Şehirler

20 Mayıs 2024

Siber kuşatma altında: Şehirler kendilerini ne kadar iyi koruyor?

RiskRecon tarafından yapılan yeni araştırmaya göre, şehirler siber tehditler konusunda uyumuyor, ancak verilerini korumak ve kritik hizmetlerin kesintiye uğramasını önlemek için daha fazla çalışmaya ihtiyaç var.

Satta Sarmah Hightower

Contributor

Sadece geçtiğimiz altı ay içinde, St. Cloud, Florida'dan Wichita, Kansas'a, Long Beach, California'ya ve diğerlerine kadar Amerikan şehirleri siber saldırıların hedefi oldu ve hayati kamu hizmetlerini tehlikeye attı. Ancak yakın zamanda yapılan bir araştırma, birçok şehrin bu tehditleri ciddiye aldığını ve siber dayanıklılıklarını güçlendirmek için çalıştığını gösteriyor.

Bir Mastercard şirketi ve önde gelen siber güvenlik derecelendirme ve değerlendirme sağlayıcısı olan RiskRecon, ABD genelinde 271 şehrin son üç yılda güvenlik duruşlarını nasıl değiştirdiklerini analiz ediyor. Ağustos 2021'de şirket bu şehirleri değerlendirdi ve uygulama güvenliğinden web barındırmaya kadar dokuz güvenlik alanındaki performanslarına göre derecelendirdi. O zamandan bu yana RiskRecon, ortalama genel güvenlik derecelendirmesinin 10 puanlık bir ölçekte 7,3'ten 8,1'e yükseldiğini tespit etti.

Ocak ayı itibariyle 221 şehir A veya B notu alarak birçok yargı alanında daha güçlü bir güvenliğe işaret etmiştir.

Mastercard'ın siber güvenlik ürün inovasyonundan sorumlu başkan yardımcısı Rigo Van den Broeck, yine de şehirlerin gardını düşürmemesi gerektiğini söylüyor. "Hiçbir kuruluş hedef alınamayacak kadar büyük ya da küçük değildir. Büyüklüğü ne olursa olsun her kuruluş için bir hacker adayı vardır" diyor.

Mastercard'dan Rigo Van den Broeck, şehirler için en tehlikeli ve düzeltilmesi nispeten kolay güvenlik açıklarından birinin güncel olmayan yazılımları güncellemek olduğunu söylüyor.

Van den Broeck, Mastercard Newsroom ile yaptığı son görüşmede, RiskRecon'un araştırmasının şehirler için mevcut risk ortamı ve kritik sistemlerin ve verilerin nasıl daha iyi korunabileceği hakkında ortaya koyduklarını paylaşıyor.

İyi haber şu ki, hükümetler kendilerini korumak için adımlar atıyor. Kötü haber ise hükümetlerin ve korudukları kamu altyapısının kötü aktörler tarafından giderek daha fazla hedef alınıyor olması. Bunun sebebi nedir?

Van den Broeck: Hepimiz hükümetler ve kamu altyapısına yönelik siber saldırıları detaylandıran manşetleri gördük - örnek sıkıntısı yok. Tüm sektörlerde dijitalleşme uzun yıllardır değişmeyen bir olgudur, ancak tarihsel olarak birçok hükümet uyum sağlamakta daha yavaş kalmıştır. COVID, dijital hizmetler sunmanın artık isteğe bağlı olmaması açısından oyunun kurallarını değiştirdi. Hükümetlerin vatandaşlarına internet üzerinden hizmet verebilmesi kritik hale geldi. Bu hızlı evrim, saldırı yüzeyini önemli ölçüde genişleterek siber suçlular için daha fazla fırsat sağladı.

Saldırıların arkasında kimin olduğunu anlamak çok önemlidir. Bilgisayar korsanları hedeflerini genellikle bir kuruluşun verilerinin hassasiyeti veya kesintisiz çalışmasının ne kadar kritik olabileceği gibi birkaç ortak faktöre göre seçerler. Hükümetler de siyasi motivasyonlu kötü aktörler için başlıca hedeflerdir. Tüm bu faktörleri bir araya getirdiğimizde, hükümetlerin sıklıkla hedef alınması şaşırtıcı değildir.

Kendilerini bilgisayar korsanlarına açık bırakan şehirler için finansal ve operasyonel riskler nelerdir?

Van den Broeck: Bilgisayar korsanları çalınan verileri genellikle gasp girişimlerinde kullanır veya bu bilgileri diğer suçlulara satarak ihlal edilen kuruluşlar için önemli kayıplara yol açar. IBM'in 2023 Veri İh lalinin Maliyeti Raporu, 2023 yılında bir veri ihlalinin küresel ortalama maliyetinin 4,45 milyon dolar olduğunu göstermektedir.

Şehirler söz konusu olduğunda, sağladıkları temel hizmetler ve korumakla yükümlü oldukları hassas veriler nedeniyle daha da büyük bir finansal risk söz konusudur. Bir siber olayla karşılaştıklarında bunun etkisi geniş çaplı oluyor. Örneğin, acil durum personelini etkili kriz müdahalesi için ihtiyaç duydukları gerçek zamanlı bilgilerden mahrum bırakan veya dünyanın en yoğun kütüphane sistemlerinden birinde halka açık bilgisayarlara erişimi sınırlayan ihlaller gördük. Sistemleri tekrar çalışır hale getirmek maliyetli olabilir ve şehirler izleme, dava ve olay müdahalesi ile ilgili maliyetlerle karşı karşıya kalabilir.

Bir de itibar kaybı var ki, özellikle yerel yönetimlerin en çok güvenilen kamu kurumları arasında yer aldığı düşünüldüğünde, halkın güvenini kaybetmek zarar verici olabilir. Buna bir fiyat biçmek zor.

RiskRecon tabiri caizse çitleri nasıl test ediyor?

Van den Broeck: RiskRecon, e-ticaret tüccarlarından çok uluslu holdinglere ve sağlık kuruluşlarına kadar 19 milyondan fazla kuruluşun internet varlığını sürekli olarak değerlendirmektedir. Değerlendirmeler hem geniş hem de derinlemesine olup, bir kuruluşun siber hijyenine ilişkin çıkarımlarda bulunmak için kullanabileceğimiz, güncel olmayan ve savunmasız yazılımlar veya uygun şekilde korunmayan internet iletişimleri gibi kamuya açık kanıtları aramaktadır. Araştırmamız, siber güvenlik hijyeni çok zayıf olan - D veya F olarak derecelendirilen - kuruluşların A dereceli kuruluşlara göre 35 kat daha sık ihlal olayları yaşadığını göstermiştir.

4.45 milyon dolar

IBM'e göre 2023 yılında bir veri ihlalinin ortalama maliyeti

Şehirlerin siber güvenlik duruşlarını iyileştirmelerinin en etkili yolları nelerdir?

Van den Broeck: Mastercard'dan ya da sektörün başka yerlerinden gelen bir dizi rapor ve araştırma, sürekli olarak bir ihlale katkıda bulunan birkaç üst düzey yarışmacıyı tanımlamaktadır. Bunlar arasında, bir süredir güvenlik güncellemelerini alamayan eski yazılımlar ve hassas hizmetlerin halka açık internete maruz kaldığı ve olmaması gereken durumlar yer almaktadır. Veri tabanlarını ve uzaktan erişim araçlarını düşünün.

İyi haber şu ki, son yıllarda izlediğimiz şehirler daha iyi siber hijyene işaret eden daha yüksek genel derecelendirmeler gösteriyor. Değerlendirdiğimiz dokuz güvenlik alanının sekizinde genel bir iyileşme gördük ve kazanımlar e-posta ve alan adı sistemi güvenliği, yazılım yamalama ve web şifreleme dahil olmak üzere doğru yerlerde oldu.

Daha düşük puan alan şehirler için, atabilecekleri en kolay ve en acil adımlar nelerdir?

Van den Broeck: RiskRecon, bir kuruluşun karşı karşıya olduğu sorunun ne kadar ciddi olduğuna ve etkilediği sistemin ne kadar hassas olduğuna bakan bir yaklaşımı savunmaktadır. Güncel olmayan yazılımlar uzun zamandır bir işletme için en tehlikeli güvenlik açıklarından biri olarak hüküm sürüyor ve bu durumun yakın zamanda değişmesi beklenmiyor. Bu bir öncelik olmalıdır.

Güçlü siber hijyen geliştirmek zaman alır, bu nedenle siber güvenlik yolculuğunuz boyunca riskleri azaltmanın yollarını değerlendirmek her zaman önemlidir. Büyüklükleri ne olursa olsun şehirlere yardımcı olabilecek kaynaklar vardır. Devletin çeşitli kademelerindeki siber güvenlik kurumları ve bilgisayar acil müdahale ekipleri, internetin güvenliğini sağlamaya yardımcı olan geniş kapsamlı görevlere sahiptir. Mastercard ayrıca CyberPeace Institute, Global Cyber Alliance ve Shadowserver Foundation gibi ücretsiz siber güvenlik hizmetleri sağlayan çeşitli kuruluşları da gururla desteklemektedir.

Üçüncü taraf tedarikçilere güvenen şehirler kendilerini savunmasız bırakmadıklarından nasıl emin olabilirler?

Van den Broeck: Üçüncü taraf riskinizi anlamak, özellikle genişleyen tedarik zincirlerinin karmaşıklığı ve üçüncü taraf ihlallerinin artan insidansı göz önüne alındığında, kuruluşlar için kritik öneme sahiptir. Siber güvenlikte, benzer kuruluşların belirli yeteneklere ihtiyaç duydukları için aynı tür teknolojileri kullandıkları ve aynı yazılıma güvenmeye karar verdikleri veya hatta bu kuruluşların ihtiyaçlarını karşılayan birkaç özel tedarikçi olduğu bir olgu vardır. Bunun etkisi, bu hizmet sağlayıcılardan veya yazılım tedarikçilerinden birinin bir siber güvenlik olayından etkilenmesi halinde yıkıcı sonuçlar doğurabilecek sistemik bir siber risk yoğunlaşmasıdır.

Cyentia Institute ile yaptığımız "Üçüncü taraf risk yönetiminin durumu" başlıklı son ankette, katılımcıların 23% 'ünün kurumlarının üçüncü bir tarafın güvenlik ihlaline maruz kaldığını belirttiğini gördük. Sağlam bir üçüncü taraf risk yönetimi programı oluşturmak günümüzde bir gerekliliktir. Durum tespitinin sadece tedarikçi işe alım aşamasında gerçekleştiği noktanın ötesindeyiz. Bunun yerine, kuruluşların risklerini yeterince anlamak ve yönetmek için üçüncü taraflarına gerçek zamanlı görünürlük sağlamaları gerekir.

Hedef alınmak için çok küçük olduklarını düşünen şehirlere ne söylersiniz?

İlginç bir şekilde, siber güvenlik riskinin daha küçük şehirlerde ve hükümetlerde beklenmedik bir şekilde ortaya çıktığını gördük çünkü verimlilik elde etmek için birçok kaynağı paylaşıyorlar. Bu, birkaç yıl önce 23 küçük Teksas kasabasını vuran fidye yazılımı saldırısında gördüğümüz gibi, tek bir sistemdeki güvenlik açığının birçok belediyenin hizmetlerini çökertmek için yeterli olabileceği anlamına gelir. Bir siber saldırının hedefi olmayabileceğinizi düşünmek kolaydır, çünkü bir neden hemen belli olmayabilir, ancak görmeye devam ettiğimiz olaylar bunun aksini kanıtlamaktadır.

Bir siber yetenek açığı var. Sağır insanların eğitilmesi yardımcı olabilir

Siber güvenlik işlerini dolduracak yeterli sayıda kalifiye insan yok. Sağır ve işitme engelli kişilerin eğitilmesi siber savunmayı güçlendirebilir.

Devamını okuyun

Bir kadın ofiste bilgisayarın önünde imza atıyor.

Ne arıyorsunuz?

Öne çıkan içerik

Mastercard, küresel kabul ekosisteminde ticaretin büyümesini basitleştirmek ve desteklemek için Merchant Cloud'u başlattı

Gerçek dünyada etki yaratmak için Mastercard Hizmetlerini kullanan öne çıkan ekipleri kutlayan bir müşteri tanıma programı olan Mastercard Onur Çemberi'nin duyurulması