Bir fidye saldırısı, sistemleri ele geçirdiği gibi geriye dönüp bakıldığında her şeyin yolunda gittiğini düşündüren o sessiz güveni de çürütür.
Kurumsal başarısızlıkların tarihinde, tesadüf olamayacak kadar sık tekrarlanan bir kalıp vardır: Bir sistem uzun süre sorunsuz çalışır ve herkesin sisteme güven duymasına neden olur. Neredeyse her zaman, bu durum, sistemin başlangıçta sorunsuz çalışmasını sağlayan uyanıklığı da sessizce aşındırır. Ve sonra sistem çöker – tam da ilgili herkesin size sistemin mükemmel durumda olduğunu söyleyeceği anda.
Kulağa mantıksız gelse de istikrarın kendisi de istikrarı bozabilir. Bu durum rehavete yol açar, bu da hazırlık için yapılan yatırımların azalmasına ve dolayısıyla gerçek risk ile algılanan risk arasındaki uçurumun büyümesine neden olur. Yazar Morgan Housel bu örüntüyü dört kelimeye sıkıştırdı: “sakinlik, çılgınlığın tohumlarını eker.” Sakinlik, tehlikenin geçtiğinin kanıtı gibi hissettirir; bu da tehlikeyi yeniden ortaya çıkaran şekillerde davranışları değiştirir. Bu durum, finansal piyasalarda oldukça belirgin ve neredeyse klinik bir düzenlilikle ortaya çıkar; ancak insan psikolojisinin dokusuna işlenmiş olduğu için siber güvenlik de bundan hiçbir şekilde muaf değildir.
Bu nedenle, saldırıya uğramamış bir şirket, güvenlik durumunu yeterli olarak görme eğilimindedir. Kimse bunu açıkça dile getirmese de bu varsayım sessizce yerleşir: Eğer hiçbir sorun yaşanmadıysa savunmamız mükemmel olmalı. Ancak bazı durumlarda bu, kanıtın yokluğunu yokluğun kanıtıyla karıştırmak anlamına gelebilir.
Ya da daha da iyisi, görünür bir olayın olmaması sadece sessizliktir ve sessizlik birçok anlama gelebilir. Kusursuz bir sicile sahip şirketin gerçekten de birinci sınıf savunmaları olabilir. Ancak kötü niyetli ve yeterince kararlı kişilerin dikkatinden kaçmış da olabilir – sonuçta denizde çok balık var.
Bu da kendinize sormanız gereken en az iki soruyu gündeme getirir: Ortamımın, şu anda dolaşımda olan tehditlere karşı olabildiğince güvenli olduğunu biliyor muyum? Yoksa sadece (temel) kontrollerimin yerinde olduğunu mu biliyorum? Birçok kuruluş, ilk soruyu cevapladıklarına inanırken ikinci soruyu cevaplar. Uyumluluk çerçevelerine başvurabilirler ancak bunlar, önlemlerin şu anda dolaşımda olan tehditlere karşı yeterli olup olmadığını mutlaka kontrol etmez. Dolayısıyla bir şirket hem uyumlu hem de aynı zamanda risk altında olabilir. (Siz de Schrödinger’in kedisi paradoksunu hissedebiliyor musunuz?)
Daha fazla tuzak
Bir kuruluşun güvenlik durumunun resmî olarak ölçülmesi kolaydır ve – her şeyin yolunda gittiği varsayıldığında – bu durumdan memnun olmak da kolaydır. Bir çalışanın oturum açma kimlik bilgilerinin karanlık web pazarlarında el değiştirip değiştirmediği veya kuruluşunuzun EDR aracının bazı durumlarda kolayca temin edilebilen bir “anti-araç” tarafından etkisiz hâle getirilip getirilemeyeceği – bu, birçok kuruluşun bakmayı düşünmediği yerlere bakmadan değerlendirmek daha zordur.
Bunun bir nedeni var. Kasıtlı bir düzeltme yapılmadığında, insanın eğilimi, elde edilmesi zor bilgileri göz ardı ederek ve bu iki kategoriden hangisinin daha öğretici olduğunu umursamadan, kolayca ulaşılabilir bilgilere güvenmektir. Zihin, hazırda bulunan her türlü bilgiyi alır ve tutarlı olduğuna inandığı bir hikâye oluşturur. Önemli olan, eksik olanı işaret etmemesidir; resim tam gibi görünür ve güven, ne olursa olsun kazanılmış gibi hissedilir. Merhum psikolog Daniel Kahneman, bu alışkanlık için bir kısaltma uydurdu: WYSIATI (What You See Is All There Is – Gördüğün Her Şey Var Olan Her Şeydir).
Karar vericilerin çoğunun riski nasıl değerlendirdiğini düşündüğünüzde sorun daha da ciddileşebilir: Ölçülemeyen bir şeyin önemi yoktur. Uygulamada ise genellikle tam tersi doğruya daha yakındır ve aslında bu temel sorun, bir yanılgı olarak kabul edilmektedir. Bu konuyu daha fazla uzatmadan şunu söylemekle yetinelim: (Bilişsel) tuzakları bir kez fark ettiğinizde artık onları “görmezden gelemezsiniz”.
Verizon, 2025 Veri İhlali Araştırma Raporu’nda bu uçurumun ne kadar genişleyebileceğine dair bir rakam verdi: Fidye yazılımı kurbanlarının %54’ünün, saldırıdan önce etki alanlarının en az bir bilgi hırsızı günlüğünde veya yasa dışı pazar yeri gönderisinde göründüğünü tespit etti. Erişim bilgileri zaten dolaşımdaydı ve bazı durumlarda, her şey yolunda görünse bile ihlal çoktan gerçekleşmiş olabilir.
Bu tür kör noktalar en çok, güvenlik süreçlerini devre dışı bırakma girişimleri gibi saldırganların davranış izlerini tespit edemeyen güvenlik sistemlerine sahip şirketleri etkiler. Bunu düzeltmek için görünür olanı değiştirmek ve doğru araçları kullanmak gerekir; bu araçlar, kontrollerin yerinde olduğunu doğrulamanın ötesine geçerek, ortamda şüpheli davranışlar sergileyen unsurları tespit etmelidir.
Fidye saldırısı sonrası
Tüm bunlar önemlidir çünkü fidye yazılımı saldırısı, etkileri çok geniş bir alana yayılan bir iş sürekliliği olayıdır. 2024 yılında Change Healthcare fidye yazılımının kurbanı olduğunda, hastaneler ve eczaneler üzerindeki dolaylı etki aylarca sürdü; bu olayın neredeyse tüm ABD nüfusunu etkilediği de unutulmamalıdır. Toplam maliyetin 3 milyar dolar olduğu tahmin edilmektedir. 2025 yılında Jaguar Land Rover’a yapılan bir fidye yazılımı saldırısı da benzer bir mali zarara yol açtı.
Bu arada IBM, kesinti süresi, kurtarma ve dolaylı hasar dâhil olmak üzere bir veri ihlalinin ortalama maliyetini yaklaşık 5 milyon dolar olarak belirlemiştir. Özellikle sağlık kuruluşları için bu rakam neredeyse ortalama 10 milyon dolardır. Ve bu rakamlar, yenilenmeyen müşteri sözleşmeleri veya ani artış gösteren sigorta primleri gibi uzun vadeli etkileri yansıtmamaktadır.
Hasar, özellikle çalınan verilerin günümüzde sıklıkla görüldüğü gibi özel bir sızıntı sitesine (DLS) düşmesi durumunda, aylar ve yıllar boyunca artar. Kurumsal verilerin kamuoyuna ifşa edilmesi, başlı başına bir kriz tetikler. Dökülen sözleşmeler, e-postalar ve kişisel veriler, kimlik avı ve iş e-postası dolandırıcılığı (BEC) gibi takip eden saldırılar için malzeme hâline gelir.
Yasal yükümlülükler de çok geçmeden devreye girer. Aynı zamanda, müşteriler ve iş ortakları, şirketin çoğu zaman cevaplayamayacağı sorular sormaya başlar. Savunmacıların akılda tutması gereken bir başka uyarı daha vardır: Veriler yalnızca suçluların “tanıtmayı” seçtikleri bilgileri yansıtır; fidye yazılımı kurbanlarının yalnızca küçük bir kısmının verilerinin bu sitelerde yayımlandığı düşünülmektedir.
Disiplin her şeydir; fidye saldırısına karşı önlemi bırakmayın
Doğru araçlar ve insan kaynağının yanı sıra zaman içinde dayanıklılığını koruyan güvenlik, gözlemleme ve uyum sağlama alışkanlığına dayanır. Tüm bunlar, kendi BT ortamınız bir yana, tehdit ortamında neler olup bittiğinin farkında olmaya bağlıdır.
Kabul etmek gerekir ki görünür ve acil bir tehdit olmadığında sürekli tetikte kalmak pahalıdır – psikolojik olarak, yani. İnsanlar, yakın görünmeyen olaylara karşı tetikte kalmaya pek uygun değildir ve olaylara karşı kayıtsızlığa doğru kayma o kadar kademeli olur ki nadiren birinin aldığı bir karar olarak algılanır.
Ancak “denklemin” tehdit tarafı asla sabit kalmadığından savunma tarafı da sabit kalamaz. Tehdit istihbaratı, özellikle de aktif kampanyalar hakkında çok sayıda sinyal sağlayan türden olanı, bu farkındalığın bel kemiğidir. Güvenlik araçlarının, güvenlik ekiplerinin zamanında harekete geçmesini sağlayan tespitlere ve uyarılara “dönüştürebileceği” şey budur. Bu olmadan, bir kuruluşun güvenliği hakkında inandığı şey ile gerçekte olan şey arasındaki uçurum, siber suçlular tarafından oldukça pahalı bir şekilde kapatılana kadar genişlemeye devam edebilir.
