Başınıza bu şekilde bir olay geldiğinde yapmanız gerekenler hakkında bilgiyi bu adreste bulabilirsiniz: http://bilisimsuclari.iem.gov.tr
Örnek olayımızda durumu anlamak adına sunucu'da nelerin olduğunu ve korsanların sisteme sızdıklarını nasıl anladıklarını sordum. Cevap oldukça basit, sorularıma aldığım cevaplar ise kara mizah derecesinde idi. Sunucuda önemli uygulamalar, veri tabanları, yazışmalar ve daha önemlisi bir de bunların yedekleri mevcut idi.
Korsanların yaptıkları tespit ettikleri bir açıkla sistemde yer alan network üzerinden paylaşımda olan dosyaları, bir dizine kopyalamak ve dizinde sıkıştırdıkları bu dokümanları şifrelemek idi. Sistemdeki önemli dokümanlarını Gutman metodu ile geri dönülemeyecek şekilde sildiklerini söylüyorlardı. (Recovery'nin işe yaramayacağından bahsediyorlar.) Sistem üzerinde ele geçirilmiş yüksek yetkili bir kullanıcı hesabı, ya da sistemde tanımlanmış yeni bir kullanıcı izi mevcut değildi. Sunucuya erişim gerçekleştiren IP adresleri incelendiğinde korsanların Hindistan senin, Brezilya benim gezdikleri görülüyordu. Şifreledikleri dosyanın uzantısını da her hangi bir çözme işlemine karşı silmiş olmaları idi. Sunucuya bıraktıkları text dosyasının içerisinde sisteminize sızdık. dokümanlarını geri istiyorsanız bizimle mail ile iletişim kurun. Şartlarda anlaşırsak sisteminizi size eski hali ile teslim edeceğiz ve sisteminizdeki açığı da kapatıp, çıkacağız.
Sonradan web üzerinden biraz araştırma sonucunda aynı suça konu olan irili, ufaklı işletmeler olduğunu gördüm. Her birine ayrı tutarlar teklif ediyorlar. Sonrasında ise pazarlığa giriyorlardı. Şifreledikleri dokümanlar şayet bir veri tabanı yedeği ise tutarlar yükseliyordu. Tabii web üzerinden sızdıkları sistem sahibi hakkında biraz bilgi edinip, fiyatlarının ona göre belirliyorlardı. Davranışları ve yazışmaları oldukça kibar. Pazarlık esnasında Rus ortaklardan bahsedip, olayın heyecanın artırıyorlar. Tabii tutarlar dolar üzerinden, ödeme ise alternatif ödeme yöntemleri ile gerçekleştiriliyor. Banka hesapları üzerinden değil.
Nette biraz araştırınca konuya ilişkin bir blog yazısına rastladım, örnek olaydaki ile aynı yöntemden bahsediyordu. Blog sahibini aradım, konuştuk biraz. Aynı olay başından geçen bir şirket yardım istemiş kendisinden, 3 günlük kayıpları olmuş, çalışanlarına biraz mesai yaptırıp, sistemdeki kaybı gidermişler. ellerinde hali hazırda yedek olduğu için ucuz atlatmışlar ama korsanlarla sıkı bir pazarlığa da tutuşmuşlar. 3bin dolardan bahseden korsanımız, tutar cebimden çıkacak diyen bilgi işlem personeline iyilik yapıp, 2 bin tutara inmiş. alış veriş gerçekleşmemiş. Bloğunda korsanlara ilişkin yazı yazan arkadaşa, günde nereden baksanız 2-3 tane telefon geliyormuş, ne yapmaları gerektiği konusunda. Varın şebekenin kazandığı parayı siz düşünün.
Gelelim yazının asıl kısmına Bilgi Teknolojileri konusunda yatırım yapmayı erteleyen, alt yapıyı oluşturmadan direkt CRM, ERP çözümleri kullanmaya yönelene KOBİ'lerimiz bu tarz saldırıların açık hedefi oluyorlar maalesef. İşletmelerinde driver yüklemek, office programları kurmak konusunda bilgi sahibi arkadaşları çalıştırmalarının yeterli olacağı hatasına düşüyorlar her zaman.
Elbette kurum çalışanlarına Bilgi Teknolojileri kullanımı konusunda destek sunacak paydaşların olması da önemlidir. Peki ya güvenlik? Gereksiz yatırım olarak düşünülen güvenlik çözümleri ve danışmanlıkları KOBİ'lerimizin çoğuna fazla geliyor, sonrasında bu tarz saldırıların hedefi oldukları zaman sığınacak liman arıyorlar. Girişimcilerin ya da idari yöneticilerin elbette teknik konulara hakim olmaları beklenemez, onlar açısından en önemli olan nokta çözüm ortağı olarak çalışan firmaları iyi seçmeleri ve firmanın güvenlik konusuna önem verdiklerinden emin olmalarıdır.
Benim bu konuda önerebileceğim bir kaç nokta olabilir. Öncelikle Bilgi Teknolojileri yatırımlarından işin güvenlik kısmını önemsemeleri ve aşağıdaki hususlara dikkat etmeleridir:
- Öncelikle nasılsa hizmet alıyorum düşüncesiyle kulağınızın üzerine yatmayın. Size hizmet sunan firmanın Teknik Destek Hizmetleri sunarlarken Bilgi Güvenliğine de dikkat ettiklerinden emin olmaya çalışın hatta belirli aralıklarla rapor isteyin. Sundukları hizmetleri yazılı olarak size raporlamalarını isteyin.
- Mümkünse sözleşme yaparken işletme ile Servis Seviye Anlaşması (SLA) belirleyin, sistemlere minimum erişim süresi, sistemleri minimum ayağa kaldırma sürelerini kesinlikle belirleyin. Cezai şartları dahi koyun.
- Sunucularınızı önem derecesine göre puanlayın ve önem derecesine göre sıralayın. Özellikle yüksek önem verdiğiniz varlıklarınızın hassasiyet ile korunmasını sağlayın.
- Sunucularınızı asla ama asla direkt internet erişimine açmayın. Bir Firewall arkasından erişim sağlanmasına özen gösterin. Bunu size hizmet sunan firmadan isteyin.
- Belirlediğiniz önem derecesine göre bir yedekleme planı tasarlatın. Düzenli bir şekilde yedek alınmasını sağlayın, gerekiyorsa bu iş için yazılım çözümleri kullanın.
- Asla ama asla aldırdığınız bu yedekleri aynı sunucu üzerinde tutmayın. (gülmeyin, bir çoğu böyle yapıyor, emin olun. ) Yedekleri başka sunuculara aldırın, bulut çözümleri kullanmayı deneyin.
- Ağızın üzerinde bir erişim ve paylaşım politikası oluşturtun, herkesin herşeyi paylaşmasına izin vermediğiniz gibi bütün varlıklarınızı da herkese açmayınız. ( Saldırıların büyük kısmı size kızan bir çalışandan gelebileceği gibi, ağınızda iyi niyetle multimedia paylaşan çalışanınız networkunuzde açıklara sebebiyet verebilir.)
- Bütün bilgisayar ve sunuculara anti virüs programları kurdurup, sunucu kontrolü sağlanacak şekilde yapılandırılmasını sağlayın. Sunucu üzerinden güncellemeleri yapılacak şekilde yapılandırtın. Sunucudan düzenli güncellik ve saldırı raporları aldırıp, destek aldığınız firmadan gerektiğinde aksiyon almasını talep edin.
- Kullanıcı bilgisayar ve sunucuların işletim sistemlerinin düzenli güncellendiğinden emin olun. Gerekiyorsa bu iş için yazılım çözümleri kullanın ve asla lisanssız işletim sistemi kullanmayın. ( Bu yazılımlar gerek güncellemeye kapalı olduğundan, gerekse kötü niyetli kişiler tarafından virüs yuvası olarak kullanıldıklarından zararlı olacaktır.)
- Belirli aralıklarla işin ehli kişilerden güvenlik açığı taraması hizmeti alın, açıklarınızın kapanmasını sağlayın. Bir kere hizmet alıp bırakmak, her geçen gün başka bir açığın ve sızma yönteminin keşfedildiği Dünyada yetersiz kalacaktır.)
- Dışarıdan gelen konuklarınızın internet kullanımları için ağınıza dahil olmalarını belirli politikalara bağlayın.
- Kullandığınız kablosuz çözümleri savunmasız bırakmayın, hepsinde şifreli erişim ayarları yaptırın. Zaten erişim sağladığınız kişilerin internet kullanımlarını kanunen kayıt altına almanız gerekiyor.
- Mümkünse (bence elzem olmakla birlikte) Acil Durum Planı tasarlatın. İşletmenizin günlük iş yapışını engelleyecek doğal olayların yanı sıra sistem kesintisi gibi senaryoları da önem derecesine göre puanlatın. Belirlenen senaryolara göre minimum düzeyde de olsa işletmenizin devamlılığını sağlayacak etkinlikleri planlayın. Mümkünse buna yönelik veri yedekleme merkezi desteği alın. Lokasyon dışında tuttuğunuz sunucular üzerinden hizmetin devam edebileceği bir çözüm belirletin.
- Networkunuzdeki kullanıcılarınızı lokal admin yetkileri ile iş yapmalarına ihtiyacınız yok. Onlara sadece kullanıcı yetkisine sahip kullanıcılar ile erişim sağlatın. Bilgisayarlara program kurulumu ve ayar yapılmasına izin vermeyin. Bunu tek elden yapmaya özen göstertin.
0 yorum:
Yorum Gönder