Sistemler karmaşıklaşıyor, cihazlar birbirine daha çok bağlanıyor ve siber saldırılar artıyor. Son zamanlarda geldiğimiz noktayı en iyi özetleyen cümle bu. Artan bu saldırılara karşı kurumlar gerekli tüm yatırımları yapıyor. Peki yapılan yatırımlar yeterli oluyor mu diye sorarsanız oraya kocaman bir soru işareti koymak gerekir. Çünkü önlemler genellikle bugünün bilinen ataklarına karşı alınıyor. Önlem alırken daha önce denenmemiş saldırı yöntemleri üzerinde düşünülmüyor. Bilinen saldırı yöntemlerine karşı kurgulanıyor. Böyle olunca yeni yöntemler bulmak, test etmek ve üretime almak saldırganlara kalıyor. Gece yarısını veya sistemlerin en az yoğun olduğu zamanı beklemiyorlar yeni saldırı yöntemlerini denemek için. En can alıcı anda devreye alıyorlar. Olanlar olduktan sonra şeytanın bile aklına gelmeyecek saldırı şekli ve yöntemleri analiz ediliyor, gerekli önlemler vakit geçirmeden alınıyor. Ama, datayı alan Üsküdar'ı çoktan geçmiş oluyor.
Saldırganların liderliğini yaptığı bu döngü saldırgan açısından artık tıkanmaya başladı. Alınan önlemleri atlatmak için daha fazla mesai yapmaları gerekiyor. Bu nedenle sistemler yerine daha kolay olduğunu düşündükleri insanları hedeflerine almaya başladılar. Hani şu zincirin en zayıf (!) halkası olan insanları. Neredeyse tüm saldırılar oltalama e-postaları ile sisteme bulaştırılan zararlılar sayesinde gerçekleşiyor. Hatta öyle ki bu satırları yazarken Rusya'nın Amerika'da yapılan başkanlık seçimlerini manipüle etmek için siber saldırı yaptığı ve bunun sonucunda Amerika tarafından Rus diplomatların sınır dışı edilmek istendiği haberi düştü gazetelere. Saldırının detayları incelendiğinde hedefli oltalama atakları ile kullanıcı bilgilerini ele geçirme ve sistemlere sızma görülüyor. Bu tür örnekleri çoğaltabiliriz. Görüldüğü gibi saldırganlar da farkında insanın zayıflığından. Peki insana ait zayıflık doğuştan mı geliyor yoksa biz güvenlik uzmanlarının bir payı var mı? Ne yazık ki bu noktada bizim payımız yüksek. Her fırsatta çalışanlarımıza biz söyledik en zayıf halka olduklarını. Sistemlerimizin çok güvenli olduğunu ama onlardan korktuğumuzu defalarca anlattık. Aşağıdakine benzer posterler hazırladık ve astık heryere. Bu davranışımızın sonucu olarak ders çıkarmalarını ve bilgi güvenliği anlamında farkındalıklarının artmasını beklerken tam tersi oldu. Zamanla bilinçaltına zayıf olduğu yerleşti ve farkında olmadan benimsedi. Çünkü insan beyni, aldığı bilgileri hem bilinçli hem de bilinçaltı olarak işler. Bilinç, beynin mantık yürüten, kavrayan, eleştiren, yargılayan kısmıdır. Bilinçaltı ise beynimizin farkında olmadığımız yanıdır. Bilinçaltı, bilinçli zihnin aksine sorgulamaz, eleştirmez, telkinleri kolayca kabul eder ve beynin refleks olarak verdiği tepkilerden sorumludur(*). Bilinçaltına zayıf halka olduğu yerleşen kişi sorgulama yapmadan bu özelliği benimsemiş oldu. Gelen bir e-postanın ekini hiç sorgulamadan, en önemlisi sorumluluk duygusu hissetmeden açtı. Sorumluluk hissetmemesinin sebebi zayıf halka olarak görmemizden dolayı bu tür bir hatayı zaten yapabilir algısının olması. Haklı değil mi? Hem de çok haklı.
Saldırganların liderliğini yaptığı bu döngü saldırgan açısından artık tıkanmaya başladı. Alınan önlemleri atlatmak için daha fazla mesai yapmaları gerekiyor. Bu nedenle sistemler yerine daha kolay olduğunu düşündükleri insanları hedeflerine almaya başladılar. Hani şu zincirin en zayıf (!) halkası olan insanları. Neredeyse tüm saldırılar oltalama e-postaları ile sisteme bulaştırılan zararlılar sayesinde gerçekleşiyor. Hatta öyle ki bu satırları yazarken Rusya'nın Amerika'da yapılan başkanlık seçimlerini manipüle etmek için siber saldırı yaptığı ve bunun sonucunda Amerika tarafından Rus diplomatların sınır dışı edilmek istendiği haberi düştü gazetelere. Saldırının detayları incelendiğinde hedefli oltalama atakları ile kullanıcı bilgilerini ele geçirme ve sistemlere sızma görülüyor. Bu tür örnekleri çoğaltabiliriz. Görüldüğü gibi saldırganlar da farkında insanın zayıflığından. Peki insana ait zayıflık doğuştan mı geliyor yoksa biz güvenlik uzmanlarının bir payı var mı? Ne yazık ki bu noktada bizim payımız yüksek. Her fırsatta çalışanlarımıza biz söyledik en zayıf halka olduklarını. Sistemlerimizin çok güvenli olduğunu ama onlardan korktuğumuzu defalarca anlattık. Aşağıdakine benzer posterler hazırladık ve astık heryere. Bu davranışımızın sonucu olarak ders çıkarmalarını ve bilgi güvenliği anlamında farkındalıklarının artmasını beklerken tam tersi oldu. Zamanla bilinçaltına zayıf olduğu yerleşti ve farkında olmadan benimsedi. Çünkü insan beyni, aldığı bilgileri hem bilinçli hem de bilinçaltı olarak işler. Bilinç, beynin mantık yürüten, kavrayan, eleştiren, yargılayan kısmıdır. Bilinçaltı ise beynimizin farkında olmadığımız yanıdır. Bilinçaltı, bilinçli zihnin aksine sorgulamaz, eleştirmez, telkinleri kolayca kabul eder ve beynin refleks olarak verdiği tepkilerden sorumludur(*). Bilinçaltına zayıf halka olduğu yerleşen kişi sorgulama yapmadan bu özelliği benimsemiş oldu. Gelen bir e-postanın ekini hiç sorgulamadan, en önemlisi sorumluluk duygusu hissetmeden açtı. Sorumluluk hissetmemesinin sebebi zayıf halka olarak görmemizden dolayı bu tür bir hatayı zaten yapabilir algısının olması. Haklı değil mi? Hem de çok haklı.
Oysa tam tersini yapsaydık ne olurdu? "Bilgi güvenliğinin en güçlü halkası sensin!" deseydik, bilinçaltına güçlü olduğu düşüncesi yerleşecekti ve özellikle insanın boş anını kollayan saldırganlara doğal koruma refleksiyle cevap verebilecekti. Onları güçlü halka görmemizden dolayı sorumluluk hissedecekti ve daha özenli olacaktı. Can alıcı nokta sorumluluk hissetmesi. Bu sorumluluğu onlara verebilirsek bilgi güvenliğini her noktada sağlamak için önemli bir adım atmış oluruz.
Bunu yapmak için geç değil. Hemen başlayabiliriz. Zira 2017 zor geçeceğe benziyor.
*http://www.drendervardar.com/tr/icerik/25/bilinc-ve-bilincalti
0 yorum:
Yorum Gönder