Posted on

Siber Saldırılar: Nedenleri, Türleri ve Sonuçları

Giriş

Son yıllarda her sektörden ve ölçekten şirketin geçirdiği dijital dönüşümle karşı karşıya kalındığında, göz ardı edilemeyecek bir gerçek mevcuttur: Hiçbir şirket, herhangi bir zamanda siber saldırıların kurbanı olmaktan muaf değildir.

Bu nedenle, yalnızca şirketin itibarını değil, aynı zamanda faaliyetlerini, müşteri ve tedarikçilerle ilişkilerini de tehlikeye atan, gelir kayıplarına ve hatta yeni iş fırsatlarına yol açan bu tür bir saldırıya maruz kalma olasılığını azaltmak için stratejiler ve önlemler uygulamak giderek daha önemli hale gelmektedir.

Bu yazıda, bir siber saldırının temel nedenlerinin ne olduğu, en sık karşılaşılan siber saldırıların neler olduğu ve bunun bir kuruluş için ne gibi etkileri veya sonuçları olabileceği anlatılacaktır. Ayrıca, bir şirkette böyle bir saldırının yaşanmasının önlenmesine yardımcı olacak bazı öneriler de paylaşılmaktadır.

  1. Siber saldırının başlıca nedenleri

Şirketlerin geçirdiği dijital dönüşüm ve yeni bilgi teknolojilerinin yoğun kullanımı sonucunda, giderek daha fazla bağlantıya sahip olunmakta ve çok daha fazla veriye erişilebilmektedir.

Ancak bu durum, sunduğu avantajlara rağmen, bilgisayar sistemlerinin sahip olabileceği güvenlik açıklarını fark edip bunlardan yararlanarak zarar veren siber suçluların saldırılarını da kolaylaştırmaktadır.

Siber saldırıya yol açabilecek başlıca nedenler[1] şunlardır:

  • Bilgisayar sistemlerinin güvenlik açığı, yani varlıkları etkili bir şekilde korunmadıkları için riske atan arızalar veya eksiklikler.
  • Çalışanlar tarafından gizli bilgilerin kazara ifşa edilmesi.
  • Özel şirket bilgilerini saklayan elektronik cihazların kaybolması ve çalınması.
  • Şirketin bilgilerini riske atan kötü niyetli ve vicdansız çalışanlar.
  • Üçüncü taraflarca yapılan ihlaller veya kontrol eksiklikleri, yani bir saldırının kurbanı olmaları durumunda siber suçlular, ilişki içinde oldukları diğer şirketlerden bilgilere erişebilir ve onlara da zarar vermenin yollarını arayabilirler.
  • Sosyal mühendislik, yani genel anlamda şirket için büyük değer ve öneme sahip şifreler veya diğer veriler gibi gizli verileri elde etmek için belirli kişilerin manipüle edilmesinden oluşan sosyal mühendislik.

Tüm bu durumlar, farklı şekillerde sunulabilen bir siber saldırının gerçekleşmesini kolaylaştırabilir.

Siber saldırıdan bahsedildiğinde, bir bireyin, bir şirketin veya bir devlet kurumunun bilgi sistemlerine yönelik saldırgan ve zarar verici eylemlerden bahsedilmektedir. Bu sistemler, bilgisayar ağları, veritabanları ve kuruluşun gizli ve değerli verilerini ve bilgilerini depolayan tüm varlıklar olabilir.

Bu saldırıları gerçekleştirirken, siber suçlular genellikle yalnızca bir şirketin veya bireyin itibarını etkilemeyi, değiştirmeyi veya yok etmeyi değil, aynı zamanda faaliyetlerini ve farklı paydaşlarıyla ilişkilerini de zedelemeyi amaçlamaktadır.

Bu nedenle, hızlı ve akıllıca nasıl hareket edileceğini ve etkilerinin nasıl azaltılacağını bilmek için meydana gelebilecek ana siber saldırıları bilmek önemlidir.

Akılda tutulması gereken ilk şey, bu saldırıların hem dış hem de iç olabileceğidir; evet, bazı durumlarda bir çalışanın şirkete gönüllü olarak saldırması olabilir, ancak çoğu zaman bu kazara olur.

  1. Siber saldırı türleri

Şirketlerin maruz kalabileceği en yaygın siber saldırılar şunlardır:

  • Kimlik avı ve hedef odaklı kimlik avı [phishing and spear phishing]: Kimlik avı, güvenilir kaynaklardan gönderilmiş gibi görünen ve alıcıyı kişisel veya şirket bilgilerini riske atacak kötü amaçlı bir bağlantıyı açmaya ikna eden e-postalar veya kısa mesajlardan oluşur. Hedef odaklı kimlik avı ise, güvenini kazandıktan sonra belirli bir kişi veya şirketi hedef alarak değerli veriler elde etmeyi amaçlar. Bu saldırı, tanınmış şirketlere ve kişilere karşı yaygın olarak kullanılır.
  • Zorda bırakma avcılığı veya “balina avcılığı” [waling or whaling[2]]: Bunlar, en üst seviye yöneticiler (CEO’lar ve CFO’lar) ve kuruluşlardaki diğer üst düzey pozisyonlar gibi yönetici profillerine yöneliktir ve erişimleri olan gizli bilgileri çalmayı amaçlamaktadır.
  • Kötü amaçlı yazılım [malware]: Bir bilgi sistemini gizlice ve sessizce etkileyen kötü amaçlı bir program veya koddur. Kötü amaçlı yazılımlar, bilgisayarlara ve diğer bilgi varlıklarına girme, zarar verme ve devre dışı bırakma yeteneğine sahiptir; yani fark edilmeden verileri çalıp silebilir, işlevleri ele geçirebilir ve faaliyetleri gözetleyebilir. Bazı kötü amaçlı yazılımlar fidye yazılımları, Truva atları ve casus yazılımlardır.
  • Korsan yazılım/Fidye yazılımı [ransomware]: Veri ele geçirme olarak da bilinen bu yöntem, bir bilgisayar korsanının elektronik bir cihazı bloke edip dosyaları şifrelemesiyle oluşur; böylece cihaz sahibi, depolanan bilgi ve verilere erişemez.
  • Yapılandırılmış sorgulama dili enjeksiyonu [structured query language injection]: Bir web sayfasının hatalarından ve güvenlik açıklarından faydalanan kötü amaçlı bir kodun sızmasıyla oluşan bir web saldırısıdır. Veritabanlarını çalmak, bilgileri değiştirmek veya yok etmek için kullanılır.

Gerçekleşebilecek diğer saldırılar veya siber tehditler şunlardır: Dağıtık hizmet reddi saldırıları, Truva atları veya parola saldırıları [distributed denial of service attacks, Trojans or password attacks].

  1. Siber saldırıya uğramanın sonuçları

Kuşkusuz, bir siber suçlunun kurbanı olmanın en önemli sonuçlarından biri, şirketin itibarı üzerindeki etkisidir; çünkü bu itibar, şirketin bu tür bir saldırıya maruz kaldığının anlaşılmasıyla azalabilen güvene dayanır.

Ancak bir siber saldırının yarattığı tek etki bu değildir; en az bunun kadar önemli olan başka etkiler de vardır:

Sistemlerin bloke olması, bilgi ele geçirilmesi ve normal şekilde çalışabilmeleri için fidye yazılımlarına odaklanmaları gerektiği için üretim süreçlerinde veya hizmet sunumunda faaliyetlerin durması veya gecikmeler yaşanması [cessation of activities or delays].

  • Ekonomik açıdan oluşan etki [economic impact]: Bir yandan suçlular, bilgilerin fidyesini almak için büyük miktarda para talep edebilirler, yani şirket gasp mağduru olur, diğer yandan da işletme giderleri artar, çünkü sorunun çözümü çoğu zaman teknolojik ve hukuki destek ve uzmanlardan tavsiye gerektirir.
  • Müşteri ve tedarikçi kaybı [loss of customers and suppliers]: Bu, şirketin itibarının ve imajının zarar görmesiyle ilgilidir; çünkü kamuoyu, siber saldırıya uğrayan şirketin savunmasız olduğunu ve kendilerini de riske atabileceğini gördüğü için şirkete güvenmeyi bırakabilir.

Siber saldırıları önlemek için ne yapılmalıdır?

Siber tehdit veya riskin gerçekleşmesini önlemek için öncelikle, zincirin en zayıf halkası olarak kabul edilen kurum çalışanları için Bilgi Teknolojisi güvenliği ve siber güvenlik konusunda eğitim ve farkındalık stratejileri uygulamak esastır. Bunu tutarlı ve etkili bir şekilde yapmak, herkesin erişebildiği varlıkları ve bilgileri iyi kullanmanın, kullandıkları parolalara dikkat etmenin ve olası kimlik avı, kötü amaçlı yazılım veya diğer saldırılara karşı tetikte olmanın önemini anlamasını sağlamak için çok önemlidir. Buna ek olarak, şirketler bir siber saldırıyı önlemeye hazır olmalı, yani sistemlerindeki güvenlik açıklarını ve zayıflıkları zamanında tespit edip düzeltmelerini sağlayan araçlara sahip olmalı ve uygulamalar geliştirmelidir (örneğin etik hackleme[3]).

[1] Metnin İngilizcesi şöyledir: “Vulnerability of computer systems, i.e., failures or deficiencies that put assets at risk because they are not effectively protected; Accidental disclosure of confidential information by employees; Loss and theft of electronic devices that store private company information; Employees with bad intentions and without scruples who put the company’s information at risk; Breaches or lack of controls by third parties, i.e., if they are victims of an attack, cybercriminals can access information from other companies with which they have relationships and look for ways to harm them as well; Social engineering, social engineering, which in general terms consists of the manipulation of specific people in order to obtain confidential data such as passwords or other data of great value and importance to the company”.

[2] Çevirenin Notu: “Wail” sözcüğü, acı, keder veya öfkeden uzun ve tiz bir çığlık atmak anlamına gelen bir fiildir. Güçlü bir duygusal tepkiyi ifade eder ve genellikle yas veya umutsuzlukla ilişkilendirilir. Buna karşılık, “whale” kelimesi esasen bir isimdir ve muazzam boyutu ve zekâsıyla bilinen büyük bir deniz memelisi olan balinayı ifade eder.

[3] Çevirenin Notu: “Etik hackleme”, kötü niyetli saldırganların stratejilerini ve eylemlerini kullanarak bir bilgisayar sistemine, uygulamaya veya verilere yetkisiz erişim sağlama amaçlı yetkili bir girişimdir. Bu uygulama, kötü niyetli bir saldırganın bunları istismar etme fırsatı bulmadan önce çözülebilecek güvenlik açıklarının belirlenmesine yardımcı olur.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.