SİBER SUÇLULAR YASAL OLMAYAN YOLLARDAN YÜKLÜ MİKTARDA PARA KAZANABİLMEK İÇİN HEM KAMU HEM DE ÖZEL SEKTÖRDEKİ ŞİRKETLERİ KÖŞEYE SIKIŞTIRARAK, FİDYE ÖDEMEYE ZORLUYOR. GİDEREK ARTAN DİJİTAL ŞANTAJLA İLGİLİ OLARAK YAPILMASI GEREKENLER, YASAL DÜZENLEMELER DE DÂHİL OLMAK ÜZERE, SİBER GÜVENLİK KURULUŞU ESET TARAFINDAN İNCELENDİ.

Dört yıl önce, 2017 yılında yaşanan “WannaCry” saldırısı hâlâ şirket yöneticileri ve bilgi teknolojileri profesyonellerinin aklında yer etmeye devam ediyor. Saldırıda İngiltere Ulusal Sağlık Hizmeti, altyapı açısından önemli bir darbe almış ve altyapıyı yeniden oluşturmanın maliyeti 120 milyon dolar olarak açıklanmıştı. 2018 yılında ise ABD Atalanta’da “SamSam” fidye yazılımı, akıllı şehir sunucu altyapısına saldırmış ve siber suçlular 51.000 dolar talep etmişti. Saldırıdan sonra sistemlerin yeniden oluşturulması birkaç yıl sürmüş ve bunun maliyeti ise 11 milyon ila 17 milyon dolar civarında olmuştu. Yakın zamanda ise Colonial Pipeline şirketi siber suçluların hedefi oldu. Saldırıya maruz kalan şirketlerin fidye ödemelerinin çeşitli nedenleri söz konusu. ESET uzmanları, siber suçluların talep ettikleri fidyeyi ödeyen şirketlerin, fidye ödememe maliyetinin daha fazla olabileceğini düşündükleri için bu yola başvurduklarını belirtiyor. Peki, bu doğru mu?

FİDYE ÖDEYENLER TEKRAR SALDIRIYA MARUZ KALIYOR

Fidye ödemesi yapmanın yasal bir altyapısı olup olmadığı bir tartışma konusu. Ayrıca, Cybereason tarafından yapılan bir araştırmaya göre, fidyeyi ödeyen şirketlerin neredeyse yarısı deşifre anahtarını aldıktan sonra bile kritik verilerinin hepsine yeniden erişim sağlayamıyor. Saldırının tekrarlanmayacağına ya da verilen fidyenin işe yarayacağına dair hiç bir garanti de yok; çünkü araştırmaya göre fidyeyi ödeyen şirketlerin yüzde 80’i daha sonrasında başka bir saldırıya daha uğruyor. Şirketlerin yüzde 46’sı ise bu saldırının aynı kişi tarafından düzenlendiğine inanıyor. Veriler fidyeyi ödemenin başka saldırılara neden olduğunu gösterdiğinden, uzmanlar, ilk ödemeyi yasaklamanın siber suçluların para kazanma fırsatlarını önemli ölçüde sekteye uğratacağını belirtiyor.

YASAL DÜZENLEME GEREKLİ

Etik kurallara uygun şekilde davranarak fidye talepleri karşısında ödeme yapmamak ve siber suçluları desteklememek, aynı zamanda suç etkinliğine fon sağlamamak anlamına da geliyor. Bu nedenle doğru olan, siber suçlulara fon sağlamanın yasa dışı sayılması ve bu ödemeleri önlemek üzere yasal düzenlemelerin yapılması. Bu ödemeleri yasaklayan düzenlemeleri ilk uygulayan ülkeler avantajlı olacakken, bir ülke/bölgede şirketlerin ya da kuruluşların fidye yazılımı dolayısıyla ödeme yapmasını yasaklayan düzenlemeler yapılması durumunda siber suçlular işlerini buna göre uyarlayacak ve kampanyalarını bu düzenlemelerin olmadığı ülkelerde yoğunlaştıracaktır.