Rusya Ukrayna'ya saldırdığından beri siber güvenlik konusu birçok uzman tarafından yoğun bir şekilde tartışılmaya başladı. Bu günlerde, Alman şirketlerine veya kritik alt yapı kurumlarına yönelik yakın zamanda büyük bir siber saldırı olacağına dair uyarının olmadığı bir gün bile geçmiyor. Fakat tehlike gerçekten ne kadar büyük? Bunu Manuel Atug'a sorduk. Kendisi HiSolutions AG şirketinde siber güvenlik uzmanı ve aynı zamanda Cyber-Security Cluster Bonn yönetim kurulu üyesi.
- NRW Global Business: Sayın Atug, Ukrayna’da savaş başladığından beri Rus hackerların olası saldırılarına karşı daha fazla uyarıda bulunuluyor. Bir siber saldırı tehlikesi ne kadar büyük?
Manuel Atug: Durum oldukça gergin ve gerçekten de savaş öncesine göre çok daha yüksek bir risk söz konusu. Ancak şu anda felaket bir durumda olduğumuz anlamına da gelmiyor bu. Özellikle stratejik öneme sahip hedeflerin yüksek risk altında olduğu bir durumu yaşıyoruz.
- NRW.Global Business: Stratejik öneme sahip hedefler nelerdir?
Örnek olarak üst düzey politikacıları, önemli şirketleri veya kritik alt yapı aktörlerini sayabiliriz. Bunlar hacker saldırılarının odak noktasında olabilirler.
- NRW.Global Business: Federal Bilgi Teknolojileri Dairesi (BSI) söz konusu tehlikeyi hangi seviyede değerlendiriyor?
Şimdiye kadar kırmızı alarm vermedi. Uzmanların tahminlerine göre şu anda turuncu alarm seviyesindeyiz. Yani BSI şu anda risk seviyesini ortalamanın üzerinde, ancak kritik olarak değerlendirmiyor. Böylece federal daire, durumu uzmanlarımızla aynı seviyede değerlendiriyor diyebiliriz.
- NRW.Global Business: Diğer taraftan bir çok başka uzman da büyük bir siber savaş konusunda uyarılarda bulunuyorlar.
Çok sayıda sözde siber savaş uzmanının renkli Powerpoint sunumlarında yaklaşmakta olan bir siber savaşa karşı ciddi bir şekilde uyarmasına karşın, şimdiye kadar ortam nispeten sessiz. Bu nedenle önce kendimize şu soruyu sormalıyız: Olası bir saldırının aktörü kim ve hedefi ne olabilir? Şimdi Rusya Devlet Başkanı Vladimir Putin’e ve ordusuna baktığımızda, kendisini tanımlayan açık bir siber saldırının olma olasılığı nispeten düşük diyebiliriz.
- NRW.Global Business: Buna nasıl inanıyorsunuz?
Örneğin elektrik veya su gibi uzun süreli bir arızaya neden olabilecek, Alman alt yapısına yapılacak ve işe yarayacak açık bir saldırı, kaçınılmaz olarak ölümlere de neden olur. Bunun olması durumunda, derhal bir NATO ittifakı durumu ortaya çıkar ve bu da batı ordusunu harekete geçirir. Putin şu anda bu riski kesinlikle almak istemeyecektir. Ve devlete yapılan siber saldırılar, hesaplanamaz başka bir sorunu daha barındırıyor.
- NRW.Global Business: Hangisini?
Bir su şebekesine roket atarsam, kesinlikle bu sistem tahrip olacaktır. Su şebekesini siber saldırılar ile uzun süre felç etmek istersem, bunun işe yarama olasılığı ise çok daha düşüktür: Öncelikle, siber saldırının başarılı olması gerekir ve tesiste ne kadar uzun ve kalıcı bir hasar olacaksa, yapılacak girişim de o kadar karmaşık olur. Ve tüm bunları yapmayı başarsam bile, bu süreçte ikincil hasarlara yol açma olasılığım oldukça yüksektir.
- NRW.Global Business: Tıpkı Ukrayna iletişim uydularına yapılan saldırı gibi mi?
Aynen. Uydulara, Ukrayna'daki iletişimi bozmak ve böylece taktik bir avantaj sağlamak için saldırıldı. Fakat ikincil hasar olarak, Alman rüzgâr enerjisi santrallerinde uydu ağı üzerinden kontrol edilen yaklaşık 6.000 rüzgâr türbini kapatıldı. Yapılan saldırıda, Almanya'da afetten koruma araçlarının modemleri de felç olmuştu.
Sonunda, Ukrayna’da iletişim arızası bir saat sürdü, ancak ikincil hasarların onarılması haftalarca sürecektir.
- NRW.Global Business: Savaşa başka aktörler de dahil mi?
Bilgi Teknolojileri (BT), toplumumuzu dünya çapında yansıtır – herkes için bir siber alanımız mevcuttur. Ve orada “çok iyi”den “çok kötü”ye kadar her şeyi tekrar bulabiliyoruz: İster ekonomi ve halk, isterse devlet aktörleri olsun, siber casusluk veya saldırıları ya da saldırılara katılmak zorunda olduğunu düşünen devlet dışı aktörleri bu mecrada bulmak mümkündür.
- NRW.Global Business: "Hacker kolektifleri" mi demek istiyorsunuz?
Evet, böyle kolektifler mevcut, örneğin Anonymus. Diğer yandan, internette organize suç da var. Ve tabii ki bir de savaştan para kazanmak isteyenler var. Ama tüm bunlar yapılandırılmış bir şekilde yürümüyor. Savaşa karışanlar sivillerdir - ve bu da tabii ki her zaman sorunludur.
- NRW.Global Business: Hacker’lar büyük bir plan yapmadan hareket ediyorlarsa, bunun anlamı, her şirketin bu saldırıların hedefi olabileceği midir?
Aynen. Orta ölçekli bir şirketin hedef alınması mümkün olabilir. Aynı şey belediyeler için de geçerlidir. Bu, örneğin hackerler vatanseverlik nedeniyle Rus görünen her şeye saldırmak zorunda hissettiklerinde olabilir. Sonra mesela bir şirketin BT alt yapısını tahrip ederek mahvederler, çünkü bu şirket, web sayfasını ağda Rusça dilinde de yayınlamıştır. Ve bunların hepsi, etik açıdan yanlış yola sapan bir hacker şunu fark ettiğinde inanılmaz derecede hızlı gerçekleşebilir: Burada nispeten basit yöntemlerle büyük tahribata neden olabilirim.
- NRW.Global Business: Tekrar “büyük siber savaşa” geri dönelim. Neden her zaman bununla ilgili uyarı yapılıyor, ama gerçekte büyük saldırılardan sadece çok az haberimiz oluyor? Almanya siber saldırılara karşı çok iyi korunduğu için mi?
Saldırıların çoğunun amacı tahrip etmek değil, veri casusluğu, bilgi toplama, keşif ve propagandadır. Bu saldırıların hedefi, bilgilere ulaşmak veya yanlış bilgi yaymaktır. Bu durumda aktörler çoğunlukla gizli servislerdir ve onlar da işlerini gizli yapmaya çalışıyorlar. Bu sadece “düşmanlar” için geçerli değildir, aynı şekilde dost ülkeler arasında da devamlı süregelen bir konudur.
- NRW.Global Business: Size göre bir şirkette iyi bir siber savunma nasıl olmalıdır?
Aslında siber güvenlik çok sıkıcı gibi görünüyor. Bir şirket olarak süper güvenlik ürünü satın almam ve sonra bir lisansım var diye her şeyin güvende olduğunu düşünmem yeterli değil. Ayrıca Blockchain gibi aldatıcı bir teknolojiye güvenmek de çözüm değil. Temel bilgiler daha önemlidir.
- NRW.Global Business: Bunlar nelerdir?
Bir şeyi daha ayrıntılı bir şekilde tanımlamak gerekirse: Sisteminizin yedeğini almak yeterli değil. Yedekleme düzenli olarak yapılmalı, yedek çevrim dışı tutulmalı ve tekrar içe aktarılması için deneme yapılmalıdır. Sistemimin geri yüklenmesinin çalışıp çalışmadığını hiç test etmediysem, yedeklememin yararlı olup olmadığını bilemem.
- NRW.Global Business: Bunu nasıl anlarım?
Şirketler, sistemlerinin geri yüklenmesinin ne kadar süreceğini bilmesi gerekir. Orta ölçekli bir şirket olarak BT sistemleri olmadan çalışamaz duruma düşecek ve iki gün sonra da iflas edeceksem ve buna rağmen sistem yedeğimin içe aktarılması iki hafta sürüyorsa, en iyi yedek bile ne yazık ki benim hiçbir işime yaramaz. Şirketlere veya Startup’lara, tanımlanan biçimde gerçekten bir yedekleme konseptine sahip olup olmadıklarını sorun. Birçoğu dürüstçe hayır demek zorunda kalacak. Sadece Anhalt-Bitterfeld bölge belediyesine bir bakın: Geçen yaz büyük bir hacker saldırısının kurbanı oldular ve orada gerçekten tüm sistem etkilendi.
- NRW.Global Business: Sorun neydi?
Yedeklemeler vardı, ancak her şey kaydedilmiyordu ve her şey düzgün bir şekilde geri yüklenemiyordu. Geçen zaman içinde felaketin çoğu izleri silindi ancak hala sorunsuz bir düzene geri kavuşmaları için birkaç aya daha ihtiyaçları var, bu da saldırı sonrası neredeyse bir yıla tekabül ediyor.
- NRW.Global Business: Bir belediye veya şirket böyle bir saldırıyı nasıl engelleyebilir?
Anhalt-Bitterfeld'de ve diğer birçok şirket ve belediyede, insanlar görünüşe göre bir gün her şey sanal olarak neredeyse harabeye döndükten sonra hangi planı izleyeceklerini ve nasıl yeniden inşa edilmesi gerektiği konusunda kafa yormadılar. Yeterli bilgisayarımız var mı, verileri tekrar içe aktarabilecek yeterli personelimiz var mı, önce hangi kritik sistemlerin yeniden başlatılması gerekiyor, nelerin yedeklerine sahibiz, bunlar sorunsuz bir şekilde içe aktarılabiliyor mu ve tüm bunlar yeterince hızlı oluyor mu? Normalde her şirket ve yönetim bu soruları önceden cevaplayabilmelidir.
- NRW.Global Business: Önlem olarak neler yapılabilir?
Siber korumada sabit akışlar oluşturulmuşsa, çoğuna zaten yardım edilmiştir. Fakat, örneğin çalışanlar şirketten ayrıldığında kullanıcı hesaplarının silinmesi de önemlidir. Çünkü bunlar sadece ölü dosyalar değildir, aksine bu hesaplar yetkisiz kişilere sistemlere erişim sağlama imkânı sunar. Aynı şey, bir zamanlar kurulmuş olan, ancak kurallar dizisi hiçbir zaman değiştirilmemiş ve daha sonra yapılandırılıp geliştirilmemiş bir güvenlik duvarı için de geçerlidir. Burada da hackerler boşluklar bulabilirler. Veya önemli yazılımların patch’lerini alın. Burada da bunları kimin kuracağı açıkça düzenlenmelidir. Şirketin kendisi mi yoksa bir servis sağlayıcı mı? Görüyorsunuz: Aldatıcı ve çekici görünmeyen bu basit, temel önlemler hayatidir. Ama maalesef birçok yerde de gerçekten yaşanmıyorlar.
- NRW.Global Business: Bir şirket olarak bu cümleleri okuduğumda ve itiraf etmem gerekirse: Şimdiye kadar gerçekten yeterince bir şey yapmadım. İyi siber güvenlik hakkında bilgi edinmek istersem kiminle görüşmeliyim?
Birçok farklı mecrada sunulan temel BT güvenlik kontrol listeleri mevcuttur. Söz konusu kontrol listeleri sayesinde şirket olarak nerede açıklarım olduğunu öğrenme şansım var. Bonn siber güvenlik kümelenmesi olarak, şirketlere yardımcı olabilecek bilgi materyalleri de yayınlıyoruz. Ayrıca, siber güvenlik konusunu ele alan etkinlikler de sunuyoruz. Eyalet hükümeti tarafından yeni oluşturulan yetkinlik merkezi Digital.Sicher.NRW de şirketlere bu gibi sorularda yardımcı oluyor. BSI kurumu da kapsamlı bilgi sağlamakta. Fakat bir husus en önemlisi.
- NRW.Global Business: Nedir, söyleyin bize.
Şirketler gerçekten bir şeyler yapmaya hazır olmalıdır. Uzman tavsiyelerini dinlemek yeterli değil. Bunlar uygulamaya da konulmalı. Bunun için zaman ve kaynak da gerekli. Şirketlerde siber güvenlik en öncelikli konulardan biri olmalı.
NRW.Global Business: Sayın Atug, sohbet için çok teşekkür ederiz.