İçeriğe geçmek için "Enter"a basın

Tedarikçisi KGB’yi Yaktı, Siz ne Durumdasınız?

Geçtiğimiz hafta bir Rus hacker grubu Rus istihbarat örgütü FSB (eski parayla KGB) için proje yapan bir taşeron firmaya sızıp 7.5 terabayt veri çaldığını açıkladı. Kaba bir hesapla 1 terabayta 250.000.000 sayfa sığdığını düşünürsek bu hırsızlığın boyutunu ve önemini anlayabiliriz.

Grup şu ana kadar 170 MB civarında dosyayı yayımladı. Olaya konu SyTech firması Rusya için pek çok önemli proje geliştiren bir yazılım firması. Geliştirdikleri projeler arasında vergi sistemi altyapısından istihbaratın kullanımı için özel olarak ortaya çıkmış yazılımlar sayılabilir. Taşeron firmanın çalışmalarının çoğunun FSB içerisinde sinyal istihbaratından sorumlu 71330. Birimin Facebook ve TOR konularında yürüttüğü çalışmalara ilişkin bilgiler de sızdırılan dosyalarda yer alıyor.

Bu olay taşeron kaynaklı güvenlik ihlallerinin ilki değil. 10 Temmuz 2019’da A.B.D. sınır güvenliği birimi sınırdan geçenlerin biyometrik verilerini tutan bir taşeronlarının bu verileri siber saldırı sonucunda çaldırdığını açıklamıştı.

2018 yılının Aralık ayında yayımlanan bir rapor; A.B.D. Deniz Kuvvetlerine iş yapan bazı taşeronların birden fazla kez başarılı saldırıların kurbanı olduğunu ve savaş gemilerinin bakım prosedürlerinden bazı yeni silahların tasarım dokümanlarına kadar pek çok bilginin çalındığını belirtiyordu.

Görünüşe göre taşeronlar dünyanın her ülkesinde siber saldırganların hedefinde. Asıl kuruluş (örn: A.B.D. Deniz Kuvvetleri) yerine taşeronların hedef alınmasının basit bir nedeni var; daha kolay hedefler. Her ne kadar belli standartlara uyduklarını gösteren belgelere sahip olsalar da taşeronların disiplininin askeri veya kamu kurumların düzeyinde olmadığı da bir gerçek. Diğer yandan taşeronların kar odaklı olmaları bazı durumlarda personelin fazla ve dikkatsiz çalışmasına neden olabiliyor.

Taşeron kaynaklı riskler konusunda neler yapılabilir?

Öncelikle taşeron kaynaklı siber güvenlik risklerin neler olabileceği ortaya konulmalıdır. Bunun için bir risk değerlendirmesi yapılıp taşeronların uğrayacağı bir siber saldırının kuruluşunuzu nasıl etkileyeceği belirlenir.

Taşeronlardan doğan riskler ortaya çıkartıldıktan sonra bunların azaltılmasına yönelik çalışmalar başlatılabilir. Bu konuda verdiğimiz danışmanlık hizmetleri kapsamında biz NIST (A.B.D. Ulusal Standart ve Teknoloji Enstitüsü) tarafından yayımlanmış SP 800-171 (taşeronlar bünyesinde tutulan federal bilgilerin güvenliği rehberi) ile bazı sektörel çatıları kullanıyoruz.

Taşeron risk değerlendirmeleri için dikkat edilmesi gereken bazı başlıklar şunlardır:

  • Erişim denetimi
  • Farkındalık ve eğitim
  • Denetim ve izlenebilirlik
  • Kimlik yönetimi
  • Güvenlik yönetimi
  • Olay tespiti ve müdahalesi
  • Veri güvenliği
  • Personel güvenliği

Taşeronlarınızın bu konuları nasıl yönettiği, hangi güvenlik tedbirlerini uyguladığı, siber saldırı tespit ve müdahale yeteneklerinin ne seviyede olduğunu anlamak kuruluş verilerinizin kuruluşunuzun dışındayken de güvende olmasını sağlayabilir. Tahmin edeceğiniz gibi gizlilik anlaşmaları iyidir ama çalınan verileri geri getirme yeteneğine sahip değiller. Bu nedenle taşeron firma güvenliğini ayrıca ele almakta fayda var.

Dilerseniz siber güvenlik danışmanlığı, olgunluk seviyesi değerlendirme ve genel siber risk ölçümü konularında yardımcı olabilirim. Bana alper@sparta.com.tr adresinden ulaşabilirsiniz.

Bir yorum

  1. Ozan Özen Ozan Özen 26 Temmuz 2019

    Güzel yazı beğendim emeğinize sağlık. Kaynak url leri de eklerseniz sevinirim.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir