Bizimle iletişime geç

Makale

Siber Vaka Yönetimi: İş sürekliliği için kontrol listesi

Hiçbir şirket siber saldırılara maruz kalmak istemez; ancak günümüzde bu tarz vakaların giderek artması, proaktif hazırlığı daha kritik hale getiriyor.

Hiçbir şirket siber saldırılara maruz kalmak istemez; ancak günümüzde bu tarz vakaların giderek artması, proaktif hazırlığı daha kritik hale getiriyor. Ayrıca bu tür vakalarda şirketlerin üst yönetiminin tavrı da önemli bir rol oynuyor. Şirketler siber vakalara hazırlıklı olmayı, daha güçlü bir savunma oluşturmak ve siber dirençli bir kültürü teşvik etmek için bir fırsat olarak değerlendirebilirler. Hazırlıklı olma odaklı bir yaklaşımı benimseyen şirketler, siber olayların operasyonel süreçler, finansal sonuçlar ve marka itibarı üzerindeki etkilerini en aza indirmek amacıyla potansiyel bir krizi daha kolay yönetilebilir bir duruma dönüştürebilirler.

Planlama ve eğitime öncelik veren şirketler yalnızca daha güçlü ve kendilerinden emin olmakla kalmaz, aynı zamanda vaka sonrası toparlanma süresini kısaltabilir ve potansiyel olarak sigorta hasarlarına yardımcı olabileceği için bir siber olayın toplam maliyetini de azaltabilir. Fidye yazılımı saldırılarından kazaen veri sızıntılarına, üçüncü taraf kesintilerinden yapay zeka destekli tehditlere kadar günümüzün dijital risk ortamı, klasik teknik müdahalelerden daha fazlasını, yani şirket çapında stratejik bir hazırlığı gerektiriyor. Dayanıklılık ve müdahale, hazırlığın yanı sıra koordinasyon ve uygulamaya da bağlıdır. Baskı altındayken, iyi prova edilmiş bir müdahale planı büyük fark yaratabilir.

“Siber vakaları iyi yöneten şirketler ile yönetemeyenlerin arasındaki en büyük fark; iyi yönetenlerin hazırladıkları planı harfiyen takip etmeleridir.” Martin Leicht, ABD Siber Hasar Destek ve Siber Vaka Yönetimi Lideri, Marsh

“Pek çok kişi siber olayların hala hackerler tarafından gerçekleştirildiğini düşünüyor, ancak bu saldırılar şirket içerisinden de kolaylıkla gerçekleşebilir. Bir başka yanlış kanı da siber olayların bilişim teknolojileri kaynaklı sorunlar olduğudur, örneğin bir üretim tesisindeki herhangi bir güvenlik açığı da fiziksel bir hasara neden olabilir.” Edson Villar, LAC Siber Risk Danışmanlığı Lideri, Marsh

1. Siber güvenlik olaylarını anlamak

Günümüzde siber saldırganlar çoğunlukla profesyonel ve gelişmiş şirketlerde çalışıyorlar. Hedeflerine ulaşmak için kaba kuvvet kullanmak yerine, giderek artan bir şekilde kimlik bilgilerini çalmak için sosyal mühendislik, içeriden erişim veya başka yollar kullanıyorlar. Saldırganlar şirketlerin içine sızmazlar; kullanıcı bilgileriyle içeriye giriş yaparlar. Girdikten sonra harekete geçmek için aylarca bekleyebilirler.

Ancak siber saldırıların tamamı kötü niyetli kişilerden kaynaklanmaz ve sebep olan faktörler net değildir. Birçok olay, temel insan/çalışan hatası veya eski sistemler ve/veya yetkilerin devre dışı bırakılmaması gibi hatalı süreçlerden kaynaklanabilir.

Bir müdahale planı oluştururken göz önünde bulundurulması gereken bazı olay türleri şunlardır:

Fidye yazılımı: Siber saldırganlar, içine girdikleri bir sistemdeki verileri şifreleyip geri vermek için fidye talep eder. Bazı durumlarda, verileri sızdırıp kamuya açıklamakla da tehdit edebilirler. Böyle bir olayın yönetimi, haftalarca operasyonları aksatabilir ve iş durması nedeniyle önemli maliyetlere yol açabilir.
İş e-postası dolandırıcılığı: Bu yöntem, meşru bir kaynaktan geliyormuş gibi görünen, çalışanların veya satıcıların hassas bilgileri paylaşmasını veya para transfer etmesini sağlamayı amaçlayan e-posta tabanlı bir sosyal mühendislik saldırısıdır. Güçlü doğrulama prosedürleri ve doğru yapılandırılmış çalışan eğitimi, bu riski azaltmaya yardımcı olabilir.
Kesintiler: Kötü niyetli saldırıların yanı sıra, üçüncü taraf platform arızaları veya kazara yapılan yanlış sistem yapılandırmaları da beklenmedik kesintilere neden olabilir.
Veri ihlalleri: Kişisel olarak tanımlanabilir bilgiler (PII), finansal veriler, fikri mülkiyet veya diğer hassas bilgiler, kazara veya bir saldırganın sızması sonucu ele geçirilebilir ve bunun sonucunda da veri ihlalleri/sızıntıları oluşabilir.
Yapay zeka tehditleri: Üretken yapay zeka, yeni bir saldırı türü oluşturmak için kullanılmamış olsa da, deepfake (birinin yapay zeka kullanılarak yapılan sahte videosu) tabanlı oltalama ve otomatik kimlik bilgisi doldurma gibi tekniklerle saldırganların çabalarını genişletmelerine veya hızlandırmalarına yardımcı olarak mevcut tehditleri hızlandırabilir.

“Bugün karşılaştığımız olayların çoğu içeri sızıntıyla değil, çalıntı kimlik bilgileriyle meşru bir kullanıcı gibi sistem içerisine giriş yaparak hareket edilmesiyle gerçekleşir.” Jeff Bird, Siber Güvenlik Danışmanlığı Lideri, Marsh

“Hızlı hareket edebilmek için öncelikle saldırganların taktiklerini anlamanız gerekir. Onların nasıl çalıştığını bilmeden hareket ederseniz, durumu daha da kötüleştirme riskiyle karşı karşıya kalabilirsiniz.” Edson Villar, LAC Siber Risk Danışmanlığı Lideri, Marsh

2. Siber olay hazırlığı

En etkili müdahaleler genellikle bir olay gerçekleşmeden çok önce başlar. Hazırlık, sadece Bilgi Teknolojileri (IT) kontrollerinden ibaret değildir; tüm şirket genelinde bir hazırlık durumunu ifade eder. Bir plana sahip olmak çok önemli olmakla beraber planın etkili olabilmesi için iyi anlaşılması, düzenli olarak uygulanması, ayrıca iç ve dış koşullar değiştikçe güncellenmesi gerekir.

Şirketin departmanları arasında koordinasyon sağlayamaması yaygın görülen bir planlama zayıflığıdır. Baş Bilgi Güvenliği Yöneticisi (CISO), şirketin temel süreçlerini anladığını ve bir kesinti durumunda bunların öncelikli olarak geri getirilmesini gerektiğini düşünerek planlama yapabilir, ancak operasyon ekibinin beklentisi öncelikle başka süreçlerin geri getirilmesi üzerine olabilir. Örneğin, BT departmanı e-posta sistemini tekrar çevrimiçi hale getirmeyi önceliklendirebilirken, finans/İK departmanı maaş ödemelerini gerçekleştirebilmek için kurumsal kaynak planlama (ERP) sisteminin önceliklendirilmesini bekliyor olabilir. Ayrıca, birçok durumda sistemin geri getirilmesinden CISO değil, Baş Güvenlik Yöneticisi’nin (CIO) sorumlu olduğunu belirtmek önemlidir. Sorumlulukları farklı olsa da, önceliklerinin uyumlu olması gerekir. Amaç etkili bir müdahale sağlamaktır. İç ekipler ile dış paydaşlar arasındaki uyum, sigorta hasarları söz konusu olduğunda daha kritik olabilir.

Bu uyumsuzluklar, planlama aşamasında tespit edilip çözülmezse maliyetli gecikmelere yol açabilir.

Hazırlık Kontrol Listesi

Yazılı bir olay müdahale planı (IRP) oluşturun ve bunu koruyun; ideal olarak bu planı üç ayda bir gözden geçirin.
Teknik, hukuk, halkla ilişkiler ve operasyonlar gibi kilit alanlarda roller ve sorumlulukları tanımlayın. Üst yönetimin (C-suite) sorumluluklarının farkında olduğundan emin olun.
Birçok saldırı, e-posta ve şirket telefonları gibi iletişim sistemlerini felç edecektir. Marsh Central gibi ağ dışı iletişim kurmanızı sağlayan güvenli bir bant dışı (OoB) iletişim platformunu belirleyin ve test edin.
Yedekleme stratejisini operasyonel önceliklerle koordine edin ve yedekleme geri yükleme prosedürlerini düzenli olarak test edin.
Hukuk, adli bilişim inceleme, halkla ilişkiler ve kriz iletişimi için tercih edilen tedarikçilerinizle tüm paydaşlarınızın da uyumlu hale gelmesini sağlayın. Sigorta hasarlarınızı daha sorunsuz bir şekilde işleyebilmesi için sigortacınızın, ilgili tedarikçi firmalarını önceden onayladığından emin olun. Olay gerçekleşmeden önce bu tedarikçilerle ilişki kurarak, müdahale planınızı anlamalarını sağlayın.
Teknik, idari ve yönetim kurulu düzeylerinde düzenli masaüstü kriz tatbikatları yapın. Bu tatbikatların eskiden yılda bir kez yapılması önerilirken artık daha sık yapılması öneriliyor.
Siber sigorta kapsamını, bildirim gereksinimlerini ve tedarikçi ön onaylarını doğrulayın.

Siber güvenlik farkındalık eğitimi ile sürekli zafiyet yönetiminin birleştirilmesi, siber dayanıklılık oluşturmak için çok önemli olabilir. Proaktif eğitimi önceliklendiren ve titiz zafiyet değerlendirmeleri ile yama uygulama prosedürlerini hayata geçiren şirketlerin, gelişen siber riskleri azaltmada daha donanımlı olduğu görülmüştür.

Çalışan Eğitim Kontrol Listesi

Sosyal mühendislik saldırılarıyla ilişkili risklere odaklanan bir çalışan eğitim kampanyasının uygulanmasını değerlendirin.
Farkındalık eğitimi ve iletişim içeriklerini en az yılda bir güncelleyin.
Yardım masası prosedürlerinin yakın zamanda gözden geçirilip, gerekirse güçlendirildiğinden emin olmak için siber güvenlikten sorumlu birimlerinizden teyit alın zira bunlar genellikle kolay saldırı hedeflerindendir.
Ayrıca olay dışı faaliyetler için güvenli bir bant dışı (OoB) iletişim platformu oluşturun.
Brokerınızla koordinasyon sağlayın ve ilgili ekiplerinizi bu platformun kullanımı konusunda eğitin. Eğitim, masaüstü tatbikatı sırasında da yapılabilir.

“Güvenlik araçlarına ve planlarına yatırım yapmak kolaydır, ancak saldırı sırasında birçok kişi bunları kullanmaz. Müşterilerin uygulamaya koydukları güvenlik araçlarını bile kullanmadıklarını gözlemliyoruz.” Martin Leicht, ABD Siber Hasar Destek ve Siber Vaka Yönetimi Lideri, Marsh

“Masaüstü tatbikatları üç düzeyde gerçekleştirilmelidir: teknik, operasyonel ve yönetimsel. Her grubun karşılaştığı zorluklar farklı olabilir ve buna göre pratik yapması gerekir.” Jeff Bird, Siber Güvenlik Savunma Lideri, Marsh

3. Olay Müdahalesi

Bir siber olay meydana geldiğinde, ilk tepki çoğu zaman kafa karışıklığıdır. Tam olarak ne olduğunu, nasıl olduğunu ve bunu kontrol altına almak için atılması gereken acil adımların ne olması gerektiğini anlamak zor olabilir. İyi bir plana sahip olmak, önemli soruların ele alındığından ve doğru adımların atıldığından emin olmanın en iyi yollarından biridir. Hızlı bir şekilde müdahale sürecine başlamak veya hukuki, teknik ve itibari stratejileri koordine edememek, olumsuz etkiyi artırabilir.

Yaygın görülen diğer bir hata ise, ekiplerin saldırganın sistemde ne kadar süre bulunduğunu bilmeden yedekten geri yükleme yapmasıdır. Bu durum yedeklenen bilgileri de tehlikeye atabilir.

Aktif Müdahale Kontrol Listesi

Olay müdahale planınızı devreye alın ve sigortacıları derhal bilgilendirin.
Güvenli iletişimi sağlamak için OoB (Out-of-Band) platformunuzu kullanın.
Tehdidi kontrol altına alın: etkilenen sistemleri izole edin ve yayılma alanını sınırlayın.
Hukuki danışmanlık, dijital adli tıp ve ihlal müdahale uzmanlarını erken aşamada sürece dahil edin.
Eğer talep ediliyorsa, fidye yazılımı durumunu (pazarlık veya ödeme yapmak gerekiyorsa sigortacı desteği ve onayı ile) değerlendirin.
Şirket içi ve dışı iletişimi uyumlu hale getirin.

“Yaygın hatalardan biri, doğrudan iyileşme sürecine başlamaktır. Tam bir analiz ve kök temizliği yapmadan iyileşme sürecine geçerek saldırganlara üstünlük verirsiniz.”

Edson Villar, LAC Siber Risk Danışmanlığı Lideri, Marsh

4. Olay Sonrası

Asıl iş, tehdit ortadan kalkınca başlar. Müdahale, işin teknik boyutunun yanı sıra finansal ve operasyonel zorlukları da beraberinde getirir. Yedekler şifrelenmiş ya da eksik olduğu için fatura kayıtlarını sıfırdan yeniden oluşturmak zorunda kalmak ya da sanal altyapı konfigürasyonları yedeklenmediği için uzun süreli kesintilerle karşılaşmak sıra dışı bir durum değildir. Bu aşamada, mevzuata uygunluk ve sigorta hasarlarını desteklemek için belgelendirme hayati önem taşır.

Kurtarma için kontrol listesi

Sistemleri güvenli bir şekilde geri yükleyin; yedeklemelerin temiz ve gömülü tehditlerden arındığından emin olun.
İş kesintisini ölçmek ve sigorta hasar süreçlerini desteklemek için adli muhasebeden (forensic) yararlanın.
Yasal ve soruşturma amacıyla tüm kanıt ve belgeleri saklayın.
Tüm paydaşlarınızla yapılandırılmış bir şekilde vakadan ders çıkarma atölye çalışmaları düzenleyin.
Olay müdahale planını, eğitim prosedürlerini ve tedarikçi yükseltme protokollerini güncelleyin.
Olaydan etkilenen müşteriler, iş ortakları ve yasal düzenleyicilerle şeffaf bir şekilde iletişim kurun.
Gelecekte hazırlıklı olmak için siber sigorta, sözleşmesel yükümlülükler ve yasal çerçeveleri gözden geçirin.

“Kurtarma süreci genellikle ihlal sürecinden daha uzun sürer. Kaçırılan faturalandırmalar, kaybedilen gelirler ve geciken operasyonlar en ağır darbeyi vuran gizli maliyetlerdir.” Jeff Bird, Siber Güvenlik Danışmanlığı Lideri, Marsh

“Eğer saldırganlar aylardır ağınızın içerisindeyse, yedeklerinize de girmiş olabilirler. Kontrol etmeden geri yükleme yapmak ihlali tekrar başlatabilir.” Edson Villar, LAC Siber Risk Danışmanlığı Lideri, Marsh

5. Özet Kontrol Listesi

En dayanıklı şirketler, siber hazırlığı tek seferlik bir proje olarak değil, sürekli bir disiplin olarak ele alanlardır. Olay müdahale planının; güvenlik duvarları ve yedeklemeler kadar, insan ve süreçlerle de ilgili olduğunu bilirler.

Aşağıdaki kontrol listesini aklınızda tutun:

Müdahale planınızı oluşturun ve düzenli olarak test edin.
Gerçek araçlar ve gerçek kişilerle tatbikat yapın.
Özellikle sistemlerin devre dışı kaldığı durumlar için iletişim stratejinizi iyi belirleyin.
İç ekipleri ve dış tedarikçileri önceden uyumlu hale getirin.
Marsh Central gibi güvenli OoB (Out-of-Band) platformları kullanın.
Sigorta şirketini süreç boyunca bilgilendirin.
Her olaydan, hatta kıl payı atlatılanlardan bile ders çıkarın.

“İşini iyi yapan şirketler araçların ötesini düşünürler. İlk uyarıdan çok önce iç ve dış ekiplerini uyumlu hale getirmişlerdir” Martin Leicht, ABD Siber Hasar Destek ve Siber Vaka Yönetimi Lideri, Marsh

“Siber güvenlik söz konusu olduğunda hepimiz aynı taraftayız. Öğrenilen dersleri şirket dışına da paylaşmayı düşünün. Bu, herkesin bir sonraki tehdide karşı hazırlıklı olmasına yardımcı olur.” Jeff Bird, Siber Güvenlik Danışmanlığı Lideri, Marsh

Yukarıdaki kontrol listeleri de dahil olmak üzere bir siber olay yönetimi planının kullanılması, olası bir hasarın sonucu da dahil olmak üzere hiçbir sonucu garanti etmez.

Rapor,Öne çıkan içgörüler