması için bir an önce harekete geçilmesi gerekiyor.
İşletmeleri güvende tutmak için atılabilecek bazı temel adımlar var. Her şeyden önce, çalışanların kimlik avı girişimlerini tespit etmek için eğitilmesi gerekiyor. Dikkat edilmesi gereken temel işaretleri bilmek, saldırılara kurban gitmekten kaçınmanın en iyi yolu… Bu tür saldırılara karşı geliştirilen yazılımlar kullanmak da, saldırı girişimlerini engellemek için önemli bir bariyer. Kötü amaçlı yazılım, sistemlere genellikle dolandırıcı bir e-postadaki bir bağlantı yoluyla girer. Siber suçlular, kötü amaçlı yazılımları sistemlere aktarmak için genellikle güvenlik açıklarından yararlanıyor. 10 web uygulamasından 9’u bilgisayar korsanlarına karşı savunmasız, ancak saldırıların yüzde 80’i en az iki yıllık güvenlik açıklarından yararlanır, bu nedenle güncellemeleri uygulamak oyunun kurallarını değiştirebilir.
“Zaten her şeyimiz ellerinde diyoruz. Hayır, sizin hiç bilmediğiniz, her şeyimiz değiniz şeylerin ne olduğunu bile bilmiyorsunuz. Bu nedenle bilgisizlikten acil kurtulmamız gerekiyor. Spekülasyonlardan uzak, insanı korkutmayı değil, teknolojiden uzaklaşmadan maksimum faydalanarak,teknolojiyi reddetmeden yaşamamızı sağlayacak bir yöntem üretmek zorundayız. Teknikler, yöntemler ciddi miktarda artmış durumda. Analizler gösteriyor ki, 2020 yılında yapılan siber saldırıların yaklaşık yüzde 90’ının güvenlik sistemi olduğunu düşünen kurumlar üzerinden gerçekleştirilmiş. Nedeni nedir diye sorarsanız, önlemleri maalesef bilemiyoruz. Siber dünyada hepimizin temel bilgileri elde etmemiz lazım… Tıpkı araba ehliyeti gibi bizim dijital dünyada ticaret yapma eğitimine acilen sahip olmamız lazım.”
TRT