Yeni kapı kolu: klavye ve sızan milyarlar
Veri ihlallerinin büyüklüğü milyar dolarla, etkisi ise itibarla ölçülüyor. Yahoo’dan notpetya felaketine uzanan örnekler teknoloji şirketlerinin bile tam hazır olmadığını gösteriyor. İstanbul’da perakende günleri’nde buluştuğumuz etik hacker “freaky clown” (fc) ve siber psikoloji uzmanı dr. jessıca barker, kurumların hala basit yamaları atladığını söylüyor. yani kapı hala açık duruyor…
Yahoo'nun yaşadığı saldırı en güzel örneklerden biri. İşi teknoloji olan şirket, bir veri ihlali yaşandığını, 3 milyar Yahoo hesabının tamamının etkilendiğini ve kullanıcılarının kimlik verilerinin çalındığını açıkladığında ortaya inanılmaz bir gerçek çıktı: sızma 2013'te gerçekleşirken şirket bunun farkına varıp ancak 2016'da açıklama yaptı. O sıralarda Verizon'un satın alma teklifi verdiği Yahoo bunun üzerine 4.8 milyar dolar olan ilk tekliften 350 milyon dolar fiyat düşürmek zorunda kaldı. Son teklif olan 4.48 milyar dolara şirket el değiştirdi. Ancak durum sadece değer kaybıyla da kalmadı. Davalar ve regülasyon cezalarıyla saldırının maliyeti 1.17 milyar dolara ulaştı.
Olaya direkt ekonomi perspektifinden bakıldığında ise 2017'de yaşanan saldırı dalgaları ve ortaya çıkan sonuçlar tam bir ders niteliğinde. Rus kökenli hackerların Ukrayna şirketlerine yapılan saldırılarıyla ortaya çıkan ve dünya çapında yayılan, MeDoc güncellemesi kılığındaki NotPetya virüsü (Haziran'da gerçekleşti), WannaCry (Mayıs'ta gerçekleşti) ile birleşik etki yaratıp operasyonları haftalarca durdurdu; en büyük şirketlerin yüzde 10'una etki eden saldırıyla küresel zararın 15 milyar dolara ulaştığı hesaplanıyor.
Bu da gösteriyor ki teknolojinin giderek yayıldığı dönemde artık klavyeler kapı kolu işlevi görüyor. Kilitleyecek nitelik yoksa bu kapılar tehditlere karşı sonuna dek açılıyor. Şirketlerin bu noktada başvurduğu ve kendilerine düzenlenecek saldırılarla açık noktaları belirlemeye çalıştığı stratejide en bilinen isimlerden biri FC, namı diğer Freaky Clown ile İstanbul'da Perakende Günleri kapsamında özel bir görüşme gerçekleştirerek siber güvenliğin bu etik savaşçılarını anlamaya çalıştık. 32 yıllık deneyimiyle bankalardan nükleer tesislere kadar 30'dan fazla ülkede sistemleri test eden FC, şifresiz ağlardan bugünkü yapay zeka (YZ) destekli savunma–saldırı yarışına uzanan kariyerinde şirketlerin hala atladığı 'basit yamalar' meselesini ve Türkiye'nin güçlü dijital altyapısına rağmen açık kalan zayıf halkalarını da anlattı. "Bilgisayarlara aşıktım; ama ortada 'siber güvenlik sektörü' diye bir şey yoktu" diyor FC. Bir merak ile başladığı uğraşısı ise günümüzün en önemli küresel mesleklerinden biri haline geldi. 2017'de eşi Dr. Jessica Barker ile kurduğu Cygenta ile FC'ye birçok sektörde "kendisine saldırılma" görevi veriliyor. "Beyaz şapkalı hacker olmak ne demek? Hiç mi karanlık tarafa geçmedin?" sorusuna ise, "Hiçbir zaman gri ya da siyah tarafa geçmedim; bunu güvenlik soruşturmalarını her defasında geçebilmem kanıtlıyor" diyerek yanıtlıyor. Yazının başında değindiğimiz her şirket kendini en iyi güvenliğe sahip olarak tanıtır derken FC'nin deneyimi buradaki yanılsamayı da gösteriyor: "Bugüne kadar test ettiğim her kurumda açık buldum."
Siber güvenliğin her kanadını tutan güçlü ekipler ve bağımsız hackerların olduğu bir gerçek. Ama beyaz şapkayı takarak hareket etmek isteyen gençlere ise şunu söylüyor: "Bug bounty platformları, Capture-the-Flag yarışmaları ve üniversite dersleri, Türkiye'de yeni nesil beyaz şapkalılar için sınırsız imkan ve pratik ortamı sağlıyor. Benim çocukluğumun tersine, bugün etik olmamayı seçmek için bahaneniz yok."
KEDİ FAREYLE EŞİTLENDİ
Jessica Barker, "Siber suçlular bizden daha iyi psikolog" diye önemli bir noktaya dikkat çekiyor. Oltalama saldırılarında 50-60 yaş grubunun romantik dolandırıcılıklara, 16-32 yaşın ise kripto ve sahte ürün vakalarına karşı açık olduğunu ve bunun YZ ile birlikte gelen daha iyi yabancı dil kullanımı sonucu ortaya çıktığına dikkat çekiyor. FC ise YZ'nin bir diğer etkisinin eşitleme olduğunu belirtiyor ve devam ediyor: "Eskiden virüs çıkar, yıllar sonra antivirüs gelirdi; şimdi saldırgan da savunmacı da aynı anda aynı modeli görüyor. YZ destekli otomasyon, savunma–saldırı dengesini eşitledi." Teknolojik gelişmeler sonucuyla gerçeklik algısının ise zamanla daha da zorlaşacağını belirten FC, "Yüz yüze temasın değeri artacak" diyor.
30 ÜLKE TEK SONUÇ
Eşi Dr. Jessica Barker ile birlikte iş ilişkilerini güçlendirmek ve yeni alanlarda çalışmak üzere bugüne dek 30'dan fazla ülkeyi gezen FC'ye göre en şaşırtıcı şeyi, "Sorunlar o kadar çok birbirine benziyor ki: eski teknoloji ve insan manipülasyonu her yerde aynı" sözleriyle açıklıyor.
Veri KASASININ Anahtarı Sizde
Veri çağının en kritik konularından biri "Kişisel bilgilerimi kim görüyor?" kaygısı. KarteX bu kaygının önüne geçecek, ileride tek bir kartla pek çok veriyi taşıyabilecek bir sistemin adımlarını atıyor. Uçtan uca şifreleme ile veriyi yerelde tutan ve anahtarı size veren şirketin kurucu ortakları Tuncay Pamuklu ve Oktay Bolat'ın hedefi kartvizitten kurum kimliğine, sadakat sistemlerinden dijital bilete her şeyi tek bir profil ile yönetmek. İlk ürünleri olan kartviziti ise deneme adına en uygun yer olan fuarlarda test eden şirketin gözlemleri ise fiziksel temasın çok olduğu bu organizasyonlarda tanışma ve veri paylaşımını hızlı ve kolay yapmanın kullanıcıları üstünde oluşturduğu rahatlama etkisi. Bütün bağlantılar tek bir noktadan görülebilirken oluşturulan her kart bağlantısı ile istenilen bilgi verilebilir, değiştirilebilir ya da güncellenebilir. Veri kasasının özelliği ise personel değişimin çok olduğu sektörlerde atanan kart sistemleri ile ilgili kişi değişse de müşteriyle her zaman güncel kişinin iletişimde kalmasını sağlıyor.
Dijital kartvizit gibi "mütevazı" bir kapıdan girip verinin egemenliğini bireye devretme hedefi bakalım nasıl bir gelecek oluşturacak?
