“Dünyanın yarısının kullandığı işletim sistemindeki güvenlik açıklarına dair rapor trende unutulur ve…”

Lloyd’s ve Cyence tarafından yayımlanan siber risk raporunda siber saldırıların mevcut sonuçlarını daha iyi anlamak için iki senaryo üzerinden ilerleniyor. İki senaryo da, siber saldırılara karşı alınan önlemleri sağlamlaştırabilmek için analistlerin hayal güçlerinin bir ürünü. Oldukça ilginç olan bir senaryoya göre, bir siber güvenlik analisti, içinde küresel piyasanın yarısı tarafından kullanılan bir işletim sisteminin güvenlik açıklarına dair raporu trende unutuyor. Bu rapor “derin web” üzerinden satışa çıkarılıyor. Birisi de sistemdeki açıkları kullanarak maddi kazanç sağlamak amacıyla raporu satın alınıyor.

Siber riskler üzerine uzmanlaşmış analiz platformu Cyence, Lloyd’s işbirliğiyle “Counting the Cost”, yani “Masrafı Hesaplamak” başlıklı bir rapor yayınladı. Siber riskin giderek büyüyen küresel bir tehdit olduğuna dikkat çeken rapora göre, siber saldırılar tüm dünyada yılda 450 milyar dolar hasara yol açıyor. Sigortacılar, hacker’lar ve kötü niyetli çalışanların yol açtığı veri ihlalleri gibi ufak çaplı bireysel saldırılardan, POS cihazlarına yapılan sızıntılar, BitLocker ve WannaCry gibi zararlı yazılımlar ile birden fazla bilgisayardan tek noktaya yapılan, Mirai gibi DDoS saldırıları örnek olmak üzere daha geniş çaplı saldırılara kadar birçok konuda poliçe sahiplerine yardımcı olmaya çalışıyor.

Siber risk büyüdükçe, siber sigortalara talep de artıyor. Günümüzde, küresel siber sigortaların 3 ile 3.5 milyar dolar arasında bir büyüklüğe sahip olduğu düşünülüyor. Bazı analistler 2020 yılında pazar büyüklüğünün 7.5 milyar dolara yükseleceğini öngörüyor. 2016’da siber risk sigortalarında 1.35 milyar dolar prim üretildiği, 2015’e göre bu alanda %35 oranında bir büyüme gerçekleştiği de biliniyor.

RİSK SÜREKLİ DEĞİŞİYOR

Büyümeye karşın, sigortacıların siber risk ve siber sorumluluklar konusundaki bilgisi, saldırılar sonucunda kazanılan deneyime paralel olarak gelişmeyi sürdürüyor. Sigortalıların da interneti kullanma şekli sürekli değişiyor; bu da, diğer risklerden farklı olarak siber risklerin yoğunlaştığı alanların devamlı farklılık göstermesine yol açıyor.

Sigortacılıkta geleneksel risk modelleme, ulusal ya da endüstriyel veriler gibi güvenilir bilgi kaynakları gerektiriyor. Fakat, siber riskler için bu kadar somut bilgiler bulunamıyor ve modelleme yapmak için internet üzerinden toplanacak çok fazla veriye ihtiyaç duyuluyor. Sürekli evrimleşen siber riskleri daha iyi anlamanın yolu da veri toplamak ve toplanan veriyi daima güncel tutmaktan geçiyor.

GÜVENLİKTE ETKİLİ 6 TREND

Dijital hasarlara karşı korunmasızlığı etkileyen altı trend bulunuyor. Bu trendleri şu şekilde sıralamak mümkün:

  1. Yazılımcıların sayısı: Son 30 yıldır, yazılım geliştiren kişilerin sayısı hızla artıyor. Her bir yazılımcı, kasten olmasa da ufak bir hata sonucunda potansiyel olarak sistemde ciddi bir açık olmasına yol açabilir.
  2. Yazılımların sayısı: Kodlama yapan kişilerin sayısındaki artışa paralel olarak, yazılan kodlar da giderek artıyor. Daha fazla kod olması, potansiyel olarak daha fazla hata olması, dolayısıyla daha savunmasız bir yapı olmasına sebep olabilir.
  3. Açık kaynaklı yazılımlar: Açık kaynak hareketi, birçok inovatif girişim oluşmasını sağladı. Ancak, birçok açık kaynaklı kod online olarak yükleniyor ve her ne kadar fonksiyonları ve güvenlikleri açısından yeterli denetim yapıldığı varsayılsa da, her zaman düşünüldüğü gibi olmayabiliyor. Ana koddaki herhangi bir hata, gelecekte bu kod baz alınarak oluşturulacak diğer kodlara da kopyalanabilir.
  4. Eski yazılımlar: Yazılımlar piyasada ne kadar uzun süre kalırsa, kötü niyetli kişilerin de yazılımdaki açıkları bulmak için o kadar çok vakti olur. Birçok bireysel kullanıcının yanı sıra birçok şirket, daha güvenli alternatifleri olmasına rağmen modası geçmiş yazılımlar kullanmayı sürdürüyor.
  5. Çok katmanlı yazılımlar: Yeni yazılımlar, önceki yazılımın kodlarının üstüne kod eklenerek oluşturuluyor. Bu durum da yazılımları test edip düzeltmeyi oldukça zorlaştırıyor.
  6. ‘Üretilmiş’ yazılımlar: Kodlar, kötü niyetle modifiye edilmiş otomatik süreçler vasıtasıyla yazılabilir.

İKİ ‘SİBER’ SENARYO

Raporda, siber saldırıların olası sonuçlarını anlamak için üretilen iki senaryo üzerinden ilerleniyor. Bu senaryoların ilkinde, bir grup “hacktivist”, yani aktivistlerden oluşan bir hacker grubu, modern ekonominin ve işletmelerin çevreye verdiği zararlara dikkat çekmek için bulut hizmeti sağlayıcılara ve onların müşterilerine yönelik bir eyleme girişiyor. Bu eylem sonucunda grup, bulutun altyapısını kontrol eden hipervizörü, yani diğer sistemlerin de çalışmasını sağlayan ara katmanı modifiye ediyor. Bu eylem, bulut temelli birçok müşteri sisteminin çökmesi ve geniş çaplı bir servis ve iş durmasıyla sonuçlanıyor.

İkinci senaryoda ise, bir siber güvenlik analisti, içinde küresel piyasanın %45’i tarafından kullanılan bir işletim sisteminin tüm versiyonlarındaki güvenlik açıklarına dair bir rapor olan çantasını trende unutuyor. Bu rapor “deep web”, yani Google gibi arama motorlarının bulamadığı, ulaşılması güç internet sitelerinin bütününü anlatan derin web üzerinden satışa çıkarılıyor. Kim olduğu bilinmeyen birçok farklı suçlu tarafından sistemdeki açıkları kullanarak maddi kazanç sağlamak amacıyla rapor satın alınıyor.

18 MİLYAR DOLARLIK SİGORTALI HASAR MÜMKÜN

Rapora göre, bulut hizmeti sağlayıcısının siber saldırıya maruz kaldığı birinci senaryoda, büyük bir saldırı olması durumunda ortalama 4.6 milyar dolar ekonomik hasar oluşması mümkün. Gerçekten çok büyük bir saldırı olduğundaysa, hasarın 53 milyar dolar civarında olacağı düşünülüyor.

Söz konusu tutarlar, olabilecek en düşük ve en yüksek hasarların ortalaması bulunarak hesaplanıyor. Saldırıyı düzenleyen organizasyon sayısı ya da bulut sisteminin kullanılamaz halde kaldığı süre gibi faktörler, hasarın boyutunu doğrudan etkiliyor. Raporda yine aynı senaryo için, olası ekonomik hasarın 121.4 milyar doları bulabileceği belirtiliyor. Sandy kasırgasının ekonomik hasarının yaklaşık 75 milyar dolar civarında olduğu düşünüldüğünde, tehdidin boyutu daha iyi anlaşılıyor.

Aynı senaryoya sigorta penceresinden bakıldığındaysa, sigortalı hasarın büyük bir olayda ortalama 620 milyon dolar, gerçekten çok büyük bir saldırıdaysa ortalama 8.1 milyar dolar olacağı belirtiliyor. En kötüsü düşünüldüğünde, sigortalı hasar 18.4 milyar dolara çıkabiliyor.

Raporda, bu senaryo için sadece doğrudan masrafların kayda alındığı ifade ediliyor. Doğrudan masraflar arasında sistemi düzeltmek için harcanan para ile iş durması hasarı bulunuyor. Ancak bulutta depolanan kritik verilere ulaşılamaması sebebiyle doğabilecek can ve mal kaybı, itibar kaybı ya da hizmet sağlayıcıya müşterileri tarafından açılabilecek davalar gibi ikincil hasarlar hesaplama sırasında dikkate alınmıyor.

SİSTEM AÇIĞININ SEKTÖRE MALİYETİ 2.4 MİLYAR DOLAR

Siber güvenlik analistinin çıkardığı raporun derin web üzerinden satıldığı diğer senaryoya bakıldığında, kötü niyetli kişilerin işletim sistemindeki açıkları kullanmalarının ekonomiye maliyeti ortalama 9.7 milyar dolar oluyor. Sistemde gerçekten büyük bir açık bulunması durumundaysa, 28.7 milyar dolar ortalama hasar ortaya çıkıyor. Bu senaryo için de en kötü koşullarda olabilecek en yüksek ekonomik hasara bakıldığında, maliyetin 34.2 milyar dolara yükselebileceği görülüyor.

Sigorta sektörü açısındansa ortalama 763 milyon dolar, sistemde büyük bir açık bulunması ve daha ciddi bir ihlal gerçekleşmesi durumundaysa ortalama 2 milyar dolar hasar oluşması olası. Gerçekleşebilecek en kötü senaryodaysa, sektörün cebinden 2.4 milyar dolar çıkıyor.

Bu senaryoda da ihlale verilecek cevabın masrafı, ödenecek fidyeler, iş durması ve yasal sorumluluk gibi birincil masraflar hesaba katılıyor. İtibar kaybı, IP’nin çalınması ve ekstra güvenlik kontrolleri gibi ikincil masraflar göz önüne alınmıyor. Her iki senaryoda da, ikincil masrafların da katılması durumunda, hasarın daha da artacağı belirtiliyor.

“SEKTÖR BU ALANDAKİ İHTİYACI KARŞILAYABİLMELİ”

İki senaryoda da oluşan masrafın az bir kısmının sigorta kapsamı altında olması dikkat çekiyor. Siber sorumluluk, sigortacılıkta nispeten yeni bir alan. Sigortacıların siber riskleri daha iyi anlaması ve daha geniş teminatlarla doğru fiyatlayarak piyasanın ihtiyacını karşılayacak ürünler sunmaları gerekiyor.

Raporda, siber ihlallerden doğan hasarların neredeyse afetlere denk bir hasar yarattığı vurgulanıyor. Siber risklerin katastrofik risklerle yarıştığı günümüzde, sektörün bu alandaki ihtiyacı karşılaması büyük önem arz ediyor.

Raporda, sigortacıların öncelikle siber risklerin sürekli değiştiğini anlaması gerektiği vurgulanıyor. Sektörün siber saldırı senaryolarını inceleyerek ortaya çıkan sonuçları göz önüne alması ve bunlardan yola çıkarak riskleri nasıl minimize edip bu alanda teminat verebileceğine yoğunlaşması gerektiği ifade ediliyor.

BU YIL NELER YAŞANDI?

  • Fidye virüsü WannaCry, 150’den fazla ülkede 200 binden fazla bilgisayarı etkiledi. Virüs, İngiltere’deki Ulusal Sağlık Hizmeti’ne bağlı hastaneleri geçici olarak felç etti. Rusya İçişleri Bakanlığı’nda bulunan 1000 bilgisayarın da virüsten etkilendiği belirtildi. Japonya’da Nissan ve Hitachi firmaları da saldırıdan etkilenenler arasındaydı. ABD’de lojistik firması FedEx’in operasyonları da virüs yüzünden sekteye uğradı. İspanya’da ise önde gelen enerji, jaz ve telekom firmaları WannaCry virüsü ile hedef alındı.
  • WannaCry’dan kısa bir süre sonra bir başka fidye yazılımı olan Petya krize yol açtı. WannaCry’dan bir nebze daha gelişmiş olan bu virüs, ABD’li ilaç firması Merck, Danimarkalı deniz taşımacılığı firması Maersk, Rus petrol devi Rosnoft gibi büyük firmaları da etkiledi.
  • Kredi derecelendirme kuruluşu Equifax hacker’ların saldırısına uğradı. 143 milyon tüketicinin sosyal güvenlik, kredi kartı ve ehliyet numaralarının yanı sıra doğum tarihleri ve adresleri saldırı esnasında çalındı. 400 bin İngiltere vatandaşının da verileri ihlal edildi. Saldırıdan, ABD nüfusunun %44’ünün bir şekilde etkilendiği düşünülüyor.
  • Shadow Brokers isimli bir hacker grubu, ABD’nin ulusal güvenlik dairesi NSA’den çaldıkları bilgileri ifşa etti. Bunlar arasında dairenin casusluk amacıyla kullandığı araç ve yöntemler ile Windows işletim sistemindeki EternalBlue olarak bilinen bir açık yer alıyordu. WannaCry ile Petya virüslerinin de önünü sistemdeki bu açığın gün ışığına çıkmasının açtığı konuşuluyor.
  • 7 Mart’ta WikiLeaks, ABD’nin merkezi istihbarat teşkilatı CIA’den sızdırdığı 8 bin 761 belgeyi yayınladı. Bu belgelerde iOS ve Android sistemlerinde bulunan açıklar, Windows işletim sistemlerinde bulunan yazılım hataları, bazı akıllı telefonların nasıl dinleme cihazlarına dönüştürülebileceği ve hack yapmak için kullanılan yöntemlerle araçlara dair detaylı bilgiler bulunuyordu.
  • Ağ altyapısı firması Cloudflare, şubat ayında platformlarındaki bir yazılım hatasının, hassas kullanıcı bilgilerinin rastgele sızmasına sebep olduğunu açıkladı. Sorun birkaç saat içinde düzeltilse de, sızıntının Ekim 2016’da başlamış olabileceği ifade edildi.
  • ABD’li araştırmacı Chris Vickery, 198 milyon ABD seçmenine ait kişisel bilgilerin yer aldığı, 10 yıl öncesine uzanan verilerin, herkesin erişimine açık bir platformda olduğunu fark etti. Veriler, Deep Root Analytics diye bir veri firmasının hatası sebebiyle herkese açıktı. Her ne kadar verilerin bir kısmı korunuyor da olsa, 1 terabayttan fazla veri kamuya açık haldeydi. Firma verilerin Vickery’den başka kimse tarafından keşfedilmediğini öne sürdü, ancak bunu kesin olarak bilmenin bir yolu yoktu.
  • Fransa’da cumhurbaşkanlığı seçiminin son etabından birkaç gün önce, şimdi cumhurbaşkanı olan aday Emmanuel Macron’un e-postası hack’lendi. Hacker’lar toplam 9 gigabayt büyüklüğünde e-postayı sızdırdı.

Renk Özcan
renk@sigortacigazetesi.com.tr

30 Ekim 2017

İlgili Haberler

AvivaSA’dan Türkiye’nin 10 yılı araştırması: %67, çocuklarının geleceğine garanti istiyor

AvivaSA, 10. yıl iletişim çalışmaları kapsamında “Türkiye’nin 10 Yılı” araştırması ile geçmiş ve gelecek 10 yıla ışık tuttu. Araştırmaya katılanların %67'si gelecek 10 yıl içinde “çocuklarının geleceklerini garanti altına almanın” ilk tercihleri olduğunu belirtti. Geçmiş 10 yıla ilişkin “Ah Keşke!” denen şey ise, en yüksek oranda (%34) “Keşke boş zamanlarımı daha dolu dolu geçirseydim” oldu. Araştırmada ayrıca, son 10 yıl içinde, Türkçe pop şarkısı ve şarkıcısı, Türk filmi, Türk dizisi, Türk sinema ve tiyatro oyuncusu ve Türk sporcusu gibi alanlarda, Türk insanının en başarılı bulduğu isimlere de yer verildi. Tarkan, Kenan İmirzalıoğlu, Arda Turan, Ali Sunal isimleri ve Recep İvedik filmi ile Diriliş Ertuğrul dizileri ilk sırada yer aldı.

Yazarlar