İnternet teknolojileri dünyayı yakınlaştırıyor ancak siber saldırılar da inanılmaz boyutta arttı. Sadece sıradan kullanıcılar değil dev firmalar bile tehdit altında.
İnternet, ilk denemeleri 1950’lerde başlayan, sıradan insanın hayatına girmesi için 40 yıl boyunca üzerinde çalışılan ve ancak 1990’ların sonlarına doğru tüm dünyanın kullanabileceği hale gelen bir tür iletişim ağı. En büyük sorunlarından biri ise siber saldırılar. Önceleri bu saldırılar web sitelerini işlevsiz hale getirmek amacıyla yapılırdı ancak devir değişti ve artık amaçlar da farklı. Çünkü siber saldırılar “veri hırsızlığı” amacıyla kullanılıyor. Özetle yapılan saldırılarda kişisel veriler hedefleniyor ve elde edilen veriler, çok farklı amaçlarla kullanılıyor.
Saldırılar daha da artacak
Türkiye, COVID-19 salgını nedeniyle bir yılı aşkın süredir tedbirli, kapanarak, sokağa çıkma yasaklı bir yaşam sürüyor. Dünyanın pek çok ülkesinde de durum farklı değil. Biz belki yaşamlarımızı ev ortamına çektik ancak bizimle birlikte siber saldırganlar da eve kapandı. Sonuç? Son bir yılda, tüm dünya çapındaki siber saldırılar yüzde 542 oranında arttı! Uzmanlara göre bunun en önemli sebebi, salgın sürecinde uzaktan çalışma ortamına tedbirsiz geçmek. Bu “tedbirsizlik” ise evindeki bilgisayar başında çalışan kitleden ağ güvenliklerindeki açıklar nedeniyle şirketleri hedef tahtası haline getirdi. Yine uzmanlara göre siber saldırganlar, bu süreçten olabildiğince yararlanmaya çalışıyor ve siber saldırılarla topladıkları verileri depolayıp, hayatın normale döndüğü günlerde kullanmak üzere biriktiriyor. Sözün özü, salgın sürecini atlattıktan sonra çok daha büyük ve yıkıcı dolandırıcılık örnekleriyle karşılaşmamız işten bile değil.
Hacker’lar iş başında
Aslında bu tür saldırılarla geçtiğimiz yıl boyunca da sık sık karşılaştık. Bunların en önemlilerinden biri LinkedIn’e yapılan saldırıydı. Profesyonel iş insanlarına yönelik olarak kurulan medya platformu LinkedIn’den 500 milyon kullanıcının bilgileri çalındı ki bu bilgiler arasında LinkedIn profil isimleri, gerçek isimler, e-posta adresleri, telefon numaraları, cinsiyetlerine dair bilgi, LinkedIn’e bağlı sosyal medya hesapları, kişilerin mesleki unvanları ve diğer çalışma bilgileri de bulunuyordu. Hacker’ların tek istediği para idi ve bağlantılarıyla birlikte iki milyon kişinin bilgilerinden oluşan bir örneği de paylaşıma açtı.
Kişileri ne bekliyor?
Bu durumu şöyle özetleyebiliriz: Adınız, üyelik isminiz, şifreniz, anne-baba adınız, bugüne kadar çalıştığınız kuruluşlarla ilgili bilgiler, bağlı bulunduğunuz tüm platformlardaki bilgileriniz, iletişim halinde olduğunuz kişiler, telefon numaranız ve hangi kurumda, hangi tarihte, hangi sıfatla çalıştığınız ile ilgili bilgiler artık başkalarının elinde. Sizin adınıza sahte banka hesapları açılabilir, başka biri kendini sizmiş gibi tanıtıp kaçakçılıktan insan ticaretine kadar her türlü kirli işe soyunabilir, e-postanıza dolandırıcılık amaçlı mailler gelebilir, cep telefonu numaranıza hiç istemediğiniz tanıtım mesajları, telefonları gelebilir, numaranız satılabilir ve daha pek çok risk...
Kuşkusuz veri hırsızlığına maruz kalan kurum ve kuruluşlar olunca riskin boyutları da değişiyor. Türkiye, bu konuda riskli ülkeler arasında. Neyse ki özel sektör de bunun farkında. Hazırlanan bir rapora göre Türkiye en çok finans teknolojileri, e-ticaret, konaklama, bankacılık, perakende ve telekom sektörleri veri hırsızlarına karşı duruyor. Çok da iyi yapıyor çünkü Türkiye’de en çok veri hırsızlığı, kimlik hırsızlığı / sosyal mühendislik ve dijital kanallara sahte başvuru yaşanıyor. Bu dolandırıcılık türleri ile ilgili olarak dünya ortalaması yüzde 58 ancak Türkiye’de bu oran yüzde 67!
Veri güvenliğinin önemi
Siber saldırıya maruz kalan kuruluşlar, bu sonuçtan ağır hasar görüyorlar. Öncelikle, saldırıya uğrayan şirket üzerinden verileri tehlikeye giren bireyler tehdit altında kalıyorlar diyebiliriz. Peki, nedir bu tehditler?
*Finansal kayıplar: Kuruluşları en ağır etkileyen sonuç budur. Amerika’da gizlilik, veri koruma ve bilgi güvenliği politikaları üzerine bağımsız araştırmalar yapan Ponemon Enstitüsü verilerine göre bir veri ihlalinin maliyeti son beş yılda yüzde 12 arttı ve tüm dünyada ortalama olarak 4,5 milyar dolara yükseldi. Çünkü bu maliyetlere çok fazla sayıda ödeme girebiliyor ki bunlar arasında müşterilere tazminat ödemek, saldırıya müdahale çabalarında bulunmak, veri ihlalini araştırmak, yeni güvenlik yazılımlarına ve sistemlerine yatırım yapmak ve yasal ödemeler de dahil olabiliyor. Kaldı ki pek çok kuruluş da güvenlik konusunda yeterli önlem almadığı için cezaya çarptırılabiliyor.
Verilenin çalınması, şirketlerin hisse fiyatlarını ve alım-satımını da olumsuz yönde etkiliyor. Daha da ilginci, şirket yok pahasına el değiştirebiliyor.
*İtibar kaybı: Veri ihlalinden kaynaklanan itibar kayıpları şirketler için yıkıcı sonuçlar doğurabilir. Yapılan araştırmalar da bunu doğrular nitelikte. Hele ki veri ihlaline maruz kalan işletme perakende, finans ve sağlık sektöründe hizmet veriyorsa, müşterilerin üçte birinden fazlası, o kuruluşla çalışmayı bırakıyor! Bununla da kalmıyor, hemen hemen tüm müşteriler yaşadıkları deneyimi başkalarına anlatıyor ve yüzde 34’ü de öfkesini sosyal medya aracılığıyla paylaşıyor. Bu, kuruluşun büyüklüğüyle orantılı olarak bir anda dünya çapında duyulabilir ve sadece müşteri kayıplarına yol açmaz, kaçan müşterilerin rakiplere yönelmesine de sebep olur. Daha da kötüsü, itibar kaybı uzun solukludur ve bir kuruluşun yeni müşteriler edinmesini, gelecekteki yatırımlarını ve aday elemanların şirketi tercihini de etkiler.
*Şirketteki aksama süresi: Veri ihlali sonrası şirketlerdeki işleyişin aksaması, kesintiye uğraması da en önemli sorunlardan biridir. Dahası, bu aksama sadece çalınan verilerle ilgili değildir. Kuruluşun, ihlali kontrol altına alması, nasıl meydana geldiğini ve hangi sistemlere erişildiğini belirlemesi, bunun için de bir dizi inceleme ve araştırma yapması gerekecektir. Hatta aranan cevaplar bulunana dek şirkete erişim durdurulabilir, çalışanlar bile sorgulanabilir. Bu da, ihlalin ciddiyetine bağlı olarak günler hatta haftalar sürebilir! Sonuç olarak gelir kayıplarından başlayarak zincirleme pek çok olumsuzluk yaşanabilir.
Yapılan bir incelemeye göre, bir kuruluşun yaşadığı internet kesintisinin maliyeti dakika başına 5600 dolar, saat başına yaklaşık 300 bin dolar civarında! Bu rakamlar kuruluşun büyüklüğüne ve bulunduğu sektöre bağlı olarak çok daha fazla olabiliyor ve üretilen işi de elbette olumsuz etkiliyor.
*Yasal yaptırımlar: Türkiye’de 7 Nisan 2016 tarihinden bu yana yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK) gereği, resmi ve özel kurumlarla işletme sahiplerine ciddi idari para cezaları hatta bazı durumlarda da hapis cezası getiriyor. Ayrıca tüm bu kurum ve kuruluşlar, Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydıyla hangi kişisel verileri, hangi amaçla, ne kadar süreyle işleyeceklerini de bildirmek zorunda. Verilerin ihlali halinde, veri sorumlusuna ulaşan veri sahipleri aradığı cevaplara ulaşamazsa Kişisel Verileri Koruma Kurulu’na şikayette bulunup kuruluşu ciddi tazminat ve idari para cezasına mahkum ettirebilir.
*Önemli bilgilerin el değiştirmesi: Eğer veri ihlaliyle bazı önemli ve gizli bilgiler de elde edildiyse, sonuçları yıkıcı olabilir. Burada ilk akla gelen kişinin e-posta adresi veya telefon numarası oluyor ancak gördüğü tıbbi tedavilerden genetik bilgilerine, kuruluşun imzalamaya hazırlandığı sözleşmelere, satış belgelerine kadar akla gelen her şey olabilir. Veri hırsızları için bireysel tıbbi bilgiler, kredi kartı bilgilerinden bile değerlidir. Bu tür bir verinin karşı tarafın eline geçmesi ise tam bir felakettir ve her türlü itibar ve maddi zararı aşabilir.
En büyük veri hırsızlıkları
Geçtiğimiz bir yıl içindekiler de dahil, yaşanan en büyük veri hırsızlıklarını sizin için derledik.
Yahoo (2013): Yahoo, siber saldırıya en fazla maruz kalan sitelerden biriydi. İlk olarak 2013’te bir milyar kullanıcı hesabının çalındığını açıkladı. 2016’da, şirketin Verizon’a satılması ile ilgili görüşmeler sürerken bu sayının üç milyardan fazla olduğu ortaya çıktı. Yapılan incelemelerde üyelerin kullanıcı isim, şifre ve kartla ödeme bilgilerinin güvende olduğu anlaşıldı. Gelmiş geçmiş en büyük veri hırsızlığı olarak kayda geçen bu olay, Yahoo’nun 4,48 milyar dolara, yani talep edilen ücretin 350 milyon dolar daha azına satılmasına sebep oldu.
Deep Root Analytics (Haziran 2017): ABD’deki Cumhuriyetçi Parti Ulusal Komitesi adına faaliyet gösteren Deep Root Analytics’in maruz kaldığı siber saldırıda 200 milyon Amerikalı seçmenin kayıtlarına erişildi. İsimler, adresler ve doğum tarihleri de dahil olmak üzere 1,1 terabaytlık kişisel bilgi bir yana, seçmen eğilimlerini araştıran, kişilerin kime oy vereceğini tahmin etmekte kullanılan kapsamlı bir seçmen analizi de ele geçirildi.
Aadhaar (Mart 2018): Dünyanın en büyük biyometrik veri tabanında saklanan 1 milyar 100 milyon Hindistan vatandaşına ait veriler çalınarak online olarak satışa çıkarıldı. Bu veri ihlali, devlete ait bir kamu şirketinin sisteminden kaynaklanan açık yüzünden yaşandı. Neredeyse Hindistan vatandaşı olan herkesin ismi, 12 haneli kimlik numarası, fotoğrafları, banka bilgileri, parmak izleri ve retina taramaları ifşa edildi.
Facebook (Nisan 2019): UpGuard Siber Risk ekibi, Facebook’a ait uygulama ve verilerin halka açık bir internet sitesinden ifşa edildiğini ortaya çıkardı. Veri hırsızlığından 540 milyondan fazla Facebook kullanıcısı etkilendi ki bunlardan biri de kurucusu Mark Zuckerberg’di!
Marriott Hotel (Mart 2020): Marriott Hotel, daha önce de siber saldırı kurbanı olmuştu ancak bu kez otellerinde konaklayan 5,2 milyon misafirinin kaydı ele geçirildi. Bu kayıtlarda e-posta adresleri, telefon numaraları, doğum tarihleri, konaklama tercihleri, PIN numaraları, kart bilgileri, kimlik ve ehliyet numaraları da yer alıyordu.
Zoom (Nisan 2020): Salgın günlerinin gözdelerinden Zoom, 2020 baharında, salgının yaygınlaşmasıyla birlikte en fazla indirilen programlardan biri haline geldi. Tabii bu durum hacker’ların gözünden kaçmadı ve 500 bin hesapla ilgili verileri ele geçirip internet üzerinden satışa sundular. İşlerini kolayca halletmişlerdi çünkü Zoom’un 2013’te uğradığı saldırıda ele geçirilen kullanıcı kimlik bilgileri dark web’de hala el altındaydı. O eski bilgileri kullanıp, önce bazı şifrelerin hala aynı olduğunu tespit ettiler ve o hesapları çarçabuk elde ettiler. Kalan hesaplar için de sahte kimlik bilgisi doldurma formlarını kullanıcılara yolladılar. Böylece hacker’lar, asla bulunmamaları gereken online iş toplantılarına bile katılabildiler!
Easyjet (Mayıs 2020): Özel uçak şirketi Easyjet’in uğradığı veri ihlalinde dokuz milyon müşterisinin verileri çalındı ve 2208 müşterinin tüm kredi kartı bilgileri, seyahatleri ve e-posta adresleri de ele geçirildi. Çünkü Easyjet’te veri koruma yönetmeliği ihlal edilmişti ve şirket tazminat davalarıyla karşı karşıya kaldı.
Tiktok (Haziran 2020): Sosyal medya kullanıcıları arasında kısa sürede fenomen haline gelen Tiktok’un adı dünya kişisel verilerin korunması ile ilgili güvenlik açığıyla anılmaya başladı. Dünya genelinde 800 milyon kullanıcısı olan Tiktok’un Türkiye’deki kullanıcı sayısı da 28,5 milyon civarındaydı. Hal böyle olunca, KVKK da Tiktok ile ilgili inceleme başlattı. İddiaya göre Tiktok, kullanıcılardan son derece riskli bilgiler topluyordu. Örneğin telefonunuza dair teknik bilgiler, kullandığınız donanımlar, WiFi bilgileriniz, konumunuz da dahil onlarca bilgiyi kopyalayıp kayıt altına alıyordu. İzniniz olmasa bile panoya kopyaladığınız bilgilere, kameranıza ve mikrofonunuza erişebiliyordu! Şu sıralar İngiltere, 13 yaş altı çocukların da bilgilerini topladığı için Tiktok’a büyük bir tazminat davası açmaya hazırlanıyor.
Kariyer.net (10 Ağustos 2020): Türkiye’nin önde gelen online iş ve işçi bulma platformları arasında yer alan kariyer.net’in 53 bini aşkın üyesinden 40,955 üyenin kişisel verilerine ulaşıldı. 10 Ağustos’ta yaşanan veri ihlali iki gün sonra tespit edildi. Kariyer.net, KVKK’ya başvurarak ihlalden kullanıcılarının e-posta adresi, kullanıcı şifresi, isim-soyisim, doğum tarihi, telefon numarası, profil fotoğrafı URL link bilgisi, yaşadığı il ve yaşadığı ilçe bilgilerinin etkilendiğini açıkladı.
SocialArks (Ocak 2021): Üye sayısını kısa sürede hızla artıran Çinli sosyal medya sitesi SocialArks, güvenli olmayan veri tabanı ElasticSearch nedeniyle büyük bir veri sızıntısıyla karşı karşıya kaldı. Çünkü SocialArks’ın sunucusu şifre korumalı değildi ve şifrelenmemişti. Dolayısıyla herkese açıktı ve IP adresini bilen herkes, üyelerin her türlü önemli bilgisine ulaşabilirdi. Öyle de oldu. 200 milyonun üzerindeki Facebook, Instagram ve Twitter kullanıcısının bilgileri ele geçirildi.
Yemeksepeti.com (18 Mart 2021): Bir diğer saldırı online yemek sipariş platformu yemeksepeti.com’a yapıldı ve 21 milyon 500 bin kişiye ait verilerin (telefon numarası, kullanıcı isimleri, doğum tarihleri, e-posta adresleri ve kullanıcı şifreleri) çalındığı anlaşıldı. Ancak KVKK’nın yemeksepeti.com’a veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği için iki milyon TL, BTK’nın ise siber güvenlikle ilgili gerekli önlemleri almadığı için bir milyon TL ceza kesmesi gündeme geldi.
QKimlik Koruma Sigortası
QKimlik ürünümüzle hem dijital hem de fiziksel dünyadaki risklere karşı güvende hissedebilirsiniz.
Kimlik bilgileriniz tüm tehditlere karşı güvence altında!
Detaylı bilgi için: