Kurbanı suçlamaya odaklanan başka bir suç var mı?

Veeam Kurumsal Stratejiden Sorumlu Başkan Yardımcısı Dave Russell, siber suçlarda sadece kurbanı suçlamaya odaklanıldığına ve suçluların cezasız kalmasının olağan karşılandığına dikkat çeken bir yazı kaleme aldı.
27.12.2021 11:53 GÜNCELLEME : 27.12.2021 11:53

Veeam Kurumsal Stratejiden Sorumlu Başkan Yardımcısı Dave Russell, siber suçlarda sadece kurbanı suçlamaya odaklanıldığına ve suçluların cezasız kalmasının olağan karşılandığına dikkat çeken bir yazı kaleme aldı. Russell'ın yayınladığı yazıdan dikkat çeken bölümler şöyle...

"Geçtiğimiz birkaç yıl boyunca, siber saldırılarla ilgili insanların farkındalıkları giderek arttı. Buna rağmen, BT sektörü dışındaki sektörlerde hala siber saldırıların internette gerçekleştiğine ve gerçek bir suç olmadığına dair bir algı var. Siber suçun gerçek bir suç olduğu bilinse de, bazıları için bu suçu ciddiye almak zor olabilir. Bir bilgisayar korsanının çok uluslu bir kurumu çökerterek sarsması düşüncesi pek çok kişiye biraz uzak görünebilir. Bunun nedenlerinden biri, siber suçlularla ilgili, otoriteye karşı çıkmaktan başka yapacak daha iyi bir işi olmayan, canı sıkılan ve bilgisayardan iyi anlayan iş bitirici çocuklar olarak genel bir toplumsal algının olması. Aslında siber saldırıların çoğunun devasa, organize ve zengin suç örgütlerinin işi olduğunu düşünüldüğünde durum farklı bir boyut kazanıyor. Siber saldırıların, maaşınızı ödeyen kurumdan ve vergilerinizi toplayan hükümetten para çalmak amacında olan son derece gelişmiş operasyonlar olduğunu düşündüğünüzde kulağa bir suç olarak geliyor değil mi?

Kurbanı suçlamaya bu kadar odaklanan başka bir suç türü var mı?

Siber suçun mağduru çevrimiçi bir dolandırıcılığa maruz kalmış bir kişi de olabilir sistemlerini geri yüklemek için fidye ödemek zorunda kalan bir kurum da olabilir. Ancak her iki mağduru birbiriyle ilişkilendirmek ve aynı kefeye koymak zordur. İşin aslı, siber suçlar gerçek bir suçtur ve buna maruz kalan kurumlar da mağdurdur. Kurumlar kendilerine karşı işlenen bu suçtan zarar görürler. Bununla birlikte, ihlale uğrayan kurumlar ile bireye yönelik iyi niyet düzeyi de çok farklıdır. Birisi size saldırıya uğradığını, kişisel bilgilerinin ele geçirildiğini ve parasının çalındığını söylediğinde, tepkiniz muhtemelen bu durumun kişinin kendi hatası olduğunu söylemek olmaz. Aynı durum bir kurumun başına geldiğinde ise durum farklıdır. Siber ihlaller, kurumların itibarını kalıcı bir şekilde zedeler. Yanlış bir şey yaptıklarını veya dikkatsizce hareket ettiklerini varsaymaya meyilliyizdir. Veri koruma sektöründe 32 yıldan fazla bir süredir çalışan biri olarak, buna katılıyorum. Siber olayların büyük çoğunluğu önlenebilir ve tüm bu saldırılar aslında, kurumların en iyi uygulamaları takip etmemesinin, kötü dijital hijyen, eski veya yama uygulanmamış yazılımları kullanmaya devam etmelerinin bir sonucudur.

Her ne olursa olsun, neredeyse sadece kurbanı suçlamaya odaklanan ve suçluları adalete teslim etmeye bu kadar az odaklanan başka bir suç türü var mı? Kurumlar mağdurdan ziyade suçlu olarak görülüyor ve üzerinde anlaşmaya varılmış global yasalar ve adalet sisteminin olmaması nedeniyle suçluların cezasız kalması da olağan karşılanıyor. Örneğin, bir ülkeden bir siber saldırgan ABD'ye gidip bir kuruma karşı suç işlerse, bu kişinin adalete teslim edilmesi için eksiksiz bir diplomatik süreç işler. Ancak fidye yazılımı söz konusu olduğunda süreç aynı titizlikte uygulanmıyor.

Siber saldırganlar için risklerin ödüllerden daha fazla olduğu bir ortam yaratmanın tek yolu, uluslararası ve kıtalararası iş birliği. Fidye yazılımı felaketi pandemi sırasında hızlandı ve jeopolitik açmazdan yararlanarak meydanı boş bulan siber suçluları engellemek için hükümetler ve iş dünyası liderleri de çalışmalarını artırdı. Ancak saldırıları önlemek kolay olmayacak; uygulanabilir bütünsel bir çözüm için daha uzun bir süre gerekiyor.

Kendini savunmayı öğren

Bizi kötü adamlardan tamamen koruyan bir adalet sisteminin yokluğunda, temel hayatta kalma içgüdümüz bize kendimizi savunmayı öğrenmemizi söyler. İlk olarak, her kurumun, güvenlik girişimini yönetme yetkisine erişimi olan özel bir BT güvenlik liderine ihtiyacı vardır. Daha küçük işletmeler için, siber güvenlik sorumluluğuna sahip bir kaynağa sahip olmalısınız ve veri koruma konusunda uzmanlaşmanız gerekir. İkincisi, kurumların kusursuz dijital hijyen uygulaması gerekir. Bu, tüm çalışanlar için zorunlu bir eğitimi içerir, böylece potansiyel saldırıları tanıyacak hale gelirler, kimin kime rapor edeceğini ve bunun neden önemli olduğunu anlamalarını sağlar. İyi dijital hijyen ihtiyacını ne kadar çok insan benimserse, o kadar kişi siber saldırılara karşı at gözlüklerini çıkarmış olur.

Velhasıl, kurumlar asla fidye ödememeli. Fidye ödeyen kurumlar, kolay ödeme algısını besliyor ve siber suçlular da saldırılarına devam ediyor. Kurumlar fidye ödemeyi bıraktıklarında şantaj tekniklerinden olan fidye yazılımının popülerliğinde de bir azalma göreceğiz. Siber saldırılara maruz kalan kurumlar gerçekten mağdur olsa da, kullandıkları, işledikleri ve sakladıkları verileri korumaktan sorumlular. Sistemleri tekrar çevrimiçi duruma getirmek için siber suçlulara ödeme yapmak, sürdürülemez bir savunma stratejisidir. Hükümetler fidye yazılımlarının yayılmasını önleme konusunda daha aktif hale geldikçe, fidye ödeyen kurumların bağımsız denetleyiciler tarafından soruşturulduğunu ve haklarında tutanak tutulduğunu görebiliriz.

Açıkça görülüyor ki, kurumlara ve bireylere yönelik amansız ve kitlesel ölçekteki siber suç faaliyetleriyle mücadele etmek, hem kamu hem de özel sektör genelinde uluslararası bir çaba gerektiriyor. Siber suçun olması gerektiği gibi "suç sayılması" ve faillerin adalete teslim edilmesi önemli olmakla birlikte, kurumların müşterilerine ve çalışanlarına karşı kendi yetki alanlarındaki herhangi bir veriyi koruma sorumluluklarını anlamaları da bir o kadar önemli. Bu da yalnızca etkili siber güvenlik savunmalarını kapsamlı bir Veri Yedekleme ve Felaket Kurtarma yaklaşımıyla birleştiren bir Modern Veri Koruma stratejisi uygulayarak yapılabilir."

BİZE ULAŞIN