Veri ihlalleri her geçen gün artıyor. Şirketler dijital yeteneklerini ve  hizmet yelpazelerini geliştirdikçe risklerini de artırıyorlar. Siber güvenlik şirketi ESET artan veri ihlalleri sonrasında yapılması ve yapılmaması gerekenleri sıraladı. 

Günümüzde dünya genelindeki veri ihlalleri, olay başına 4,2 milyon Amerikan dolarından daha fazlaya mal oluyor. Kuruluşlar dijital altyapılarını güçlendirirken, şirketin saldırı yüzeyini de genişletiyorlar. ABD’de 2021 yılının üçüncü çeyreğinde bildirilen ihlallerin sayısı, 2020 yılının tümünde bildirilenlerin sayısından daha fazla. Ortalama büyüklükteki bir kuruluşun veri ihlalini bulması ve ihlali kontrol altına alması oldukça uzun sürüyor ve bunun günümüzde 287 gün sürdüğü tahmin ediliyor. Peki, ihlal alarmları çaldığında ne yapmak gerekir? ESET uzmanları dikkat edilmesi gerekenler ile ilgili şu bilgileri paylaştılar; 

Modern veri ihlallerinin öncüsü olan ve giderek yaygınlaşan fidye yazılım aktörleri olayların daha da karmaşık hale gelmesine neden oluyor. 

Sakin olun

Veri ihlali, bir kuruluş açısından en çok baskı yaratan durumlardan biridir. Özellikle bu olay ana sistemleri şifreleyen ve ödeme talep eden fidye yazılım aktörleri tarafından gerçekleştiriliyorsa büyük baskı yaratır. Ancak, düşünmeden verilen tepkiler yarardan çok zarar getirebilir. Şirketin tekrar çalışır hale gelmesini sağlamak kuşkusuz çok önemlidir, ama bu durumda bir yönteme göre hareket etmek hayati öneme sahiptir. Olay tepki planını devreye sokmalı ve önemli adımlar atmadan önce ihlalin kapsamını anlamalısınız.    

Olay tepki planınıza uyun

Kuruluşun ihlale uğraması hakkında “ne zaman olacak” değil, “eğer” bugün olursa ihtimalini ve olay tepki planının siber güvenlikle ilgili en iyi uygulama olduğunu göz önünde bulundurmalısınız. Bunun için de gelişmiş bir planlama gerekir; ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) veya İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) gibi kuruluşların rehberliğine başvurulabilir. Ciddi bir ihlal tespit edildiğinde, şirket genelinde paydaşların yer aldığı, önceden belirlenmiş bir olay tepki ekibi, süreçler üzerinde adım adım çalışmalıdır. Düzenli olarak bu planları test etmek iyi fikirdir, bu sayede herkes hazırlıklı olur ve belgeler güncel tutulur.

İhlalin kapsamını değerlendirin

Başlıca bir güvenlik olayından sonraki en önemli adımlardan biri, şirketin ne kadar kötü etkilendiğini anlamaktır. Bu sayede bildirimde bulunma ve düzeltme gibi ihlal sonrası eylemlerle ilgili bilgi sahibi olursunuz. Kötü amaçlı kişilerin sistemlere nasıl girdiğini ve saldırının “etki çapının” ne kadar büyük olduğunu, yani bu kişilerin hangi sistemlere erişim sağladıklarını, hangi verilerin risk altında olduğunu ve bu kişilerin halen ağda olup olmadığını öğrenmelisiniz. Bu noktada genellikle üçüncü taraf adli bilişim uzmanları devreye girer.

Hukuk birimini dahil edin

Bir ihlalden sonra kuruluşunuzun bulunduğu noktayı bilmelisiniz. Yükümlülükleriniz neler? Hangi düzenleyici kuruluşların bilgilendirilmesi gerekir? Daha fazla zaman kazanmak için saldırganlarla pazarlık etmeli misiniz? Müşteriler ve/veya iş ortakları ne zaman bilgilendirilmelidir? Şirket içi hukuk birimi, bu konuda ilk başvuracağınız yer olmalıdır. Ancak, siber olay tepki alanındaki uzmanları da olaya dahil edebilirsiniz. Gerçekten ne olduğuyla ilgili adli bilişim bilgileri bu noktada hayati öneme sahiptir, böylece bu uzmanlar bilgiye dayalı karar verebilir.

Ne zaman, nasıl ve kime bildirimde bulunacağınızı bilin

GDPR (AB Genel Veri Koruma Regülasyonu) ve KVKK (Kişisel Verileri Koruma Kanunu) koşulları uyarınca yerel düzenleyici, ihlal keşfedildikten sonra 72 saat içerisinde bilgilendirilmelidir. Ancak, bu durum bazı olaylar için gerekli olmadığından böyle bir bildirim için minimum gerekliliklerin ne olduğunu anlamak önemlidir. Bu noktada, ihlalin etki çapıyla ilgili derinlemesine bilgi önemlidir. Ne kadar verinin alındığını veya tehdit aktörlerinin sistemlere nasıl girdiğini bilmiyorsanız, düzenleyiciyi bilgilendirirken en kötüsünü varsaymalısınız. GDPR’nin oluşturulmasında önemli bir rol oynayan İngiltere Bilgi Komisyonu Ofisi’nin (ICO) bu konuda yararlı kılavuzları bulunur. Bununla birlikte, Kişisel Verileri Koruma Kurumu tarafından hazırlanan Veri Güvenliği Rehberi de konuya ilişkin uygulanabilir ve anlaşılır bilgiler içeren, aydınlatıcı bir kaynaktır. İhlal bildirimlerine yönelik süreçleri ve örnekleri detaylı olarak incelemek isterseniz Kişisel Verileri Koruma Kurumu’nun ilgili sayfasını (https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi) da ziyaret edebilirsiniz.

Emniyet birimlerine bilgi verin

Düzenleyicilerle ilgili gereklilikler ne olursa olsun, özellikle tehdit aktörlerinin halen ağınızda olduğu durumlar başta olmak üzere veri ihlallerinde emniyet kuruluşlarının sizin yanınızda olması yararınıza olur. Mümkün olan en kısa sürede emniyet kuruluşlarını olaya dahil etmelisiniz. Örneğin, fidye yazılım durumunda emniyet kuruluşları, güvenlik sağlayıcılarla ve şifre çözme anahtarları ve risk önleme araçları sunan diğer üçüncü taraflarla iletişime geçmenizi sağlayabilir. 

Müşterilerinize, iş ortaklarınıza ve çalışanlarınıza söyleyin 

Bu, ihlal sonrasında yapılacaklar listenizde mutlaka yer alması gereken diğer bir adımdır. Ancak tekrar belirtmeliyiz ki bilgilendirmeniz gereken müşterilerin/çalışanların/iş ortaklarının sayısı, bu kişilere ne söyleyeceğiniz ve ne zaman söyleyeceğiniz olayın ayrıntılarına ve neyin çalındığına bağlıdır. Öncelikle kuruluşun bir olayı fark ettiğini ve şu an olayı araştırdığını belirten bir beyanı iletin. Ancak bu konudaki söylentiler hızla yayılacağından, kısa bir süre sonra daha fazla ayrıntı paylaşmanız gerekir. BT, Halkla İlişkiler ve Hukuk birimleri, bu konuda birbiriyle yakın temas halinde çalışmalıdır.

Kurtarma ve düzeltme çalışmalarına başlayın

Saldırının kapsamı belirlendikten ve adli bilişim/olay yanıt ekipleri tehdit aktörlerinin artık ağa erişim sağlamadığından emin olduktan sonra işleri tekrar yoluna koyma vakti gelmiştir. Bu, sistemleri yedekten geri yükleme, ihlale uğrayan makineleri yeniden görüntüleme, etkilenen uç noktaları yamalama ve şifreleri sıfırlama anlamına gelebilir. 

Gelecekte olabilecek saldırılar için sağlam bir yapı oluşturmaya başlayın

Tehdit aktörleri bilgiyi genellikle siber suç yer altında paylaşıyor. Ayrıca kurban durumuna düşen kuruluşların birkaç kez daha ihlale uğraması giderek artıyor. Bunun için özellikle fidye yazılım kullanılıyor. Bu sebeple, tehdit algılama ve tepkinin yanı sıra adli bilişim araçlarından elde edilen bilgileri kullanmak her zamankinden daha önemlidir. Böylece, ilk seferinde saldırganların kullandığı tüm yolların gelecekteki saldırılarda tekrar kullanılmayacağından emin olabilirsiniz. Bu durum, yama ve şifre yönetiminde iyileştirme, daha iyi güvenlik farkındalığı eğitimi, çok faktörlü kimlik doğrulaması (MFA) uygulaması veya insanlar, süreçler ve teknoloji konusunda daha karmaşık değişiklikler anlamına gelebilir.

En kötü olay tepkisini inceleyin

Olay tepki yapbozundaki son öğe, deneyimlerden ders çıkarmaktır. Yukarıda değinildiği üzere gelecek için daha sağlam bir yapı oluşturmanız bunun bir parçasıdır. Ayrıca, başka örnekleri de inceleyebilirsiniz. Geçmişteki veri ihlalleri arasında, zayıf tepki verilmiş birçok yüksek profilli olay bulunur. Oldukça gündem olan bir olayda, ihlale uğrayan bir şirketin kurumsal Twitter hesabından, şirketin ihlale yanıt sitesinin bağlantısıyla karıştırıldığından dört kez kimlik avı bağlantısı tweetlendi. Başka bir olayda, İngiltere’nin başlıca telekomünikasyon şirketlerinden biri çelişkili bilgiler yayınladığı için ağır eleştirilere maruz kaldı.

Ne olursa olsun, müşteriler iş yaptıkları kuruluşların güvenlik olaylarıyla karşılaşacağının gittikçe daha fazla farkında. Sizinle çalışmaya devam etmeleri veya etmemeleri ise bu olaylara nasıl tepki verdiğinizin yanı sıra maddi ve manevi zarara bağlıdır.