“Siber hijyen gereksinimlerine uymamak önemli maddi ve manevi zararlara sebep olabilir.”
Konuşmasına öncelikle siber hijyenin ne demek olduğu ve öneminden bahsederek başlayan AGİT Ukrayna Ulusal Proje Sorumlusu Olga Voitovych, siber hijyenin sağlanmasındaki önemli yapı taşlarını SavunmaTR’ye anlattı.
“Siber hijyen, siber güvenliğin esas temelidir. Sıradan kullanıcıların, kamu personellerinin veya özel teşebbüs içerisindeki kişilerin siber uzaydaki potansiyel tehditlere karşı korunması için olan bir düşünme şekli ve önlemler silsilesidir. Kamu yönetiminde siber hijyen, bilgisayar sistem yöneticilerinin ve kullanıcıların çevrimiçi güvenliklerini korumak ve geliştirmek için yüklenebileceği gerekli bir uygulamalar ve önlemler serisidir. Kişisel hijyene benzer- iyi siber hijyen alışkanlıklarının takip edilmesi çevrimiçinde güvende kalmaya yardım edebilir. Siber hijyen uygulamaları şirketlerin ve kuruluşların kurumsal yapısına bağlıdır, bu nedenle uygulamalar hem kurum hem kişisel davranışları kapsar. “Siber hijyen” teriminin dünyada birçok farklı yorumlamaları bulunmakta. Yorumlamaların hepsi terimin belirli bir sektörle ilgili en önemli yanını gösterir.
Siber güvenliğin ve bilgi güvenliğinin içerisinde bulunduğumuz süreçte hiç olmadığı kadar önemli hale geldiği su götürmez bir gerçeklik. Kamu ve özel işletmelere, enstitülere ve kuruluşlara karşı düzenlenen siber saldırılardaki artış bu trendi daha da kuvvetlendirmekte. Tehditlerin ayrı bir kategorisi ise saldırganların dikkatine karşı savunmasız hale gelmekte olan vatandaşları kaygılandırmakta. Temel olmasına rağmen önemli bir yeni güvenlik kuralları konsepti gittikçe yaygınlaşmakta. Bu yaklaşım toplumun ve devletin bütün olarak sistemlerin kolektif güvenliğini önemli ölçüde güçlendirebilir. Avrupa Birliği Siber Güvenlik Ajansı (ENISA), siber hijyenin herhangi bir sorgulama olmadan takip edilen kişisel hijyen gibi davranılması gerektiğini ve bir kuruluşa uygun bir şekilde entegre edildikten sonra kuruluşa ve kişiye ait ‘siber sağlığın’ optimal düzende olmasını sağlayacak basit bir günlük rutin olması gerektiğini belirtiyor. Siber hijyen kurallarının ihlal edilmesinin oluşturabileceği (ve oluşturacağı) zararlı sonuçlar sadece bireyleri etkilemeyecek. Bir kurbanın iş vereni de saldırganların eylemlerinden sıklıkla zarar görmekte. Gelişmiş ülkeler bile bir kişiden kaynaklı güvenlik gereksinimlerinin özensiz uygulanması nedeniyle büyük hasar yaşayabilir. Saldırganlar kritik bir altyapıya sızmak, hassas devlet verilerini ele geçirmek, koordine edilmiş büyük çaplı saldırılara uygun koşulları oluşturmak için sıklıkla bir kişiyi iniş deliği olarak kullanmakta. Bu nedenle, siber hijyen gereksinimlerine uymamak önemli maddi ve manevi zarara sebep olabilir. Haliyle bir kişinin itibarına önemli ve geri döndürülemez bir etki oluşturabilir.”
“Yakın zamanda kabul edilen Ukrayna Siber Güvenlik Stratejisi (2021-2025) ile güvenli bir şekilde çalışan siber uzay ortamı için koşulların oluşması ve siber uzayın birey, toplum ve devlet çıkarları için kullanılması amaçlanıyor.”
Ukrayna’nın siber saldırılara karşı koymadaki stratejilerinden de bahseden Voitovych, 50.000 kişinin çevrimiçi siber hijyen dersleri ile eğitildiğini söyledi.
“Avrupa Güvenlik ve İşbirliği Teşkilatı (OSCE) Ukrayna Proje Koordinatörü Ulusal Proje Sorumlusu olarak şu anda “Ukrayna Devlet Makamlarının Siber Hijyen ve Siber Güvenlik Kabiliyetlerini Güçlendirme” projesinin uygulanmasıyla ilgileniyorum. Ukrayna’daki tüm kamu kuruluşlarına hitap edebilmek için kamu görevlilerinin yeniden eğitilmesi hususunda önemli ulusal paydaşlarla yani Ukrayna Kamu Hizmeti Ulusal Ajansı ve Ukrayna Yönetişim Okulu ile işbirliği kurduk. Bu proje Ukrayna devlet kuruluşlarının kamu görevlilerini siber hijyen ve yaygın siber güvenlik tehditlerinin belirlenmesi ve ilgilenilmesi hususlarında eğitme kapasitesini geliştirmeyi amaçlıyor.
Proje başarılarından biriyse “Siber Hijyen Temelleri” çevrimiçi dersinin geliştirilmesiyle bağlantılı. Ukrayna Dijital Dönüşüm Bakanlığı’nın milli eğitim platformu https://osvita.diia.gov.ua/courses/cyber-hygiene üzerinde bulunan dersi neredeyse 50,000 katılımcı başarılı bir şekilde tamamladı.
Geliştirilen çevrimiçi ders geniş bir yelpazedeki konuları hedef alıyor:
- Siber hijyen temelleri ve güvenlik sistemlerinde insan faktörünün önemi.
- Nedenleri, koşulları ve teknikleri de dahil olmak üzere sosyal mühendislik konsepti.
- Güvenli internet: tarama motoru ve fonksiyonları, alan adları ve Wi-Fi ağlarının güvenli kullanımı.
- Kişisel ve iş posta kutularının kullanımını ayırmak: posta kutularının kullanımını tehdit eden faktörler.
- Yazılımı tehdit eden faktörler: lisanslandırılmış ve lisanslandırılmamış; kötü amaçlı yazılım türleri.
- Gizlilik konfigürasyonları ve diğer güvenlik ayarları dahil olmak üzer sosyal ağların güvenliği.
- Mobil Güvenlik: erişim engellerinin kuralları.
- Bir kuruluşun siber güvenliğindeki fiziki güvenliğin rolü.
- Siber uzayda yanlış bilgilendirme: e-bilgi manipülasyonu. (Bu bölüm aynı zamanda Ukrayna’nın siber hijyenine ait yasal temellerine dair materyalleri içeriyor.)
Ek olarak kamu kuruluşlarında çalıştırılan BT departmanı uzmanlarının yeniden eğitilmesini amaçlayan “Siber Güvenlik” eğitim programının geliştirilmesine başladık. Kamu kuruluşlarını hedef alan iş alanındaki siber güvenlik riskleri ve bu risklerle baş etme yöntemleri hususunda yürütülen büyük çaptaki farkındalık oluşturma kampanyalarıyla tüm bu eğitimsel araçlar desteklenmekte. Böyle bir eğitimi alma ihtimali kısıtlı olan kamu kuruluşu çalışanları öncelikli grup olarak seçiliyor.
Ukrayna kamu kuruluşları geçtiğimiz yıllarda siber saldırıların nerdeyse günlük olarak yaşandığını bildiriyor. Ukrayna Devlet Siber Güvenliği ve Ukrayna Devlet Özel İletişim ve Bilgi Korum Servisi’nin uzmanlaşmış yapısal birimi olan Siber Güvenlik Merkezi Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) 2007 yılında kuruldu. Ekip, olay araştırması ve siber tehditlere karşı mücadele etmede yardım sağlama da dahil olmak üzere siber olaylara müdahale ederek siber tehditlerin ortadan kaldırılmasına yardım ediyor.
CERT-UA, FIRST (Forum of Incident Response and Security Teams) Olay Müdahale Ekibi Forumu ile etkileşimi aracılığıyla uluslararası işbirliği sağlamakta. Devlet boyutunda gelişmiş önleme uygulamaları için CERT-UA siber tehdit verilerinin toplanması ve analiziyle gözetleme ve tespit sunuyor. Bu devlet ekibi siber olayları önlemek, tespit etmek ve olayların sonuçlarını ortadan kaldırma amacıyla yardım sağlıyor. Ukrayna’da siber güvenlik Ulusal Güvenlik ve Savunma Konseyi tarafından koordine edilip Ukrayna Özel İletişim ve Bilgi Koruma Devlet Servisi, Ukrayna Ulusal Polisi, Ukrayna Güvenlik Servisi, Ukrayna Savunma Bakanlığı, Ukrayna Silahlı Kuvvetler Genelkurmay Başkanlığı, istihbarat ajansları ve Ukrayna Merkez Bankası dahil olmak üzere yedi hükümet ajansı tarafından kontrol edilmektedir. Yakın zamanda yeni Ukrayna Siber Güvenlik Stratejisi (2021-2025) kabul edildi. Stratejinin amacı güvenli bir şekilde çalışan siber uzay ortamı için koşulları oluşturmak, siber uzayı birey, toplum ve devlet çıkarları için kullanmak olarak belirlendi. Doküman caydırma, siber esneklik ve etkileşim temellerine dayanıyor. İçeriğinde Ukrayna sistemlerine düzenlenen siber saldırılara karşı koymak için farkındalık arttırma ve eğitim mekanizmalarına dair belirli bir eylem planı bulunuyor. Siber hijyen, dijital yetenekler, modern siber tehditlere karşı siber farkındalık ve tehditlere karşı koyma tüm Ukrayna vatandaşlarının eğitimin bir parçası haline gelmelidir.”
"Bilgi sahibi hedef olmak önemli"
SavunmaTR’ye verdiği röportajı sonlandırırken devlet kurumlarından firmalara ve şahıslara kadar herkes için ciddi bir tehlike oluşturan fidye yazılım saldırılarının nasıl geliştirildiğine dikkat çeken Olga Voitovych bu saldırıların gittikçe daha tehlikeli ve ‘akıllı’ bir hal almaya başladığını vurguladı.
“Geçtiğimiz son birkaç yılda fidye yazılım saldırıları Ukrayna’da bulunan şirketleri, hükümet, finansal ve enerji kuruluşlarını hedef aldı. Saldırılar Ukrayna’da ofisi bulunan global şirketlere ikincil zarar verdi. Fidye yazılım dosyaları şifreleyen bir tür kötü amaçlı yazılım ve bilgisayarınıza saldıran suçlular şifreyi açmak için fidye talep ediyor. Kullanıcılar genellikle dosyalarına erişim sağlayabilmek için fidye ödemesini isteyen mesajlar alıyorlar. Fidye yazılım genellikle dosyanın küçük bir kısmını şifreliyor ve bu durum da dosyaları kullanılamaz hale getiriyor. Geçtiğimiz yıllarda fidye yazılım en çekici siber suçlardan biri haline gelmiş durumda. İtfa miktarlarının birkaç yüz dolardan on milyonlarca dolar arasında değiştiği biliniyor.
27 Haziran 2017 tarihinde, Petya virüsünün yeni bir varyantının kullanıldığı büyük bir global siber saldırı başlarken Ukraynalı şirketler saldırıya uğradığını bildiren ilk şirketler arasındaydı. O gün Kaspersky Lab’ın Fransa, Almanya, İtalya, Polonya, Birleşik Krallık ve Birleşmiş Milletler içerisinden vakaları rapor ettiği ancak vakaların çoğu içerisinde Ukrayna Merkez Bankası’nın da bulunduğu 80’den fazla şirkete saldırılan Rusya ve Ukrayna’yı hedef aldı.
Siber saldırılar ve çeşitlikleri gittikçe daha tehlikeli ve akıllı hale gelerek kritik altyapılar için gerçek bir tehdit oluşturuyor. Saldırganlar varlıklar içerisinde zafiyetleri tespit etmeye ve çok fonksiyonlu kötü amaçlı yazılım, fidye yazılım, DDoS saldırılarını gerçekleştiren botnetler gibi saldırı için eşsiz özellikler geliştirmeye yoğunlaşıyor.”
Güvenlik herkesin sorumluluğu altında: ‘kullanıcılar’ ve ‘koruyucular’
“Projenin hedefi siber uzaydaki güvenilir davranış kuralları üzerine ‘koruyucuları’ desteklemek ‘kullanıcıları’ ise eğitmek. Projenin %100 oranında riskleri ortadan kaldırmadığı ancak bir güvenlik duygusu sağladığı değinilmeye değer. OSCE Ukrayna Proje Koordinatörlüğü risk farkındalığıyla başlayan geniş kapsamlı bir güvenliğe inanıyor. Hiç şüphesiz, devlet yetkilileri hedef olmaya devam edecek ancak ‘bilgi sahibi’ hedefler olacaklar.”