YORUM
Netwrix’in “Fidye yazılımı ve diğer kötü amaçlı yazılım saldırıları, kuruluşların karşılaştığı en büyük üç güvenlik olayı türü arasında yer alıyor” raporuna göre;2024 Hibrit Güvenlik Trendleri Raporu.” Bir teklifle Bu tehlikeyi engellemek içinbirkaç yıldır radikal bir yaklaşım etrafında tartışmalar yapılıyor: fidye yazılımı ödemelerini yasadışı hale getirmek. Mantık basittir. Fidye ödemesi yasaksa, kuruluşlar bunu yapmaz — böylece siber suçluların fidye yazılımı saldırıları başlatma teşviki ortadan kalkar. Sorun çözüldü. Yoksa çözüldü mü?
Tüm Fidyeler Eşit Değildir
Öncelikle birden fazla gasp türü olduğunu kabul etmeliyiz. Fidye yazılımı genellikle kaçırma, rehin alma durumları ve bireylere veya kamusal alanlara yönelik şiddet tehditleri gibi fiziksel gasp vakalarından farklıdır. Ancak, örneğin bir hastaneye yapılan bir fidye yazılımı saldırısı, kelimenin tam anlamıyla hastaların hayatlarını tehlikeye atar.
İnsan hayatlarının doğrudan tehlikede olduğu senaryolarda, fidye ödemelerini çevreleyen etik ve yasal hususlar, basit bir yasağın izin verdiğinden daha karmaşıktır. Fidye yazılımı saldırganlarının uyum sağlama yeteneği ve becerikliliği göz önüne alındığında, böyle bir yasağın sınırlarını zorlamaları ve yaptırım sınırlarını test etmeleri oldukça olasıdır. Sonuç olarak, tüm fidye ödemelerine yönelik genel bir yasak, karar vericileri imkansız ahlaki ikilemlere zorlayabilir.
Beklenmeyen Sonuçlar Yasası
Bir an için fidye ödemelerinin yasal olarak yasaklandığını ve bir fidye yazılımı saldırısının işinizi felç ettiğini varsayalım. Hızlıca tekrar çevrimiçi olmanız gerekir, aksi takdirde işiniz iflas edebilir. Yasa fidye ödemenizi yasaklasa da, kolluk kuvvetleri bilmedikleri bir şeyi durduramaz. Neredeyse kesin olarak, bazı şirketler sessizce fidye öder ve olayı bildirmez. Saldırıları bildirme konusundaki bu tereddüt, sorunun gerçek kapsamının görünürlüğünü etkiler ve kolluk kuvvetlerinin buna göre hareket etmesini engeller. Zorluk bilinmiyorsa, ele alınamaz.
Ek olarak, küçük ve orta ölçekli işletmeler üzerinde orantısız bir etki olacaktır. Büyük kuruluşlar fidye taleplerine boyun eğmeden bir fidye yazılımı saldırısına dayanacak kaynaklara sahip olabilirken, küçük işletmeler varoluşsal tehditlerle karşı karşıya kalabilir. Fidye ödemelerine yönelik genel bir yasak, onları yasadışı ödemeler yapmak veya iflas etme riski arasında seçim yapmak zorunda kalma gibi tehlikeli bir konumda bırakabilir.
Örnek Olay: Siber Sigorta
Hiçbir yasal eylem veya politika değişikliği tek başına gerçekleşmez; kaçınılmaz olarak dalga etkileri ve beklenmeyen sonuçlar doğurur. Siber sigorta, fidye yazılımı alanında başlıca bir örnektir. Siber sigorta poliçesi güvence altına alarak, işletmeler kendilerini bir fidye yazılımı saldırısının finansal sonuçlarından korumayı amaçlar, çünkü sigorta sağlayıcısı fidye ödemesini karşılayacaktır.
Gerçekten de, birkaç yıl önce işler böyle yürüyordu. Ancak siber suçlular sigortalı kuruluşların fidye ödeme olasılığının daha yüksek olduğunu, çünkü sigorta şirketlerinin bu masrafları karşıladığını hemen fark ettiler. Tehdit aktörlerinin saldırılarını kişiselleştirmek ve karlarını maksimize etmek için potansiyel kurbanların siber sigorta kapsamları hakkında keşif yapmaya başladığını varsaymak mantıklıdır. Siber sigortanın fidye yazılımı salgınının büyümesine nasıl katkıda bulunmuş olabileceği budur.
Şu anda fidye ödemesini geri ödeyecek bir sigorta şirketi bulmak neredeyse imkansız.
Daha İyi Bir Model: Bankacılık Sektörünü Takip Edin
Banka soygunları bir zamanlar yaygın bir tehditti, ancak son yıllarda önemli ölçüde azaldı. Bu azalma, banka memurlarının nakit vermesini yasaklayarak sağlanamadı. Bunun yerine, bankalar riski azaltmak için çok yönlü bir yaklaşım benimsedi. Potansiyel soyguncuları caydırmak için, nakit kullanımının azaltılması, zaman kilitli kasalar, gelişmiş güvenlik kameraları ve alarm sistemleri gibi önlemler kullanıyorlar. Boya paketleri, sahte para ve GPS izleyiciler, nihayetinde nakit verildiği durumlarda finansal kayıp riskini azaltır. Dahası, uygun güvenlik önlemleri, faaliyet göstermek için lisansı almak ve korumak için bir zorunluluktur.
Benzer bir yaklaşım diğer yüksek riskli endüstriler için de aynı derecede etkili olabilir. Hükümetler, kamu sektörü ve kritik altyapı için yaptıkları gibi siber güvenlik ölçütleri belirleyebilir ve risk azaltma stratejileri önerebilir. Bu tür standartlar, bağımsız olarak etkili bir fidye yazılımı savunma stratejisi geliştirmek için gerekli stratejik liderlikten yoksun kuruluşlar için temel rehberlik sunar.
Son olarak, kolluk kuvvetleri sorumluluklarının bir kısmını üstlenir ve fidye yazılımı ağlarını ortadan kaldırmak için uluslararası iş birliğini artırır. Bu yaklaşımın faydaları, LockBit fidye yazılımı çetesinin yakın zamanda çökertilmesiyle kanıtlandığı üzere, şimdiden karşılığını veriyor. Yarım düzineden fazla ülkeden ajanslar, LockBit’in taktiklerini ve araçlarını ana hatlarıyla açıklayan ayrıntılı bir ortak siber güvenlik danışma raporu yayınladı. Ayrıca grubun saldırı varlıklarından bazılarını ele geçirerek saldırı başlatma yeteneklerini önemli ölçüde engellediler.
Çözüm
Fidye yazılımı saldırıları dünya çapında devam ederken hayal kırıklığı anlaşılabilir, ancak kurban kuruluşlara fidye ödeme seçeneğini reddetmek ne gerçekçi ne de pratiktir. Yasada her zaman istisnalar olacaktır ve öngörülemeyen sonuçlar tedaviyi hastalıktan daha kötü hale getirebilir. Bunun yerine, etkili bir yanıt kuruluşların siber güvenlik için daha fazla sorumluluk almasını ve hükümet kurumlarının eski usul polislik işine girişmesini gerektirecektir. Bu strateji fidye ödemelerinin yasaklanması kadar basit olmayabilir, ancak fidye yazılımına karşı savaş kapsamlı ve ayrıntılı bir yaklaşımla kazanılabilir.