Siber suçlular: Hiç işe almadığınız “denetçiler”

Her kuruluş denetlenir. Asıl soru, denetimi kimin yaptığıdır. Siber suçlular mı?

Biz insanların eğilimli olduğu bir bilişsel önyargı vardır ve bu, siber güvenlik uzmanlarının her gün karşılaştığı bazı zorlukların merkezinde yer alır. Bu önyargı, “normallik önyargısı” olarak bilinir. Dr. Lauren Braithwaite bunu “önemli tehditler veya krizlerle karşı karşıya kaldığımızda bile felaket olasılığını hafife alma ve hayatın normal şekilde devam edeceğine inanma eğilimimiz” olarak tanımlar. Bu nedenle, yangın alarmı çaldığında insanlar tereddüt eder veya durum hâlâ kontrol altında göründüğü için diğer acil durumlarda tepki vermekte gecikirler. 

Bu önyargı, tanıdık olanı güvenlikle, varsayımları ise kanıtla karıştırmamıza yol açabileceğinden siber güvenlik gerçekliğiyle başa çıkmamızı giderek daha fazla engelliyor. İnsanların siber saldırı olasılığını hafife almasına veya bariz sorun ya da sonuçların olmamasını risklerin kontrol altında olduğunun kanıtı olarak yorumlamasına neden oluyor. Uygulamada, birçok kuruluş, seçtikleri koruma platformlarından net uyarılar gelmemesini her şeyin yolunda olduğunun kanıtı olarak görür. Diğerleri ise işlerin her zamanki gibi devam edeceğini varsaydıkları için uyarı işaretlerine yeterince hızlı tepki veremezler. 

Bu arada, M&S, JLR ve Co-op gibi kuruluşlarda yaşanan ihlallere ilişkin haber başlıklarının aralıksız olarak manşetlere taşınmasına (ve çoğu ihlalin aslında manşetlere hiç çıkmamasına) ve siber güvenlik sektörü ile devlet kuruluşlarının bir sonraki kurban olmamak için verdikleri tavsiyelere rağmen büyük olayların sayısı göz kamaştırıcı bir hızla artmaya devam ediyor.

NCSC 2025 Yıllık Raporu, Ağustos 2025’e kadar geçen 12 aylık dönemde 204 adet “ulusal öneme sahip” siber saldırı kaydedildiğini bildirdi. Bu rakam, bir önceki yıl bildirilen 89 vakaya kıyasla %130’luk bir artışa işaret ediyor. Toplam 429 olayın 18’i “son derece önemli” olarak sınıflandırıldı; bu da ciddi olaylarda %50’lik bir artışa işaret ediyor. İhlal oranları ısrarla yüksek seviyelerde seyrediyor; bu durum, ihlal riskinin giderek normalleştiğini yansıtıyor olabilir ve büyük ölçekte bir normallik önyargısı olarak görülebilir. İhlal açıklamaları ne kadar yaygınlaşırsa her birinin aciliyeti o kadar azalabilir.

Dersler çıkarıldı mı?

Siber güvenlik ihlali de dâhil olmak üzere herhangi bir tür felaket meydana geldiğinde, hükümetler ve şirketler tarafından sıkça tekrarlanan bir cümle vardır: “Dersler alındı”.

Peki, gerçekten öğrenildi mi? 2024 ile 2025 yılları arasında önemli olaylarda görülen %130’luk artış, bu iddiayı ciddi şekilde sorgulatıyor ve makro düzeyde derslerin öğrenilmediğine işaret ediyor. Görünüşe göre cevap kesinlikle hayır!

Geçen yıl, bir ihlalin ardından ortaya çıkan psikolojik durumu kısmen açıklayabilecek bir blog yazısı yazmıştım. Birçok şirketin bir anlamda hem ihlal edilmiş hem de ihlal edilmemiş olduğunu ve bu durumu Schrödinger’in kedisine benzettiğimi savunmuştum. Günlükleri inceleyerek veya aktif olarak bir güvenlik ihlali arayarak kutuyu açana kadar, “ihlal edilmedik” rahatlığı, aslında kimsenin kontrol etmediğini yansıtmaktan ibarettir. Aslında bakma konusundaki bu isteksizlik, sessizce işini yapan normallik önyargısı da olabilir. 

“Dersler alındı” ifadesi, kutuyu açıp kedinin (maalesef) öldüğünü gördükten sonra “ne olduğunu biliyoruz, durumu kontrol altına aldık, endişelenmeyin” demekle sonuçlanan bir durumdur. Bu bir anlatıdır, yaklaşımda anlamlı bir değişiklik olduğunun kanıtı değildir. 

Buna karşılık, gerçek öğrenme, kuruluşların davranış biçimlerini değiştiren proaktif bir süreçtir. Bu durum, bütçeler, politikalar, kurallar, kurtarma planlaması, tedarikçi denetimi, kayıt tutma, izleme, eğitim ve hata toleransı gibi alanlarda yapılacak değişikliklere yansımalıdır; bunlar sadece birkaç örnek. Üstelik tüm bunlar, kaçınılmaz güvenlik ihlali gerçekleşmeden önce yapılmalıdır. Ne de olsa hareket eden bir hedefi vurmak çok daha zordur.

Dolayısıyla normallik önyargısının yaygın ve insani bir bilişsel durum olduğunu kabul edersek ihlal gerçekleşmeden önce rehavete kapılmamayı başarabilir ve ihlalin etkisini en aza indirebiliriz. “Hata yapmak insana mahsustur” ancak artık hatanın ne olduğunu bildiğimize göre, bu bilgiye göre hareket etmek ve işleri farklı şekilde yapmak zorundayız. 

Normallik önyargısı siber suçlular için fırsat oluşturuyor 

Suçlu “denetçiler” insan hatasına güveniyor. Sonuçta, bu yüzden phishing hâlâ ihlallerin meydana gelmesinin en yaygın yollarından biri.

Siber güvenlikte son aşama iki ana şekilde gerçekleşir.

Ya düzenli olarak kendimizi denetleriz – sızma testleri, kırmızı/mavi/mor takım ve diğer saldırı simülasyon tatbikatları yaparız, tehdit ortamını düzenli olarak yeniden değerlendiririz ve siber dayanıklılık stratejimizin bir parçası olarak güvenlik önlemlerimize yatırım yaparız. 

Ya da siber suçluların bizim adımıza bu “denetimi” yapmasına izin veririz. Onlar (kelimenin tam anlamıyla) sahte bir güvenlik hissine güveniyorlar ve işte bu, onların istismar ettiği zırhın zayıf noktasıdır. Sizi “denetleyen” suçlular acımasız, maliyetli, yıkıcı ve çoğu durumda kuruluşlar için ölümcül olabilir. İşte bu yüzden bu metafor önemlidir: Siber suçlular, bir kuruluşun güvenliği hakkında inandıkları ile gerçekler arasındaki boşluğu keşfederler. 

Durumu daha net bir şekilde ortaya koymak gerekirse ESET’in tehdit istihbaratı her gün 750.000 şüpheli örneği işliyor, 2,5 milyar URL’yi analiz ediyor ve bunların 500.000’ini engelliyor. Tehdit aktörleri acımasızdır ve saldırıları giderek daha sofistike hâle geldikçe bizler kendimizi bu saldırılara karşı korunduğumuzu düşünmekten vazgeçmeliyiz. Normallik önyargısının var olduğunu kabul etmeli ve buna göre hareket etmeliyiz.

Birleşik Krallık’ta bir dizi yüksek profilli perakende veri ihlali karşısında ESET, 2.000 tüketiciyle bir araştırma gerçekleştirdi. Ortaya çıkan rapor, diğer hususların yanı sıra alışveriş yapanların %46’sının bir veri ihlali sonrasında güveni yeniden kazanmanın 5 aydan fazla süreceğini söylediğini ortaya koydu. Bu, pahalı bir denetim! Üst yönetimin tek ilgilendiği konu buysa doğrudan mali zararı tahmin etmek için basit bir hesaplama yapmak yeterlidir. Bu, genellikle çok acı verici bir buzdağının sadece görünen kısmı olmasına rağmen tek başına yeterli olmalıdır.

Sonuç

Normalcy bias’ın (normallik önyargısı) en ilginç bulduğum yönü, hepimizin farkında olduğu saldırı vektörlerinin artan karmaşıklığına, hızına, hacmine ve çeşitliliğine rağmen siber dayanıklılık stratejilerine yaklaşımımızın genellikle geçmişte kalmış olmasıdır – bu geçmiş nispeten yakın olsa bile. Ancak siber güvenlik alanında zaman hızla geçiyor ve bu makaleyi okumanız için harcadığınız 4 veya 5 dakika içinde ESET, 2.000’den fazla şüpheli örneği işleyecek ve yaklaşık 7 milyon URL’yi tarayarak bunların yaklaşık 1.500’ünü engelleyecektir.

Siber güvenlik hizmetlerinin sunumunu neden gözden geçirmemiz gerektiğini sorarken son birkaç yılda (hem küresel hem de yerel olarak) değişen tüm parametreleri ve bunların mevcut güvenlik durumumuzu nasıl etkileyebileceğini hesaba katıyor muyuz? 

Aklınıza gelen ilk birkaç tanesini sayabilirsiniz:

• Yapay zekâ destekli dolandırıcılık ve diğer tehditlerin artışı.
• Ukrayna’daki savaş.
• İran.
• Dünya çapında siber suçların maliyetindeki artış.
• Deepfake’ler.
• Sosyal mühendislik saldırılarında artış.
• Ana saldırı vektörü olarak kimlik avının devam etmesi.
• Siber güvenlik çözümleri ve hizmetlerinin karmaşıklığının artması.
• Siber beceri eksikliklerinin endişe verici derecede geniş kalması.

Şüphesiz bunun dışında pek çok başka sorun da var. Ve sadece birkaç yıl önce satıcılar tarafından sunulan koruma düzeyinin aşamalı olarak ortadan kalkması ve MDR/XDR/MXDR hizmet ve çözümlerinin norm hâline gelmesi bir tesadüf değildir.

Siber suçlular da yapay zekâdan destek alıyor

Suçlu “denetçiler” bu süre zarfında kesinlikle ellerini kavuşturup beklemediler. Yapay zekâ gibi yeni araçların kullanımı, mutlaka daha iyi kodlama anlamına gelmese de saldırıları büyük ölçüde ölçeklendirmelerine olanak tanıyor ve benzeri görülmemiş bir hızda güvenlik açıklarını taramalarına imkân veriyor.

• Denetim, test, siber farkındalık ve önleme teknolojilerine yatırım yapmıyorsanız para tasarrufu yapmıyorsunuz; sadece güvenliği suçlulara devrediyorsunuz.
• C-suite yöneticileri, siber güvenlikle en çok ilgilendiği an, pahalıya mal olan bir ihlalin hemen ardından, yani normal hayatın altüst olduğu andır. Onları daha erken aşamada bu konuyla ilgilenmeye teşvik edin.
• Suçlular, ajan yapay zekâ ile 24 saat boyunca aralıksız çalışır. Çözümleriniz bununla başa çıkacak kadar dayanıklı mı? Kontrol edin.
• Kuruluşunuzun boyutu ne olursa olsun siber profilinizi ve dayanıklılığınızı sürekli olarak gözden geçirmeniz gerekir.
• (Olay) sessizliğini güvenlikle karıştırmayın – 7/24 MDR/MXDR hizmetlerine yatırım yapın.
• Artık “normallik önyargısı” tuzağını biliyorsunuz – bundan kaçının.