Veri ihlali sonras?nda at?lmas? gereken 10 temel ad?m

Günümüzde dünya genelindeki veri ihlalleri, olay ba??na 4,2 milyon Amerikan dolar?ndan daha fazlaya mal oluyor. Kurulu?lar dijital altyap?lar?n? güçlendirirken, ?irketin sald?r? yüzeyini de geni?letiyorlar. ABD’de 2021 y?l?n?n üçüncü çeyre?inde bildirilen ihlallerin say?s?, 2020 y?l?n?n tümünde bildirilenlerin say?s?ndan daha fazla. Ortalama büyüklükteki bir kurulu?un veri ihlalini bulmas? ve ihlali kontrol alt?na almas? oldukça uzun sürüyor ve bunun günümüzde 287 gün sürdü?ü tahmin ediliyor. Peki, ihlal alarmlar? çald???nda ne yapmak gerekir? ESET uzmanlar? dikkat edilmesi gerekenler ile ilgili ?u bilgileri payla?t?lar;  

Modern veri ihlallerinin öncüsü olan ve giderek yayg?nla?an fidye yaz?l?m aktörleri olaylar?n daha da karma??k hale gelmesine neden oluyor.  

Sakin olun

Veri ihlali, bir kurulu? aç?s?ndan en çok bask? yaratan durumlardan biridir. Özellikle bu olay ana sistemleri ?ifreleyen ve ödeme talep eden fidye yaz?l?m aktörleri taraf?ndan gerçekle?tiriliyorsa büyük bask? yarat?r. Ancak, dü?ünmeden verilen tepkiler yarardan çok zarar getirebilir. ?irketin tekrar çal???r hale gelmesini sa?lamak ku?kusuz çok önemlidir, ama bu durumda bir yönteme göre hareket etmek hayati öneme sahiptir. Olay tepki plan?n? devreye sokmal? ve önemli ad?mlar atmadan önce ihlalin kapsam?n? anlamal?s?n?z.     

Olay tepki plan?n?za uyun

Kurulu?un ihlale u?ramas? hakk?nda “ne zaman olacak” de?il, “e?er” bugün olursa ihtimalini ve olay tepki plan?n?n siber güvenlikle ilgili en iyi uygulama oldu?unu göz önünde bulundurmal?s?n?z. Bunun için de geli?mi? bir planlama gerekir; ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) veya ?ngiltere Ulusal Siber Güvenlik Merkezi (NCSC) gibi kurulu?lar?n rehberli?ine ba?vurulabilir. Ciddi bir ihlal tespit edildi?inde, ?irket genelinde payda?lar?n yer ald???, önceden belirlenmi? bir olay tepki ekibi, süreçler üzerinde ad?m ad?m çal??mal?d?r. Düzenli olarak bu planlar? test etmek iyi fikirdir, bu sayede herkes haz?rl?kl? olur ve belgeler güncel tutulur. 

?hlalin kapsam?n? de?erlendirin

Ba?l?ca bir güvenlik olay?ndan sonraki en önemli ad?mlardan biri, ?irketin ne kadar kötü etkilendi?ini anlamakt?r. Bu sayede bildirimde bulunma ve düzeltme gibi ihlal sonras? eylemlerle ilgili bilgi sahibi olursunuz. Kötü amaçl? ki?ilerin sistemlere nas?l girdi?ini ve sald?r?n?n “etki çap?n?n” ne kadar büyük oldu?unu, yani bu ki?ilerin hangi sistemlere eri?im sa?lad?klar?n?, hangi verilerin risk alt?nda oldu?unu ve bu ki?ilerin halen a?da olup olmad???n? ö?renmelisiniz. Bu noktada genellikle üçüncü taraf adli bili?im uzmanlar? devreye girer. 

Hukuk birimini dahil edin

Bir ihlalden sonra kurulu?unuzun bulundu?u noktay? bilmelisiniz. Yükümlülükleriniz neler? Hangi düzenleyici kurulu?lar?n bilgilendirilmesi gerekir? Daha fazla zaman kazanmak için sald?rganlarla pazarl?k etmeli misiniz? Mü?teriler ve/veya i? ortaklar? ne zaman bilgilendirilmelidir? ?irket içi hukuk birimi, bu konuda ilk ba?vuraca??n?z yer olmal?d?r. Ancak, siber olay tepki alan?ndaki uzmanlar? da olaya dahil edebilirsiniz. Gerçekten ne oldu?uyla ilgili adli bili?im bilgileri bu noktada hayati öneme sahiptir, böylece bu uzmanlar bilgiye dayal? karar verebilir. 

Ne zaman, nas?l ve kime bildirimde bulunaca??n?z? bilin

GDPR (AB Genel Veri Koruma Regülasyonu) ve KVKK (Ki?isel Verileri Koruma Kanunu) ko?ullar? uyar?nca yerel düzenleyici, ihlal ke?fedildikten sonra 72 saat içerisinde bilgilendirilmelidir. Ancak, bu durum baz? olaylar için gerekli olmad???ndan böyle bir bildirim için minimum gerekliliklerin ne oldu?unu anlamak önemlidir. Bu noktada, ihlalin etki çap?yla ilgili derinlemesine bilgi önemlidir. Ne kadar verinin al?nd???n? veya tehdit aktörlerinin sistemlere nas?l girdi?ini bilmiyorsan?z, düzenleyiciyi bilgilendirirken en kötüsünü varsaymal?s?n?z. GDPR’nin olu?turulmas?nda önemli bir rol oynayan ?ngiltere Bilgi Komisyonu Ofisi’nin (ICO) bu konuda yararl? k?lavuzlar? bulunur.  

Emniyet birimlerine bilgi verin

Düzenleyicilerle ilgili gereklilikler ne olursa olsun, özellikle tehdit aktörlerinin halen a??n?zda oldu?u durumlar ba?ta olmak üzere veri ihlallerinde emniyet kurulu?lar?n?n sizin yan?n?zda olmas? yarar?n?za olur. Mümkün olan en k?sa sürede emniyet kurulu?lar?n? olaya dahil etmelisiniz. Örne?in, fidye yaz?l?m durumunda emniyet kurulu?lar?, güvenlik sa?lay?c?larla ve ?ifre çözme anahtarlar? ve risk önleme araçlar? sunan di?er üçüncü taraflarla ileti?ime geçmenizi sa?layabilir.  

Mü?terilerinize, i? ortaklar?n?za ve çal??anlar?n?za söyleyin 

Bu, ihlal sonras?nda yap?lacaklar listenizde mutlaka yer almas? gereken di?er bir ad?md?r. Ancak tekrar belirtmeliyiz ki bilgilendirmeniz gereken mü?terilerin/çal??anlar?n/i? ortaklar?n?n say?s?, bu ki?ilere ne söyleyece?iniz ve ne zaman söyleyece?iniz olay?n ayr?nt?lar?na ve neyin çal?nd???na ba?l?d?r. Öncelikle kurulu?un bir olay? fark etti?ini ve ?u an olay? ara?t?rd???n? belirten bir beyan? iletin. Ancak bu konudaki söylentiler h?zla yay?laca??ndan, k?sa bir süre sonra daha fazla ayr?nt? payla?man?z gerekir. BT, Halkla ?li?kiler ve Hukuk birimleri, bu konuda birbiriyle yak?n temas halinde çal??mal?d?r. 

Kurtarma ve düzeltme çal??malar?na ba?lay?n

Sald?r?n?n kapsam? belirlendikten ve adli bili?im/olay yan?t ekipleri tehdit aktörlerinin art?k a?a eri?im sa?lamad???ndan emin olduktan sonra i?leri tekrar yoluna koyma vakti gelmi?tir. Bu, sistemleri yedekten geri yükleme, ihlale u?rayan makineleri yeniden görüntüleme, etkilenen uç noktalar? yamalama ve ?ifreleri s?f?rlama anlam?na gelebilir.  

Gelecekte olabilecek sald?r?lar için sa?lam bir yap? olu?turmaya ba?lay?n

Tehdit aktörleri bilgiyi genellikle siber suç yer alt?nda payla??yor. Ayr?ca kurban durumuna dü?en kurulu?lar?n birkaç kez daha ihlale u?ramas? giderek art?yor. Bunun için özellikle fidye yaz?l?m kullan?l?yor. Bu sebeple, tehdit alg?lama ve tepkinin yan? s?ra adli bili?im araçlar?ndan elde edilen bilgileri kullanmak her zamankinden daha önemlidir. Böylece, ilk seferinde sald?rganlar?n kulland??? tüm yollar?n gelecekteki sald?r?larda tekrar kullan?lmayaca??ndan emin olabilirsiniz. Bu durum, yama ve ?ifre yönetiminde iyile?tirme, daha iyi güvenlik fark?ndal??? e?itimi, çok faktörlü kimlik do?rulamas? (MFA) uygulamas? veya insanlar, süreçler ve teknoloji konusunda daha karma??k de?i?iklikler anlam?na gelebilir. 

En kötü olay tepkisini inceleyin

Olay tepki yapbozundaki son ö?e, deneyimlerden ders ç?karmakt?r. Yukar?da de?inildi?i üzere gelecek için daha sa?lam bir yap? olu?turman?z bunun bir parças?d?r. Ayr?ca, ba?ka örnekleri de inceleyebilirsiniz. Geçmi?teki veri ihlalleri aras?nda, zay?f tepki verilmi? birçok yüksek profilli olay bulunur. Oldukça gündem olan bir olayda, ihlale u?rayan bir ?irketin kurumsal Twitter hesab?ndan, ?irketin ihlale yan?t sitesinin ba?lant?s?yla kar??t?r?ld???ndan dört kez kimlik av? ba?lant?s? tweetlendi. Ba?ka bir olayda, ?ngiltere’nin ba?l?ca telekomünikasyon ?irketlerinden biri çeli?kili bilgiler yay?nlad??? için a??r ele?tirilere maruz kald?. 

Ne olursa olsun, mü?teriler i? yapt?klar? kurulu?lar?n güvenlik olaylar?yla kar??la?aca??n?n gittikçe daha fazla fark?nda. Sizinle çal??maya devam etmeleri veya etmemeleri ise bu olaylara nas?l tepki verdi?inizin yan? s?ra maddi ve manevi zarara ba?l?d?r.