1

İÇİNDEKİLERŞekil Listesi ............................................................................................................. 4Grafik Listesi ........................................................................................................... 4

Giriş ......................................................................................................................... 5

Zararlı Yazılımlar ..................................................................................................... 6EternalBlue İstismar Aracı ......................................................................................................... 6WannaCry Zararlı Yazılımı ......................................................................................................... 6WannaCry’dan Daha Tehlikeli Bir Tehdit: EternalRocks ................................................... 8Petya Yeniden Sahnede ............................................................................................................. 9Çin Kaynaklı Tehdit Operasyonu: Fireball ............................................................................. 10Android Kullanıcıları Judy Zararlı Yazılımının Kıskacında ................................................ 11Altyazıların İçinde Zararlı Yazılım Tehlikesi .......................................................................... 12

Siber Saldırılar ........................................................................................................ 12Yeni IoT Botnet Tehdidi: Persirai.............................................................................................. 12Esrarengiz IoT Botnet’i: Hajime ............................................................................................... 13

Siber Casusluk/İstihbarat ....................................................................................... 15Rusya’nın Dezenformasyon Operasyonu: Tainted Leaks ................................................. 15

Dönem İnceleme Konusu ........................................................................................ 16Siber Risk Sigortaları .................................................................................................................. 16

SORUMSUZLUK VE FİKRİ MÜLKİYET HAKKI BEYANI

İşbu eserde/internet sitesinde yer alan veriler/bilgiler ticari amaçlı olmayıp tamamen kamuyu bilgilendirmek amacıyla yayımlanan içeriklerdir. Bu eser/internet sitesinde bulunan veriler/bilgiler tavsiye, reklam ya da iş geliştirme amacına yönelik değildir. STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. işbu eserde/internet sitesinde sunulan verilerin/bilgilerin içeriği, güncelliği ya da doğruluğu konusunda herhangi bir taahhüde girmemekte, kullanıcı veya üçüncü kişilerin bu eserde/internet sitesinde yer alan verilere/bilgilere dayanarak gerçekleştirecekleri eylemlerden ötürü sorumluluk kabul etmemektedir.

Bu eserde/internet sitesinde yer alan bilgilerin her türlü hakkı STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş.’ye ve/veya eserde atıf yapılan kişi ve kurumlara aittir. Yazılı izin olmaksızın eserde/internet sitesinde yer alan bilgi, yazı, ifadenin bir kısmı veya tamamı, herhangi bir ortamda hiçbir şekilde yayımlanamaz, çoğaltılamaz, işlenemez.

4

Şekil-1 SMB Server İçin Microsoft Güvenlik Bülteni ........................................................................ 6Şekil-2 WannaCry’ın 21’inci Saatinde Bulaşma Durumu ............................................................... 7Şekil-3 WannaCry Saldırısına Maruz Kalmış Bir Sistemin Ekran Görüntüsü ........................... 7Şekil-4 NotPetya Saldırısından Etkilenen Bilgisayarlarda Tespit Edilen Ekran Görüntüsü .. 10Şekil-5 Fireball’un Küresel Bulaşma Haritası………………………………………………………………….......... 11Şekil-6 Altyazı İçine Yerleştirilmiş Zararlı Yazılımın Etki Aşamaları ........................................... 12Şekil-7 Persirai Etki Haritası .................................................................................................................. 13Şekil-8 Hajime’den Etkilenen Sistemlerde Görüntülenen Mesaj ................................................. 14Şekil-9 Tainted Leaks Etki Haritası ...................................................................................................... 15Şekil-10 Tainted Leaks’e Ait Oltalama Saldırısı Ekranı .................................................................. 15

Grafik-1 Hajime Zararlı Yazılımı Yayılım Kaynağı Olan Ülkeler ..................................................... 14Grafik-2 Hajime Zararlı Yazılımından Etkilenen Cihazların Ülkelere Dağılımı .......................... 14Grafik-3 Felaket Olasılık-Etki Grafiği ................................................................................................... 16

Şekil Listesi

Grafik Listesi

5

Geçtiğimiz üç aya damgasını vuran siber olay şüphesiz ki WannaCry fidye yazılımı oldu. Tehlikenin geçtiği söylenebilir mi? Hayır. WannaCry’ın ardından şimdi de daha tehlikeli olduğu belirtilen EternalRocks ve Haziran ayının sonunda ortaya çıkan NotPetya zararlı yazılımları gündemde. Bu tür fidye yazılımları ile talep edilen fidyenin ödenmemesi gerektiğini ve böyle bir durumla karşı karşıya kalındığında en uygun hareket tarzının her zaman önemine değindiğimiz sağlıklı bir yedekleme sistemi ile alınmış yedeklere dönülmesi olduğunu vurgulamak istiyoruz. Her üç zararlı yazılımla ilgili detayları bu dönem raporumuzda bulabilirsiniz.

Kaspersky 2017 yılının ilk çeyreği için açıkladığı rapor mobil fidye yazılımlarının üç kattan fazla arttığını ortaya koyuyor1. Raporda, saldırganların sadece kişisel bilgisayarlardaki verilerimizi değil mobil cihazlarımızdaki verileri de şifreleyebileceğini, hatta bunu giderek daha çok yapacakları vurgulanıyor. Uzmanlar, zararlı yazılım bulaşması riskini azaltmak için kullanıcılara sağlam güvenlik çözümleri kullanmaları, tüm yazılımlarını güncel tutmaları, zararlı yazılım bulaşması olasılıklarına karşı düzenli olarak sistem taraması yapmaları, güvenliğinden emin olunmayan sitelere kişisel bilgilerini girmemeleri ve değerli bilgilerinin yedeklerini almaları yönünde tavsiyelerde bulunuyorlar.

Kaspersky’nin bir diğer araştırması, kullanıcıların veri paylaşım alışkanlıklarını ortaya koyan My Precious Data: Stranger Danger (Benim Kıymetli Verim: Yabancı Tehlikesi) adlı raporu2. Rapora göre Türkiye’den katılan internet kullanıcılarının yarısına yakını (%42) bilgilerini herkesin görebileceği şekilde paylaştığını söylüyor, ancak bu şekilde paylaşılan verileri daha sonra kimin ne amaçla kullanabileceği belli olmuyor. Her 5 kişiden biri (%23) hassas verilerini; iyi bilmediği insanlarla ve yabancılarla paylaştığını, dolayısıyla bu bilgilerin ne şekilde kullanılacağı üzerindeki kontrolü elden bıraktıklarını itiraf ediyor. Böylece, Türkiye’deki kullanıcılar finansal detaylarını (%53), pasaport, ehliyet ve benzeri kişisel belgelerinin taranmış hallerini (%35) veya şifrelerini (%44) paylaşarak kimlik hırsızlığına veya finansal saldırılara açık hale geliyor3. Her yaştan kullanıcıları ilgilendiren bu endişe verici sonuçlar, bilgi güvenliği farkındalığının sağlanmasında daha çok yol alınması gerektiğini ortaya koyuyor.

2017 yılının ilk çeyreği için Dağıtık Servis Dışı Bırakma (Distributed Denial of Service (DDoS)) saldırılarına yönelik yapılan yorumda son 5 yıllık dönemde olduğu gibi bir düşüş yaşanıyor gibi görünse de yıl içerisinde kademeli olarak bir artış beklendiği ifade ediliyor4. 2016 Ekim-Aralık Dönemi Siber Tehdit Durum Raporumuzun 2017 Yılı Beklentileri bölümünde DDoS saldırılarında kullanılan “Mirai” benzeri zararlı yazılım kullanımının 2017 yılında daha da artmasının beklendiğini vurgulamıştık. Son dönemde öne çıkan ve bu raporumuzda detaylarına yer verdiğimiz “Hajime” ve “Persirai” zararlı yazılımları da oluşturdukları Nesnelerin İnternet’i (IoT) botnetleriyle DDoS tehdidini gündemde tutuyorlar.

Gerek maddi hedeflerle gerek politik hedeflerle olsun, “Siber Saldırılar” dünyanın tüm ülkelerinde; hem kamu hem de özel şirketler için çok ciddi tehditler oluşturuyor. Saldırılar arttıkça bunlara verilen karşılıkların maliyetleri de hâliyle yükseliyor. Bu durum sigorta şirketlerini de harekete geçirmiş durumda. Siber risklerin önümüzdeki dönemde de büyük tehdit oluşturacağını ifade eden sigortacılar, risklerden korunmanın yolunun siber risk sigortası yaptırılması olduğunu ifade ediyorlar. Biz de sigortacılık alanında son dönemde önem kazanan ihtiyaçlardan yola çıkarak bu dönemki tehdit raporumuzun özel konusunu “Siber Risk Sigortaları” olarak belirledik ve konuya yönelik bir makale hazırladık.

Makalemizi “Dönem İnceleme Konusu” başlığı altında raporumuzun sonunda bulabilirsiniz.

Giriş

1 https://usa.kaspersky.com/about/press-releases/2017_kaspersky-lab-reports-mobile-ransomware-dramatically-increased-in-q1-20172 https://blog.kaspersky.com/my-precious-data-report-three/16883/3 http://www.btgunlugu.com/kisisel-bilgileri-yabancilara-veriyoruz/4 https://securelist.com/ddos-attacks-in-q1-2017/78285/

6

EternalBlue İstismar Aracı

EternalBlue, ABD Ulusal Güvenlik Ajansı (NSA) ile bağlantılı olduğu iddia edilen hacker grubu Equation Group’u hacklediğini duyuran Shadow Brokers hacker grubu tarafından 14 Nisan 2017’de sızdırılmış bir istismar aracı5. Bahse konu istismar aracının 12 Mayıs 2017’de dünya çapındaki WannaCry ve 27 Haziran 2017’deki NotPetya fidye saldırıları kapsamında kullanıldığı ifade ediliyor6.

EternalBlue, Microsoft’un Sunucu Mesaj Bloğu (SMB) protokolündeki bir güvenlik açığından yararlanıyor (MS17-010). Güvenlik açığı, Microsoft Windows’un çeşitli sürümlerinde yer alan SMB (SMBv1) sunucularının, uzaktaki saldırganlardan özel hazırlanmış paketleri kabul etmesi ve bunun sonucunda saldırganların hedef bilgisayarda rastgele kod çalıştırmasına izin vermesiyle istismar edilebiliyor.

Microsoft, 14 Mart 2017 tarihinde bu problemi ayrıntılı olarak açıklayan ve o sırada desteklenmekte olan tüm Windows sürümleri için açığı gideren yamaları çıkartacağını belirten güvenlik bültenini yayımladı (Şekil-1). Desteklenen ürünler olarak; Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 ve Windows Server 2016’nın yanı sıra Windows Vista belirtiliyor.

Windows Vista her ne kadar Microsoft tarafından artık desteklenmese de bu güvenlik zafiyeti bu sistem için de giderilmiş durumda.

Şekil-1 SMB Server İçin Microsoft Güvenlik Bülteni

WannaCry’ın ortaya çıkış tarihi olan 12 Mayıs 2017’de birçok Windows kullanıcısının henüz Microsoft’un geliştirdiği yamaları sistemlerine kurmamış olmasının sonucu olarak WannaCry fidye yazılımı saldırısının kendini yaymak için EternalBlue istismarını kullanabildiği ifade ediliyor. Bu olaylar neticesinde Microsoft tarafından, desteklenmemelerine rağmen ilaveten Windows XP, Windows Server 2003 ve Windows 8 için de acil güvenlik düzeltme ekleri yayımlandı.

WannaCry Zararlı Yazılımı

Geçtiğimiz dönemde küresel düzeyde tarihin en büyük fidye yazılımı saldırısı gerçekleşti. Dünyada 150’ye yakın ülke ve 200 bine yakın sistem 12 Mayıs 2017 Cuma günü “WannaCry’’ adlı zararlı yazılımın saldırısına uğradı. Ağırlıklı olarak kurumların hedef alındığı siber saldırıda en ağır hasarı, İçişleri Bakanlığı’ndaki bine yakın bilgisayarı etkilenen Rusya almış görünüyor.

Zararlı Yazılımlar

5 https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/6 https://www.cnet.com/news/petya-goldeneye-wannacry-ransomware-global-epidemic-just-started/

7

Saldırı sayısı açısından Rusya’yı, Tayvan ve Ukrayna izledi. Sayısal olarak daha az saldırıya maruz kalmasına karşın İngiltere, saldırılardan daha ağır etkilendi ve sağlık sistemi çöktü.

Türkiye’de hasar, hafta sonunun da etkisiyle diğer ülkelere göre sınırlı kalmış görünüyor7.

WannaCry, kurbanlarının verilerini şifreleyerek kurbanlarından bitcoin olarak fidye ödemelerini talep eden bir fidye yazılımı saldırısı. Saldırı, “EternalBlue” istismar aracından faydalanarak sisteme erişiyor ve “DoublePulsar” yazılımı ile bir arka kapı açarak WannaCry fidye yazılımını çalıştırıyor.

12 Mayıs 2017’de başlayan WannaCry saldırısında, zararlı yazılımın bir günde 150’den fazla ülkede 230.000’den fazla bilgisayara bulaştığı bildirildi (Şekil-2). Saldırıdan kısa bir süre sonra, İngiltere’de North Devon’dan 22 yaşında bir web güvenlik araştırmacısı olan Marcus Hutchins, zararlı yazılımı incelerken şans eseri etkili bir ölüm anahtarı (kill switch) keşfetti8. Hutchins, incelemesi esnasında zararlı yazılımın kaydedilmemiş bir alan adresine sorgu attığını keşfetti ve bu alan adresini satın aldı. Daha sonra alan adresini ‘sinkhole’ sunucusuna yönlendirerek yayılmasını kesti. Bu keşif enfeksiyonun yayılmasını yavaşlattı ve 15 Mayıs 2017 Pazartesi günü ilk salgın etkili bir şekilde durduruldu, ancak o tarihten beri ölüm anahtarından yoksun yeni sürümler tespit ediliyor.

Şekil-2 WannaCry’ın 21’inci Saatinde Bulaşma Durumu WannaCry saldırılarının arkasında Kuzey

Kore olduğuna yönelik değerlendirmeler yapılıyor.

İngiliz siber uzmanlarının analizleri saldırıların sorumluluğunun Kuzey Kore siber çetesi Lazarus Group olduğu yönünde9, ancak saldırının devlet yönetimi direktifiyle düzenlendiği veya onaylandığının belli olmadığı belirtiliyor.ABD istihbarat yetkilileri ise NSA’nın taktikler, teknikler ve hedeflere dayalı olarak yaptığı analiz sonucundaki değerlendirme raporunun Kuzey Kore casusluk birimi olan Reconnaissance General Bureau’yu işaret ettiğini ifade ediyorlar10.

Microsoft, saldırının şiddet ve etki seviyesinin yüksek olmasından dolayı Windows XP ve Windows Server 2003 gibi eski ve Microsoft tarafından desteklenmeyen Windows sürümleri için dahi acil bir güvenlik yaması yayımladı. Ayrıca siber saldırının en çok Windows 7 kullanan sistemlere bulaştığı da vurgulandı.

WannaCry, modern fidye yazılımları ile benzer şekilde çalışıyor. Sistemde kayıtlı bir dizi veri dosyasını bularak şifreliyor. Daha sonra kullanıcıyı bilgilendiren ve bitcoin ödemesi talep eden bir fidye notu görüntülüyor. Kendisini otomatik olarak yaymak için bir taşıma kodu içerdiğinden dolayı bir ağ solucanı olarak hareket ediyor.

Şekil-3 WannaCry Saldırısına Maruz Kalmış Bir Sistemin Ekran Görüntüsü

Bu taşıma kodu EternalBlue istismar kodunun kullandığı zafiyeti bulunan sistemleri tarıyor ve zafiyete sahip sistem saptadıktan sonra bu zafiyetten faydalanarak sisteme erişim sağlıyor. En son adımda da WannaCry zararlı yazılımını yüklemek için DoublePulsar aracını kullanıyor. Saldırıya maruz kalmış bir sistemin ekran görüntüsü Şekil-3’te görülüyor.

Türkiye, 150 ülke arasında en yoğun saldırıya maruz kalan 14’üncü ülke oldu.

7 https://www.eset.com/tr/about/press/articles/article/turkiye-global-virusun-en-cok-hedef-aldigi-14uncu-ulke/8 http://www.news.com.au/technology/online/security/marcus-hutchins-named-as-man-who-stopped-global-cyberattack-in-its-tracks/news-story/dec11418968316720d48f74624023018 9 http://www.telegraph.co.uk/news/2017/06/15/wannacry-ransomware-north-korea-say-uk-us/10 https://www.washingtonpost.com/world/national-security/the-nsa-has-linked-the-wannacry-computer-worm-to-northkorea/2017/06/14/101395a2-508e-11e7-be25-3a519335381c_story.html?utm_term=.d94931060d6d

8

Yeni sürümleri çıkmaya devam eden bu zararlı azılım türünden korunmak için kullanıcıların işletim sistemi güncellemelerini yapmaları, antivirüs yazılımı kullanmaları ve antivirüs yazılımlarını güncel tutmaları gerekiyor.

Alınacak önlemlerin başında; kullanıcıların bilgilendirilmeleri, oltalama saldırılarına karşı dikkatli davranmaları, güvenilir olmayan kaynaklardan gelen e-posta eklerini açmamaları konusunda tekraren uyarılmaları geliyor. Bu açıdan kurumsal anlamda farkındalık seviyesinin artırılması büyük önem arz ediyor.

Sistem yöneticilerine ise büyük görevler düşüyor. Sunucu tarafında alınması gereken önlemleri de şöyle sıralayabiliriz:

- E-postaların taranıyor olması ve güvenliğinin sağlanması,

- Wanna Cry fidye yazılımının kullandığı Windows SMB 1.0 (Server Message Block - MS17-010) açıklığının Microsoft internet sayfasında yayımlanan yama ile kapatılması veya SMB 1.0 servisinin hizmetinin sunucu ve bilgisayarlarda kapatılması,

- Dosya transferlerinin mümkün olduğunca kısıtlanması,

- Kullanılmayan servislerin kapatılması,

- Kabul görmüş güvenlik ürünlerinin kullanılıyor olması,

- Bilgisayarların güçlü bir anti-malware yazılımı ile koruma altına alınması,

- Sistemlerin düzenli olarak yedeklenmesi,

- Hassas bilgilerin, harici bir disk ünitesine yedeklenmesi ve çevrimdışı olarak muhafaza edilmesi,

- Kullanılan güvenlik yazılımlarının güncel tutulması,

- İşletim sistemlerinin güvenlik yamalarının sürekli takip edilerek uygulanması, eğer işletim sisteminin güncellenmesi mümkün değilse 445 No.lu TCP portunun kapatılması.

WannaCry’dan Daha Tehlikeli Bir Tehdit: EternalRocks

NSA tarafından keşfedilen ve Nisan ayında Shadow Brokers grubu tarafından sızdırılan yedi istismarı kullanan EternalRocks (diğer adıyla “MicroBotMassiveNet”) adlı yeni network solucanı tespit edildi. EternalRocks, Shadow Brokers tarafından sızdırılan ve WannaCry zararlı yazılımı tarafından da kullanılan EternalBlue ve DoublePulsar’a ilave olarak EternalChampion, EternalRomance, EternalSynergy, ArchiTouch ve SMBTouch istismar araçlarını da kullanıyor11.

Fidye amacıyla bulaşmış olduğu kurbanlarına uyarı veren WannaCry’den farklı olarak EternalRocks, bilgisayarlarda saklı kalıyor. WannaCry kendini daha belirgin hale getirip güvenlik uzmanlarının olayı izlemesini kolaylaştırırken, EternalRocks kurulumdan sonra sisteme yerleşiyor ve gizleniyor. Sisteme bulaşmayı ise bilerek geciktiriyor, bu nedenle bulunması daha zor.

EternalRocks, hedefine bulaştıktan sonra iki safhalı bir kurulum işlevi gerçekleştiriyor. İlk safhada haberleşme kanalı olarak TOR kullanıcı programını yüklüyor, arkasından komuta kontrol sunucusuna bağlanıyor. Komuta kontrol sunucusu karşılığı ani olarak değil 24 saat sonra veriyor.

Bu gecikmenin sebebinin kum havuzu (sandbox) testlerini ve güvenlik analizlerini atlatmak olduğu belirtiliyor. Komuta kontrol sunucusu bu gecikmeden sonra karşılık verdiğinde de istismar dosyasını hedefe gönderiyor. Bu aşamadan sonra zararlı yazılım, internet üzerinde açık olan 445 portlarını taramaya başlıyor ve bu yolla yayılıyor.

WannaCry’dan daha fazla istismar aracı kullanan EternalRocks, daha güçlü bir tehdit olarak gündemde.

11 https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/eternalrocks-emerges-exploitsadditional-shadowbroker-vulnerabilities

9

EternalRocks solucanı henüz pasif durumda. Şu anda herhangi bir saldırı başlatmak amacıyla kullanılmıyor, ancak aktif hale gelirse çok sayıda saldırıdan sorumlu olabileceği değerlendiriliyor.

Sonuç olarak, WannaCry’ın oluşturduğu olumsuzluklardan ders alarak henüz sistemlerini güncellememiş ve yamaları uygulamamış kullanıcılar için WannaCry’dan daha fazla istismar aracı kullanan EternalRocks, daha güçlü bir tehdit olarak gündemdeki yerini koruyor.

Petya Yeniden Sahnede

Dünya, küresel düzeyde tarihin en büyük fidye yazılım saldırısı olarak Mayıs 2017’de gerçekleştirilen WannaCry’dan sonra benzer bir saldırı ile karşı karşıya kaldı. İlk olarak Ukrayna’da başlayan ve sonra dünyaya yayılan yeni bir zararlı yazılım saldırısı 27 Haziran 2017’de siber tehdit gündeminin ilk sırasına oturdu.

Ukrayna’da başlayan saldırılarda ülkenin elektrik altyapısı, havaalanları ve devlet kurumları etkilendi. Sonra küresel yayılma başladı. Rusya’nın en büyük petrol üretim şirketi Rosneft, çok uluslu firmalardan dünyanın en büyük deniz nakliyat şirketi olan Danimarka konuşlu Maersk, ilaç yapımcısı Merck, hukuk firması DLA Piper son saldırılardan etkilenen şirketler arasında yer alıyor. ABD’de de bazı hastanelerin etkilendiği, Polonya, İtalya ve Almanya’nın da diğer etkilenen ülkeler olduğu belirtiliyor.

Saldırının Ukrayna’da çoğu devlet kurumunda kullanılan MeDoc adlı üçüncü parti bir Ukrayna muhasebe yazılımının güncellemesi ile başlaması, Ukrayna’nın en çok etkilenen ülke olmasının nedeni olarak gösteriliyor. Kaspersky güvenlik firmasının ilk tespitlerine göre saldırıların %60’ı Ukrayna’da gerçekleşmiş durumda12.

Güvenlik uzmanları yeni bir küresel tehdit oluşturan yazılımı isimlendirmede hemfikir değiller, ancak yeni yazılım, hem Petya hem de aslında Petya’nın türevi olan GoldenEye’ın yeni bir türü gibi değerlendiriliyor. Bu da yeni yazılıma NotPetya, ExPetr, PtrWrap, GoldenEye, Petya.A, Petya.C ve PetyaCry gibi değişik adlar verilmesine yol açmış durumda13. Biz raporumuzda Petya’nın bu yeni türevini NotPetya olarak isimlendirmeyi tercih ettik.

NotPetya’nın WannaCry tarafından da kullanılan EternalBlue istismar aracını kullandığı ifade ediliyor. En yaygın saldırı vektörü olarak da zararlı yazılımyerleştirilmiş MS Office dosyalarını barındıran oltalama e-postaları gösteriliyor. Zararlı yazılım barındıran dosyalar Windows SMB içerisindeki EternalBlue istismar aracına karşı güvenlik yaması uygulanmamış sistemleri hedef alıyor ve yayılmakiçin NSA araçlarından DoublePulsar’dan faydalanıyor. WannaCry tarafından da kullanılan bahse konu istismar araçları 139 ve 445 numaralı portları kullanarak zararlı yazılımın kolayca yayılmasını sağlıyor ve bu portlar aracılığı ile tüm yerel ağa bulaşıyorlar.

NotPetya, yayıldığı ağlardaki yönetici yetkilerine sahip olmak için parolaları çalıyor. Sonra da ağdaki diğer bilgisayarlara yayılmak için sabit disklerinişifrelemeden önce kendisini zorunlu güncelleme olarak gösteriyor. Bilgisayarı etkilediğinde 1 saat kadar bekliyor ve sonra sistemi yeniden başlatıyor. Sistem yeniden başladığında dosyalar şifreleniyor ve kullanıcı ekranında ödeme yapmasını isteyen bir notla karşılaşıyor (Şekil-4).

12 https://securelist.com/schroedingers-petya/78870/ shadowbroker-vulnerabilities13 http://searchsecurity.techtarget.com/news/450421614/Petya-like-global-ransomware-attack-can-be-mitigated

10

Şekil-4 NotPetya Saldırısından Etkilenen Bilgisayarlarda Tespit Edilen Ekran Görüntüsü

Bir önemli husus da, saldırganların ekrandaki mesajda belirttikleri e-posta adresinin servis sağlayıcısı tarafından kapatılmış olması. Bu da talep edilen fidyenin ödenmesini müteakip şifrelenen dosyaları çözmek için gerekli anahtarın gönderilemeyecek olması ve dolayısıyla şifrelenen bilgilerin geri kazanılamayacağı anlamına geliyor, ancak bunun da ötesinde NotPetya, fidye yazılımı yerine silici (wiper) yazılım olarak nitelendiriliyor14. NotPetya’nın para kazanmak için değil fidye yazılımı kılıfı altında süratle yayılmak ve hasar vermek üzere tasarlandığına yönelik iddialar var. NotPetya’nın fidye isteme yönteminin muhtemelen seçilecek en kötülerinden biri olduğuna değinilen değerlendirmelerde, zararlı yazılımın yayılma tekniklerinin, yayılacağı ağlara maksimum zarar vermek için değişik metotlar kullanmak suretiyle etkin olarak yazılmış olduğu belirtiliyor.

CyberArk Labs güvenlik firması tarafından yapılan bir analize göre de NotPetya “US English” klavye kullanımına ayarlanmış uç bilgisayarları etkilemiyor15. Güvenlik uzmanları bu kapsamda, yeni yazılımın belirli bir ülke veya ülkeleri hedef alarak devlet destekli geliştirilmiş olduğuna ve Windows kullanan kişi ve kurumların yeni tehdidi ciddiye almaları gerektiğine inanıyorlar.

Bu arada, NotPetya için WannaCry’da bulunan ölüm anahtarı (kill switch) yerine zararlı yazılım sisteme bulaşsa da şifreleme işlemini başlatmamasını sağlayacak bir aşı bulunduğu duyuruldu. C:\Windows klasörü altında sadece okuma yetkisine sahip oluşturulacak “perfc” isimli dosya, fidye yazılımın çalışmasını engelliyor16; ancak

farklı sürümlerdeki Petya türü fidye yazılımlarında bu aşının geçerli olmayacağının da unutulmaması gerektiği ifade ediliyor.

Bu tür yazılım saldırılarından korunmak maksadıyla alınması gereken önlemler, WannaCry için değindiğimiz önlemlerle aynı olduğu için burada tekrar değinmiyoruz.

Çin Kaynaklı Tehdit Operasyonu: Fireball

CheckPoint güvenlik firması araştırmacıları tarafından Haziran 2017 ayı başında dünya çapında 250 milyondan fazla bilgisayara bulaşmış yüksek hacimli bir Çin tehdit operasyonu tespit edildi17. Fireball adı verilen bahse konu bu zararlı yazılım, hedef web tarayıcıları devralarak onları zombi haline getiriyor.

Fireball zararlı yazılımının iki temel yeteneği mevcut: Birincisi kurban bilgisayarlarda herhangi bir kod çalıştırma ve bir dosya ya da zararlı yazılım indirme yeteneği, ikincisi zararlı yazılım bulaşmış kullanıcıların web trafiğini manipüle etme becerisi.

Şu anda Fireball zararlı yazılımının, bulaştığı makinenin trafiğini manipüle ederek reklam getirisi elde etmeye çalıştığı gözlemlenmiş durumda, ancak ufak modifikasyonlarla farklı amaçlara hizmet edebilme potansiyeli de taşıyor. Kullanıcılar bilgisayarlarına virüs bulaştığını bilemiyor ve aynı WannaCry gibi Fireball da hedefteki kullanıcılarının bütün bilgilerini çalıyor.

Bu operasyonun, Pekin’de kurulu büyük bir dijital pazarlama ajansı tarafından yürütüldüğü belirtiliyor. Ajansın, kurbanların tarayıcılarını manipüle ederek varsayılan arama motorlarını ve ana sayfalarını sahte arama motorlarına çevirmek için Fireball zararlı yazılımını kullandığı ve bu sorguları yahoo.com veya google.com’a yönlendirdiği tespit ediliyor. Sahte arama motorlarının da kullanıcıların kişisel bilgilerini toplayan mekanizmaları mevcut.

Fireball’un hâlihazırda 250 milyondan fazla bilgisayarı ve tüzel ağların da %20’sini etki altına almış durumda olduğu düşünülüyor (Şekil-5).

Fireball bir tarayıcı korsanı gibi davranıyor, ancak tam fonksiyonlu bir zararlı yazılım yükleme aracına da dönüşebiliyor.

14 https://www.theguardian.com/technology/2017/jun/28/notpetya-ransomware-attack-ukraine-russia15 https://www.infosecurity-magazine.com/news/petya-ransomware-vaccine-now/16 https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomwareoutbreak/17 http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/

11

Şekil-5 Fireball’un Küresel Bulaşma Haritası (Renk koyulaştıkça etkilenme oranı yükselmektedir.)

Virüsten en çok etkilenen ülkeler şöyle sıralanıyor:

• 25,3 milyon bilgisayar Hindistan (%10,1)

• 24,1 milyon bilgisayar Brezilya (%9,6)

• 16,1 milyon bilgisayar Meksika (%6,4)

• 13,1 milyon bilgisayar Endonezya (%5,2)

• 5,5 milyon bilgisayar ABD(%2,2)

Fireball’un ücretsiz yazılım dağıtıcıları aracılığıyla yayıldığı ifade ediliyor. Uzmanlar, kullanıcıların bilgisayarlarına ücretsiz uygulamaları kurarken, ilave bir zararlı yazılımın illa ki eş zamanlı olarak yükleneceği anlamına gelmediği veya şüpheli bir durumla karşılaşılmamasının arka planda bir işlemin olmadığını göstermeyeceği konularına dikkat çekiyorlar.

Sonuç olarak Fireball bir tarayıcı korsanı gibi davranıyor, ancak tam fonksiyonlu bir zararlı yazılım yükleme aracına da dönüşebiliyor. Bu yönüyle de bulaştığı bilgisayarlarda her türlü zararlı kodu çalıştırabiliyor ve bu özellikleri ile küresel siber eko sistem için ciddi bir tehdit oluşturuyor. Şu aşamada bu zararlı yazılıma karşı alınabilecek önlemler, bilgisayarlardan reklam yazılımlarının kaldırılması,

bilgisayarların anti-malware ve adware-cleaner türü yazılımlarla taranarak temizlenmesi, tarayıcı programlardan şüpheli uzantıların kaldırılması, tarayıcıların orijinal ayarlarına döndürülmesi olarak sıralanıyor.

Android Kullanıcıları Judy Zararlı Yazılımının Kıskacında

Güvenlik firması Check Point’in yetkilileri tarafından, Google’ın uygulamalar için resmi çevrim içi marketi olan Google Play’de “Judy’’ adını verdikleri ve geniş bir yayılma alanı olan zararlı yazılım tespit edildi. Judy, bir Kore firması tarafından geliştirilen 41 uygulamada bulunan ve otomatik klikleme esasına dayalı rahatsız edici bir reklam yazılımı.

Yazılım, bulaştığı cihazlarda reklamlar üzerinde çok miktarda sahte kliklemeler vasıtasıyla faillerine kazanç sağlıyor.

Daha önce Google Play’de rastlanan benzerleri gibi Judy’nin de çalışma prensibi, kendi komuta kontrol sunucusu ile haberleşme. Her ne kadar tespit edildikten sonra Google tarafından uygulama marketinden kaldırılsa da şu ana kadar 4,5 ile 18,5 milyon arasında indirildiği ve toplamda da 36,5 milyon kullanıcıyı etkilemiş olabileceği ifade ediliyor18.

Android kullanıcılarına çözüm olarak Google Play’de “ENISTUDIO Corp.” adıyla kayıtlı firma tarafından üretilen uygulamaları cihazlarından silmeleri, mutlaka bir antivirüs yazılımı kullanmaları ve bir uygulama yüklemeden önce uygulama hakkındaki kritikleri okumaları tavsiye ediliyor19.

18 http://blog.checkpoint.com/2017/05/25/judy-malware-possibly-largest-malware-campaign-found-google-play/19 https://www.grahamcluley.com/judy-malware-campaign-victimized-many-36-5-million-android-users/

12

Altyazıların İçinde Zararlı Yazılım Tehlikesi

Siber güvenlik firması Check Point uzmanları son dönemde enteresan bir siber saldırı türü açığa çıkardılar. Siber korsanlar internet üzerinden çevrimiçi izlenen videolardaki altyazı dosyalarını manipüle ederek kullanıcıların cihazlarını ele geçiriyorlar20.

Uzmanlara göre film ve TV programlarına ait altyazı dosyaları, siber korsanlara popüler medya oynatıcı program (VLC, Kodi, Popcorn Time ve Stremio) çalıştıran cihazlarda uzaktan komut çalıştırmayı ve bu sayede cihazın tam kontrolünü alacak şekilde istismar etmeyi sağlıyorlar.

Bugüne kadar bu yolla ele geçirilmiş yaklaşık 200 milyon kullanıcı cihazının olduğu tahmin ediliyor. Bunun son yıllarda en yaygın, kolayca erişilebilir ve direnç göstermeyen zafiyetlerden birisi olduğu ifade ediliyor.

Bu yöntemde siber saldırı, medya oynatıcıların siber korsanlar tarafından çevrimiçi altyazı havuzuna gizledikleri altyazıları yüklemesi ile beraber başlıyor. Medya oynatıcıları 25’in üzerinde çeşidi olduğu bilinen altyazı formatlarını yüklerken bunları tehlikesiz metin dosyaları olarak algılıyorlar. Bu da antivirüs yazılımlarının ve diğer güvenlik çözümlerinin bu tür zararlı dosyaları, gerçek amacını tespit etmeye çalışmadan kabul etmesi ve milyonlarca kullanıcıyı da risk altında bırakması manasına geliyor (Şekil-6).

Saldırganların bu yolla hassas bilgileri çalma, fidye yazılımı yükleme, Servis Dışı Bırakma Saldırıları vb. birçok potansiyel zarar verebileceklerine dikkat çekiliyor.

Şekil-6 Altyazı İçine Yerleştirilmiş Zararlı Yazılımın Etki Aşamaları

Check Point’in bahse konu zafiyeti medya oynatıcı program firmalarına bildirmesini müteakip, firmalar buna yönelik yamalarını yayımlamış durumda. Bu aşamada kullanıcıların kendilerini korumak ve olası saldırı riskini en aza indirmek maksadıyla medya oynatıcı programlarını en son sürümleri ile güncellemeleri gerekiyor.

Yeni IoT Botnet Tehdidi: Persirai

Trend Micro güvenlik firması tarafından 1000’den fazla IP Kamera modelini hedef alan ve Persirai (Persian Mirai) adı verilen yeni bir Nesnelerin İnternet’i (IoT) botneti keşfedildi21.

Şu ana kadar yaklaşık 120.000 IP kameranın etkilendiği ve bunların Çin, Japonya, Avrupa ve Kuzey ve Güney Amerika’da bulunduğu ifade ediliyor (Şekil-7). Bu kamera kullanıcılarının pek

Siber Saldırılar

20 http://www.newsweek.com/hackers-computer-virus-film-subtitles-check-point-vlc-61532321 http://blog.trendmicro.com/trendlabs-security-intelligence/persirai-new-internet-things-iot-botnet-targets-ip-cameras/

13

çoğunun durumdan habersiz olduğu ve bunun da zararlı yazılımın arkasındaki faillerin kameraların web arayüzüne TCP 81 kapısı üzerinden erişimlerini oldukça kolaylaştırdığı belirtiliyor.

Persirai’nin belli başlı özellikleri şu şekilde:

- Öncelikle saldırı, kameraların yönetim web arayüzünü hedef alıyor.

- Bu kameralar, cihazların yönlendirici üzerinde bir port açmasını ve güvenlik duvarı politikalarını atlama imkânı veren bir sunucu gibi davranmasını sağlayan UPnP (Universal Plug and Play) protokolü kullanıyor.

- Cihaza erişim sağlandığında, botnet tarafından kameranın http://ntp.gtpnet.ir adlı bir İran sitesine bağlantıya zorlayacak bir komut enjekte ediliyor.

- Siteye bağlandıktan sonra, zararlı yazılımı yüklemek için kötücül bir kod çalıştırılıyor.

- Yüklendikten sonra yazılım kendisini siliyor ve sadece bellekte çalışıyor. Kamera yeniden başlatılsa da zararlı yazılım duruyor, ancak yeniden saldırı için zafiyet devam ediyor.

- Kamera, zararlı yazılım bulaştıktan sonra, diğer cihazları arayan ve saldırgan tarafından diğer işlemler için kullanılacak şekilde botnet’in üyesi oluyor.

IoT cihazların kullanıcılar için cazibesi arttıkça, siber saldırganların Dağıtık Servis Dışı Bırakma saldırıları için Network Time Protocol (NTP) ve Domain Name System (DNS) sunucuları yerine, zafiyetleri bulunan IoT cihazları üzerine yoğunlaşabilecekleri değerlendiriliyor.

Şekil-7 Persirai Etki Haritası

Bu tür saldırıların en büyük sebeplerinden birisi cihazların arayüzleri için verilen ön tanımlı parolaların değiştirilmeden kullanılması. Bu yüzden bu tür cihazların ön tanımlı parolalarının mutlaka güçlü parolalarla değiştirilmesi gerekiyor; ancak IoT cihazların parolalarının ele geçirilmesine yönelik zafiyetleri nedeniyle, güçlü bir parola tek başına cihaz güvenliğini sağlayamıyor. IP kamera sahiplerinin cihazlarının hiçbir uyarı vermeden kapılarını dış dünyaya açmalarının önüne geçmek için aynı zamanda yönlendiricileri üzerinde bulunan UPnP protokolünü devreden çıkarmaları gerekiyor.

IoT cihazların güvenlik yükü sadece kullanıcıların omuzlarındaki bir yük olarak görülmemeli. Aynı zamanda üreticilerin de cihazlarının güvenli ve daima güncel tutmalarına yönelik sorumlulukları bulunuyor. Buna bağlı olarak da kullanıcıların cihazlarının gömülü yazılımlarını sürekli güncellemeleri önem arz ediyor.

Esrarengiz IoT Botnet’i: Hajime

Faaliyetlerine ilk defa 2016 Ekim ayında rastlanan, DVR, CCTV ve diğer koruması zayıf IoT cihazlarını etkileyen ve bugüne kadar yaklaşık 300.000 cihazı bünyesine katan “Hajime” zararlı yazılımı, yeni yayılma teknikleri geliştirerek evrim geçirmeye devam ediyor.

Ele geçirdiği cihazlarla dev bir uçtan uca botnet oluşturan Hajime, onları kullanarak gizli bir şekilde spam veya DDoS saldırıları gerçekleştiriyor.

Bu tür saldırıların en büyük sebeplerinden birisi cihazların arayüzleri için verilen ön tanımlı parolaların değiştirilmeden kullanılması.

14

Hajime, güvenli olmayan cihazların açık olan Telnet portları üzerinden gömülü kullanıcı adı ve parola ile kaba kuvvet (brute-force) atakları kullanan Mirai benzeri bir zararlı yazılım, ancak Hajime’yi diğer IoT zararlı yazılımlarından ayıran farklılıklar bulunuyor.

Hajime, cihazı etki altına aldıktan sonra dosya sistemi üzerinde çalışan işlemleri ve dosyaları gizliyor. Bir komuta kontrol sunucusuna bağlı olarak çalışmıyor, onun yerine bulaştığı cihazlara komut göndermek için kendisini daha dirençli kılacak şekilde noktadan noktaya (peer to peer) ağ bağlantısı kullanıyor.

Hajime’nin herhangi bir saldırı kodu veya kabiliyeti bulunmadığını, sadece yayılım modülünün olduğunu belirten uzmanlar, asıl amacının ise henüz bilinmediğini ifade ediyorlar.

Kaspersky Lab araştırmacılarına göre Hajime, aralarında General Electric, Hewlett-Packard, US Postal Service, ABD Savunma Bakanlığı ve bir dizi özel ağın da bulunduğu çeşitli ağlara bulaşmaktan kaçınıyor.

Araştırma döneminde zararlı yazılımın öncelikle Vietnam (%20’nin üzerinde), Tayvan (yaklaşık %13) ve Brezilya (yaklaşık %9) üzerinden yayıldığı kaydedilmiş22. Grafik-1’de ülkemizin %6,6 ile yayılım kaynağı olarak dördüncü sırada olduğunu görüyoruz.

Grafik-1 Hajime Zararlı Yazılımı Yayılım Kaynağı Olan Ülkeler

Yine araştırma süresi boyunca Kaspersky Lab, genel olarak Hajime yapılandırmasını paylaşan en az 297.499 tekil cihaz tespit etti.

Bu cihazların ülkelere göre dağılımı da şu şekilde23 (Grafik-2):

Grafik-2 Hajime Zararlı Yazılımından Etkilenen Cihazların Ülkelere Dağılımı

Sonuç olarak Hajime’nin en ilgi çekici yanı, amacı. Botnet, yeni istismar modülleri nedeniyle gittikçe büyürken amacı bilinmiyor. Henüz herhangi bir saldırı veya zararlı aktivitenin içinde kullanıldığı görülmedi. Bunun yerine bazı sistemlerin güvenliğini sağladığını belirten aşağıdaki Beyaz Şapka mesajı görüntüleniyor (Şekil-8).

Şekil-8 Hajime’den Etkilenen Sistemlerde Görüntülenen Mesaj

Mesaj içeriği doğru olsun ya da olmasın, internet bağlantılı cihaz sahiplerine kaba kuvvet yöntemleriyle kırılamayacak derecede zor şifreler oluşturmaları ve donanım yazılımlarını güncellemeleri tavsiye ediliyor.

Hajime’nin herhangi bir saldırı kodu veya kabiliyeti bulunmadığını, sadece yayılım modülünün olduğunu belirten uzmanlar, asıl amacının ise henüz bilinmediğini ifade ediyorlar.

22 https://securelist.com/78160/hajime-the-mysterious-evolving-botnet/23 https://securelist.com/78160/hajime-the-mysterious-evolving-botnet/

15

Rusya’nın Dezenformasyon Operasyonu: Tainted Leaks

Toronto Üniversitesi Citizen Laboratuvarı araştırmacılarına göre Rusya tarafından yürütülen bir dezenformasyon operasyonu 39 ülkeyi hedef almış durumda24. Bu ülkeler arasında, ülkemizin üçüncü sırada yer aldığını görüyoruz (Şekil-9).

Şekil-9 Tainted Leaks Etki Haritası

Araştırmacılar, Mayıs 2017 ayı sonunda yayımlanan ve “Tainted Leaks” adı verilen raporlarında, devlet destekli Rus siber korsanların 200’den fazla Gmail kullanıcısının nasıl hedef alındığı hakkında bir değerlendirme yapıyor ve ele geçirilen e-postaların içlerine yanıltıcı bilgiler ekledikten sonra gerçek e-postaların arasında internette yayımlanarak manipülasyon yapıldığı belirtiliyor.

Rus siber korsanların Google’ın servislerini istismar ettiği ve 39 ülkeden 218 hedefe yönelik oltalama saldırıları ile Gmail bilgilerinin ele geçirildiği ifade ediliyor. Oltalama e-postası, Google’dan gelen bir güvenlik uyarısı gibi gönderiliyor, e-posta parolasının başkası tarafından ele geçirildiği ve değiştirilmesi gerektiği hakkında uyarıda bulunuyor (Şekil-10). Belirtilen linkin kullanıcı tarafından ziyaret edilmesi ile birlikte de korsanlar tarafından hesaplara erişim hakkı kazanılıyor.

Şekil-10 Tainted Leaks’e Ait Oltalama Saldırısı Ekranı

Bu operasyonda dikkat çeken bir husus, kullanılan usul ve tekniğin Hillary Clinton’un başkanlık kampanyasını yöneten John Podesta’yı ve son olarak Fransa Cumhurbaşkanı Emmanuel Macron’u hedef alan saldırı girişimleri ile benzerlik göstermesi.

Sonuç olarak, Tainted Leaks’ın büyüyen bir dezenformasyon taktiği haline geldiğini belirten uzmanlar, günümüz dijital ortamında daha da yaygın hale geleceğini değerlendiriyorlar.

Tainted Leaks’ın büyüyen ve belalı bir dezenformasyon taktiği haline geldiği belirtiliyor.

Siber Casusluk/İstihbarat

24 http://thehackernews.com/2017/05/hackers-taintedleaks. html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers +News+- Security+Blog%29&_m=3n.009a.1503.gh0ao08pqk.wb0

16

Siber Risk Sigortaları

Sigortacılık; tarihi 4000 yıla dayanan, insanlığın yaşadığı her dönemde ticaretin gelişmesi ve risk yönetiminin yapılabilmesi için gerekli görülen en önemli konulardan biridir.

Teknolojinin ticaret hayatında her geçen gün daha etkin olması, hayatımızı kolaylaştırmakla birlikte belirli farklı riskleri de şirketlerin karşısına çıkarmıştır. Günümüz dünyasında ülkeler, sıcak savaş yöntemleri yerine, teknolojiyi kullanarak soğuk savaş yöntemlerini kurgulamaya başlamıştır.

Bugün dünyanın birçok ülkesinde, sektör ayrımı gözetmeksizin kamu ve devlet kurumlarına çok büyük siber saldırılar düzenlemektedir. 2017 Dünya Ekonomik Forumu Küresel Risk Raporu’na göre; siber saldırılar gerçekleşme olasılıkları yüksek, etkileri büyük afetlere en yakın risk faktörleridir. Grafik-3’te felâketlerin Olasılık-Etki eğrisini görmekteyiz25.

Bu tehlikelerin farkında olan kamu kurumları ve özel şirketler; bu tehditleri engellemek adına çok ciddi altyapı yatırımları yapmaktadır, fakat bilişim sistemlerin uçsuz bucaksız bir okyanus olduğu düşüldüğünde, alınan hiçbir önlemin %100 güvenlik sağlayamadığı söylenilebilir. Bugün ABD ve İngiltere dâhil olmak üzere en yüksek güvenlik önlem ve standartlarına sahip finansal kurumlara dahi siber saldırılar gerçekleşmekte ve bu saldırılar sonucunda çok ciddi maddi zararlar ortaya çıkmaktadır. Bu anlamda gerek maddi hedeflerle gerek politik hedeflerle olsun, “Siber Saldırılar” dünyanın tüm ülkelerinde; hem kamu hem de özel şirketler için çok ciddi tehditler oluşturmaktadır. Bu saldırılar yoluyla, birçok şirketin elinde tuttuğu gizli bilgiler çalınmakta, daha sonra elde edilen bu veriler birçok illegal yöntemle kullanılmaktadır. Hatta birçok şirkete, ele geçirilen verilerle ilgili olarak bilgisayar korsanları tarafından şantaj yapıldığı dahi görülmektedir.

Siber saldırılar konusunda dünyanın en büyük danışmanlık şirketlerinden biri olan Mandiant’ın Siber Risk Raporu’na göre, 2016 yılı Ocak-Eylül arası yapılan Malware (Kötü Amaçlı Yazılımlar) saldırılarında en büyük hedef finansal servisler sektöründen sonra gelen kamu sektörü ve şirketleridir. Bu tehlikenin farkında olarak ABD ve İngiltere başta olmak üzere, birçok devlet; bu risklere önlemlerin alınmasını adeta bir devlet politikası haline getirmişlerdir.

Dönem İnceleme Konusu

Değişen yaşam ve ticaret koşulları ve teknolojinin gelişimi sigortayı vazgeçilmez bir unsur haline getirmiştir.

25 Kaynak: WEF,TheGlobal RisksReport 2017

Grafik-3 Felaket Olasılık-Etki Grafiği

17

Savunma sanayisinde faaliyet gösteren kurum ve kuruluşlar, siber tehditler için ciddi bir hedef olma özelliği taşımaktadır.

Savunma sanayi açısından bakıldığında, burada faaliyet gösteren kurum ve kuruluşlar, çok hassas bilgileri tutmakta; ülkemizin güvenliği ile ilgili hassas projeler yapmaktadır. Bu sebeple de siber tehditler için ciddi bir hedef olma özelliği taşımaktadır. Bu sebeplerle, savunma sanayinde faaliyet gösteren bir şirketinde, yaşanabilecek her türlü riske karşı kendini güvence altına alması büyük önem taşımaktadır.

Böyle bir saldırı durumu yaşandığında ise şirketler büyük maddi kayıplar, veri kayıpları, operasyonlarının durması; hatta itibar kaybı gibi çok büyük sorunlarla karşı karşıya gelmektedir. Konuya sigorta teminatı anlamında bakıldığında ise geleneksel sigorta poliçelerinin her gün değişen ve gelişen siber riskler için yeterli teminatları sağlayamadığı ve bu sebeple firmaların bu tarz riskleri yaşaması durumunda birçok maliyete katlanmak zorunda olduğu tespit edilmiştir. Bu sebeple ABD ve İngiltere’de uzun yıllardır bu risklerin sigortacılık teminatları ile güvence altına alınması adına çalışmalar yapılmış ve bu risklere teminat sağlayabilecek bir poliçe yapısı oluşturulmuştur.

Siber risk poliçesi teminatları aşağıdaki teminatları içerebilmektedir:

a) Veri Gizliliği Yükümlülüğü: Bir siber tehdit olayı sonucu yaşanabilecek herhangi bir veri sızıntısı sonucunda, üçüncü şahıslardan gelebilecek maddi tazminat talepleri teminat altına alınır. Ayrıca buna bağlı olarak böyle bir durumda olası hukuki masraflar da poliçe kapsamındadır.

b) Ağ Güvenliği Yükümlülüğü: Bilgisayar korsanları, şirketlerin ağlarına sızarak bu ağ üzerinden kamuya ya da özel şirketlere çeşitli zararlı yazılımlar göndermektedir. Bunun sonucunda da ciddi maddi kayıplar yaşanmaktadır. Bu durumda, ağı üzerinden zararlı yazılımların gönderildiği şirket, konudan zarar gören şirketler tarafından tazminat talebine uğramaktadır. Yine bu tazminat talepleri hukuki masraflarla birlikte teminat altındadır.

c) Siber Şantaj Teminatı: Bilgisayar korsanları, önemli mevkilerdeki kişilerin bilgisayarlarına sızarak tüm kontrolü ele geçirmek suretiyle, sistemlerin eski haline döndürülmesi için şantaj yoluyla para talep etmektedir. Bu konu çok yakın bir zamanda İngiltere’de sağlık sisteminde yaşanmıştır. Böyle bir durumda sigorta şirketi, şantajcıya gerekli masrafları öder, olayın daha büyümemesi için harcanacak tüm danışmanlık giderlerini de teminat altına alır.

ç) Veri Kaybı: Bu tarz bir siber saldırı gerçekleştiğinde, genellikle veriler kullanılamaz hale gelmektedir. Siber Risk poliçesi bu verilerin yeniden toparlanması için gerekli masrafları karşılamaktadır.

d) İş Durması: Olası bir siber saldırı sonucu, firma finansal anlamda zarara uğrarsa, sigorta şirketi firmanın iş kaybından dolayı yaşadığı maddi zararı da teminat altına alır.

Görüleceği üzere, siber saldırılar, yoğun bir rekabet ortamında hizmet sunan ve ürün yelpazelerini genişletmek isteyen sigorta şirketleri için önemli bir fırsatı da beraberinde getirmiş durumda.

Siber risklere yönelik sigorta pazarının, niş bir market olarak ABD ve Avrupa’da geçtiğimiz yıllarda %20-30 seviyesinde büyüdüğü belirtilmektedir26. Küresel siber risk sigortası pazarının da 2020 yılında 10 milyar dolarlık hacme ulaşacağı tahmin edilmektedir. Ülkemizin de sigortacılık piyasasının çok ciddi yol kat etmiş olması sebebiyle artık siber risk sigortaları da yeni bir pazar olarak sunulabilmekte ve yukarıda bahsedilen risklerin teminat altına alınması sağlanabilmektedir.

26 http://www.ekonomist.com.tr/teknoloji/siber-saldirilara-karsi-sigorta-teminati-geldi.html

18