NotPetya üzerinden 3 yıl geçti; sigorta sektörü ne öğrendi?

Dünyadaki en büyük siber saldırı olan NotPetya saldırılarının üzerinden 3 yıl geçti. Uzmanlar siber güvenlik ve saldırı engelleme teknolojilerinin her zamankinden daha güçlü olduğunu kabul etse de, büyük çaplı başka bir saldırı ihtimalini aklımızdan çıkarmamız için henüz çok erken.

Ukrayna’da 2017 yılının Temmuz ayında başlayan NotPetya zararlı yazılımı saldırısı nakliyat devi Maersk ve ilaç devi Merck gibi şirketlerin sırasıyla 300 milyon dolar ve 870 milyon dolar kaybetmelerine yol açmış, küresel boyutta ise 10 milyar dolara yakın hasar oluşmasına neden olmuştu. Günümüzde teknoloji ve güvenlik çözümleri ne kadar ilerlemiş olsa da risk devam ediyor. Uluslararası siber güvenlik şirketi olan CyberCube’un müşteri hizmetleri başkanı Oliver Bew, NotPetya saldırılarının sektördeki potansiyel sistemik açıkları ortaya çıkardığını ifade ediyor.

EK TEMİNAT DEĞİL BAŞLI BAŞINA POLİÇE

Diğer taraftan, NotPetya saldırıları sadece şirketlerin siber açıklarını değil, aynı zamanda poliçelerdeki belirsizlikleri de göz önüne getirdi. Saldırıdan sonra düzenleyicilerin de konuya eğilmesiyle beraber siber teminatların düzenlenmesi (sessiz siber) ya da tek başına bir ürün oluşturulması konusunda tartışmalar alevlendi. Sessiz siber terimi, geleneksel yangın ve sorumluluk sigortalarında eklenen (ya da eklenmeyen) potansiyel siber saldırılara karşı teminatları içeriyor. Bu tarz bir teminat ise saldırının türüne göre belirli siber riskleri kapsam dışında bırakabiliyor. Böylesi bir durum da, siber olaylarda hasarın ne kadarının teminat altında olduğunun bilinmemesine yol açabiliyor. Tek başına bir siber sigorta ise, bahsettiğimiz poliçeler dışında, başlı başına bir ürün olan ve sigortacıdan alınabilen siber sigorta ürünleri anlamına geliyor. Bu ürünler siber risklere kapsamlı bir teminat sunmak için özel olarak hazırlanıyor. NotPetya saldırısında da görüldüğü gibi, bazı halleri teminat dışında bırakan ve ancak limitli bir koruma sağlayan siber teminatlara sahip olmanın riski son derece büyük. Siber risklere karşı kurumlarının risklerini sigortalatmak isteyenlerin siber sigorta ihtiyaçlarını iyi anlaması ve ihtiyaçlarıyla tamamen örtüşen ürünleri satın alması gerekiyor.

PANDEMİ RİSKİ ARTIRIYOR

NotPetya üzerinden henüz kısa bir süre geçmiş olsa da yeni riskler ufukta görünüyor. Siber teminatların da bu yeni risklerle beraber evrilmesi büyük önem taşıyor. COVID-19’un getirdiği yeni riskler bu konuda iyi bir örnek.

Pandemi nedeniyle pek çok şirket uzaktan çalışma modeline geçmiş durumda. Bu durum ise siber bir saldırı ihtimalini oldukça artırıyor. Kurum içindeki cihazlar yerine evdeki cihazların kullanılması, yeterince iyi kontrol edilemeyen ve senkronize bir güvenlik ağına sahip olmayan sistemlerde saldırıların etkilerinin daha büyük olmasına neden oluyor. Şirketlerin evden çalışmanın getirdiği artan risklerle başarılı bir şekilde mücadele edebilmesi için bu konuyla ilgilenen tecrübeli bir IT ekibine sahip olması, teknolojik altyapılarını uygun olarak düzenlemesi ve çalışanlarını bir saldırı durumunda yapılacaklarla ilgili bilgilendirmesi gerekiyor.

Sigorta şirketlerinin siber risklerle mücadelede kullanmaya başladıkları en etkin yöntemler; müşterilerin artan siber risklere karşı proaktif hasar azaltma stratejileri konusunda eğitilmeleri, daha gerçekçi felaket senaryolarının ve buna uygun modellerin geliştirilmesi, saldırıların iş süreçlerine etkilerinin derinlemesine incelenmesi ve sürdürülebilir pazar koşullarının devamı için gerekli önlemlerin alınması olarak görülüyor.

Gelecekteki siber sigorta ürünlerinin ve bu ürünlerin teminat kapsamlarının veriler dikkate alınarak; yani yapay zeka kullanılarak önceki hasarların genel bir haritası oluşturularak belirlenmesi ve underwriting sürecinin tek seferlik değil, risklerle beraber değişen ve kendini güncelleyen bir yapıya bürünmesi önem taşıyor. 

PwC Türkiye Siber Güvenlik ve Veri Koruma Hizmetleri Şirket Ortağı Özkan Kıvanç: ‘Etkili savunmanın yolu denetim ve danışmanlıktan geçiyor’

“Bu tip (NotPetya benzeri) saldırıların her geçen gün artması ve gelişmesi sonucu ‘güncel’ ve ‘etkili’ kalabilmenin de zorlaştığı bilinen bir gerçektir. Doğru sıklıkta ve doğru şekilde faydalanılan denetim ve danışmanlık hizmetleri, kurumların ‘güncel’ ve ‘etkili’ bir savunma oluşturmalarına yardımcı olabilmektedir.” 

Fidye saldırılarıyla her geçen gün daha sık karşılaşmakta olduğumuzu ifade eden PwC Türkiye Siber Güvenlik ve Veri Koruma Hizmetleri Şirket Ortağı Özkan Kıvanç bu tip saldırıların kurumlar üzerinde etkisinin fazlasıyla yıkıcı olabileceğini söyledi. “NotPetya saldırısı, başarıya ulaşmış bir siber saldırının sonuçlarını acı bir şekilde gözler önüne sermiştir. NotPetya saldırılarına uğrayan kurumların saldırı sonrasında operasyonel anlamda durması hem kurum hem kurum ortakları hem de ortak fayda zincirinin her ucunda hissedilen bir etki yaratmıştır” şeklinde konuşan Kıvanç, sözlerine şöyle devam etti: “Özellikle saldırının öncelikli hedefi olan ülkelerdeki ekonomik hareketler hem ulusal hem uluslararası çapta olumsuz dalgalanmalar yaratmıştır. Konuya ilişkin saldırıda öncelikli hedeflerin arasında Türkiye olmadığını an itibariyle biliyor olsak da siber silahların bizi ilerde hedef almayacağını düşünmek doğru olmayacaktır.”

Saldırıya uğrayan organizasyonların ilk adımlarının, sistemlerini operasyonel anlamda tekrar çalışır hale getirmek olması gerektiğini dile getiren Kıvanç, sözlerine şöyle devam etti: “Bu aşamada, bilgi güvenliği kapsamında alınan önlemlerin ve yapılan yatırımların hem saldırı sırasında hem de saldırı sonrasında ne gibi faydaları olduğunu görmek mümkün olmuştur. Doğru konfigürasyonlar sonucu saldırıların verdiği hasarın daha fazla büyümeden önüne geçilmesi, yedekleri alınmış ve test edilmiş sistemlerin kolayca eski haline getirilebilmesi gibi önceden düşünülmüş ve kurum bilgi güvenliği politikalarında yer edinmiş basit adımların bile saldırı sırası ve sonrasında kurumlara dikkate değer katkısı olduğu gözlemlenmiştir. Bu kapsamda alınan önlemlerin operasyonel süreçteki ciddi katkıları bir kez daha kanıtlanmış ve kurumların bilgi güvenliği kapsamındaki ihtiyaçları, acı bir ders ile de olsa bir kez daha ortaya çıkmıştır.”

SİBER RİSKLER DE KURUMSAL RİSKLER GİBİ BELİRLENMELİ

Kıvanç, NotPetya gibi saldırıların organizasyonlar içerisinde göz önüne çıkardığı eksiklikleri de değerlendirdi. “Sistemlerde denetim eksikliği, kurum güvenlik mimarisinde yapılan hatalar, her kademede tüm personelin siber güvenlik konusunda bilinçlendirilmemesi gibi birçok faktör, saldırıların etkili olmasına sebep olan unsurlar arasındadır” diyen Kıvanç, “Kurum bilgi güvenliği politikalarının olgunlaştırılması üzerine yapılan hiçbir çalışma verimsiz kalmayacaktır ancak, doğru ürünler, doğru süreçler, doğru organizasyon ve doğru eğitimlere kurum bünyesinde yer veriliyor olsa dahi, bu tip saldırıların her geçen gün artması ve gelişmesi sonucu ‘güncel’ ve ‘etkili’ kalabilmenin de zorlaştığı bilinen bir gerçektir. Doğru sıklıkta ve doğru şekilde faydalanılan denetim ve danışmanlık hizmetleri, kurumların ‘güncel’ ve ‘etkili’ bir savunma oluşturmalarına yardımcı olabilmektedir” şeklinde konuştu. 

Kıvanç, risklerin denetlenmesiyle ilgili: “Zaaflardan kaynaklanabilecek riskleri minimize etmenin bir başka yolu ise etkin risk yönetimi. Siber riskler de diğer kurumsal riskler gibi belirlenmeli, iş hedefleri ve süreçleriyle eşleştirilmeli, aksiyonları belirlenmeli ve üst yönetim de dahil olmak üzere ilgili paydaşlar tarafından izlenmelidir” dedi. Kıvanç, verilerin nasıl saklandığı gibi faktörlerin de sorumluluk tarafında belirleyici olacağını sözlerine ekledi: “Bu tip saldırılarda saldırganların tek amacı sisteme bir kilit koyup ardından da anahtar için para istemek olarak düşünülse de pek doğru sayılmaz. Doğru yetkiyi elde eden saldırganlar kurum ve kurum müşterileri hakkında kişisel bilgileri ele geçirme şansı yakalamaktadırlar. Kurumların elindeki kişisel verileri nasıl sakladıkları, hangi verileri ne amaçla kullandıkları gibi unsurlar, sorumluluklarının artmasına neden olarak gösterilebilir.”

SFS Dijital Sigortacılık Grup Müdürü İbrahim Üstünel: ‘Yaşanan dersler güvenle uçmamızı sağlıyor’

“NotPetya ve benzeri yıkıcı siber saldırıları ve doğurduğu sonuçları havacılık endüstrisine benzetebiliriz. Yaşanan onca kaza neticesinde alınan ve öğrenilen dersler şimdi güvenle uçmamızı sağlıyor. Benzer şekilde yaşanan yıkıcı siber saldırılar mevcut ve ileriye dönük alınacak tedbirlere ve planlanan yatırımlara yön verir oldu.”

“Teknolojinin hayatımızın her alanında derinlemesine yer alması, adeta tüm kılcal damarlarımıza dek teknoloji ile kuşatılmış olmamız ister istemez çeşitli riskleri de beraberinde getiriyor” diyerek kayıtlı ve düzenli bilginin paradan daha değerli olduğu ve dahası bilginin para ile satıldığı bir dönemden geçtiğimizi ifade eden SFS Dijital Sigortacılık Grup Müdürü İbrahim Üstünel, NotPetya ile ilgili şu açıklamalarda bulundu: “NotPetya ve benzeri saldırılar ile ‘Siber Güvenlik’ kavramı hakkındaki farkındalık her geçen gün firmalar lehine artış gösterdi. Hem ülkemizde hem de dünyada özel veya devlet kurumları rotasını siber güvenlik altyapısına çevirdi. Bu tip saldırılara karşı özellikle savunmasız kurumların önlem alınıncaya kadar geçen sürede yaşadığı süreçler, hem kurumlardaki birikmiş bilgiye hem de kurumların güvenilirliğine ve varoluşuna ne derece yıkıcı etkileri olabileceği görüldü. Buna istinaden siber güvenlik kavramı tüm dünyada toplantı masalarının, yönetim kurullarının, devlet otoritesinin öncelikli ve acil konuları arasına girdi.” NotPetya ve benzeri yıkıcı siber saldırıları ve doğurduğu sonuçların havacılık endüstrisine benzetebileceğini dile getiren Üstünel, sözlerine şöyle devam etti: “Yaşanan onca kaza neticesinde alınan ve öğrenilen dersler şimdi güvenle uçmamızı sağlıyor. Benzer şekilde yaşanan yıkıcı siber saldırılar mevcut ve ileriye dönük alınacak tedbirlere ve planlanan yatırımlara yön verir oldu. Kurumlar, başlarına geldiğinde milyarlarca dolar zarar etmektense çok daha azını harcayarak olası saldırıları daha güvenilir ve stabil bir yapıda karşılamayı sağladı.”

‘TEDBİRLER SİGORTAYLA PERÇİNLENMELİ’

Siber güvenlik altyapısına yeterince önem vermeyen özel kurumlar ve devlet kurumlarının saldırılara maruz kalarak onarılması güç zararlara ve itibar kaybına uğradığını belirten Üstünel, başlıca zaafları şöyle özetledi: “Kurumlarda gözlenen zaafları örneklemek gerekirse, güncel olmayan antivirüs uygulamalarını, eskimiş işletim sistemlerini, güncel yamaları geçilmemiş son sürüm işletim sistemlerini, kurum ağında kapatılmamış çeşitli portları, aşırı yetkilendirilmiş kullanıcıları sayabiliriz.” Üstünel, önlem olarak: “Siber güvenlik stratejileri doğrultusunda teşvik edilmeli, modern güvenlik yazılımları ve donanımları ile kapsüllenmeli, kurum içi network trafiği çeşitli izleme araçları ile yoğun bir şekilde kontrol ve takip edilmeli, açığa sebep olabilecek portlar kapatılmalı, kullanıcılar için yetki ve erişim kısıtlama kuralları belirlenmeli, veriler düzenli yedeklenmeli ve felaket durumları için replika sistemler hazır tutulmalı. Son yıllarda gündemde olan siber güvenlik sigortası ile alınan tedbirler perçinlenmelidir” dedi. Üstünel, sözlerini şöyle sonlandırdı: “Her tedbir siber saldırı gerçekleştirenler için aşılması gereken yeni bir adım ve kimi zaman bu adımları aşabiliyorlar. Ardından yeni tedbirler derken bu döngü bu şekilde devam ediyor. Bu döngüyü ülkemiz açısından değerlendirdiğimizde ise son yıllarda siber güvenlik ve dijital savunma alanında oldukça yol katetmekle birlikte, doyurucu noktaya henüz ulaşabilmiş değiliz. Ancak Dijital Türkiye yolunda ilerleyen ülkemiz, bilginin ve teknolojinin öneminin farkında ve engelleri aşmaya kararlı.”