Mayıs 2017’nin ortasında, dünya genelinde yüz bini aşkın kurumu etkileyen bir fidye yazılımı saldırısı patlak verdi. Hastaneler ameliyatları erteledi, lojistik firmaları sevkiyatları durdu, üretim tesisleri bantları kapattı. Türkiye’deki pek çok orta ölçekli işletme de bu dalgadan nasibini aldı; bazıları e-Fatura ve e-Defter sistemlerine erişimini günlerce yitirdi, bazıları ise kritik ERP verilerini fidye ödemeden kurtaramadı. Saldırı teknik bir ayrıntı değildi; kurumsal yazılım altyapısının ne kadar kırılgan olduğunu gösteren bir stres testiydi.
Söz konusu saldırının arka planını anlamak, savunma stratejisini doğru kurmak açısından zorunlu. WannaCry olarak bilinen bu fidye yazılımı, Windows işletim sistemlerindeki SMB protokolündeki bir açığı kullanıyordu. Microsoft bu açık için Mart 2017’de kritik bir güvenlik yaması yayımlamıştı. Yani saldırı anında yama uygulanmış sistemler büyük ölçüde korunmuş durumdaydı. Peki neden bu kadar çok kurum etkilendi? Cevap, yama yönetiminin hâlâ kurumsal bir disiplin olarak yerleşmemiş olmasında yatıyor. Özellikle KOBİ’lerde ‘sistem çalışıyorsa dokunma’ anlayışı, güvenlik güncellemelerinin aylarca, hatta yıllarca ertelenmesine zemin hazırlıyor. ERP sunucuları, muhasebe sistemleri ve kurumsal veri tabanları bu ihmalin doğrudan hedefi haline geliyor.
Fidye yazılımlarının çalışma mantığı basit ama yıkıcı: kötü amaçlı yazılım ağa sızdıktan sonra dosyaları şifreliyor ve erişim için kripto para birimi talep ediyor. Kurban ödeme yaparsa veriye kavuşacağının garantisi yok; ödemese verilerini kaybediyor. Bu ikilem, kurumların saldırı sonrası değil saldırı öncesi hazırlık yapmasını zorunlu kılıyor. Ancak hazırlık yalnızca teknik bir mesele değil. Üç temel bileşen var: yama yönetimi, yedekleme disiplini ve çalışan farkındalığı. Bu üçü birlikte çalışmadığında, en pahalı güvenlik duvarı bile yeterli olmuyor.
Yama yönetimi, kurumsal BT ortamında en çok ihmal edilen süreçlerin başında geliyor. Bunun birkaç pratik nedeni var: ERP yazılımı üreticileri, işletim sistemi güncellemelerinin kendi sistemleriyle uyumluluğunu test etmek için zaman istiyor; bu süreçte BT ekibi güncellemeyi bekletmeyi tercih ediyor. Üretim ortamlarında ‘canlı sistem’e müdahale etmek riskli görünüyor. Ancak bu yaklaşım, güvenlik açığını kapatmak yerine açık tutmak anlamına geliyor. Olgun bir yama yönetimi süreci, kritik yamalar için azami 30 günlük uygulama penceresi ve test ortamında doğrulama adımı içermeli. Bu bir tercih değil, operasyonel risk yönetiminin parçası.
Yedekleme disiplini ise fidye saldırısına karşı en güçlü sigorta poliçesi. Ancak burada sık yapılan bir yanılgı var: yedek almak ile yedekten geri dönebilmek aynı şey değil. Pek çok KOBİ düzenli yedek alıyor; ama bu yedeklerin ağa bağlı sürücülerde tutulduğunu, fidye yazılımının bu sürücülere de ulaşıp şifrelediğini ve geri dönüş testinin hiç yapılmadığını fark ediyor, ancak kriz anında. Etkili bir yedekleme stratejisi, yedeklerin ağdan izole edilmiş ortamda tutulmasını ve en az üç ayda bir geri dönüş testinin gerçekleştirilmesini gerektiriyor. Bulut tabanlı yedekleme çözümleri bu noktada ciddi bir esneklik sunuyor; ancak bulut erişiminin de güvenlik politikalarıyla yönetilmesi gerekiyor.
Çalışan farkındalığı, teknik önlemlerin tamamlayıcısı olmaktan öte, çoğu zaman ilk savunma hattı. Fidye yazılımlarının büyük çoğunluğu kuruma e-posta eki veya sahte bağlantı yoluyla giriyor; yani bir çalışanın tıklamasıyla başlıyor. Teknik dilde ‘phishing’ olarak adlandırılan bu sosyal mühendislik saldırıları, güvenlik duvarlarını değil insan reflekslerini hedef alıyor. Kurumsal e-posta üzerinden gelen fatura, kargo bildirimi veya insan kaynakları duyurusu görünümlü sahte mesajlar, deneyimli çalışanları bile yanıltabiliyor. Bu nedenle yılda en az iki kez gerçekleştirilen simülasyon tabanlı farkındalık eğitimleri, teknik yatırımlarla eş değer bir güvenlik yatırımı olarak değerlendirilmeli.
Bir KOBİ yöneticisi olarak siber güvenlik yatırımını değerlendirirken şu soruyu sormak gerekiyor: ‘Sistemlerim bugün fidye yazılımına maruz kalsa, iş sürekliliğimi kaç saatte sağlayabilirim?’ Bu sorunun cevabı yoksa veya cevap ‘bilmiyorum’ ise, öncelik sırasını yeniden kurmak gerekiyor. Yama yönetimi için bir takvim oluşturmak, yedekleme süreçlerini gözden geçirmek ve çalışan eğitimini bütçeye almak, fidye yazılımına karşı en gerçekçi savunma paketini oluşturuyor. Saldırı geldiğinde ne yapacağınızı değil, saldırı gelmeden ne yapmanız gerektiğini planlamak, kurumsal dayanıklılığın temel ölçütü.