30 Mart 2017

E-Ticarette Siber Güvenlik [Dosya]

Siber tehdit yönetimi artık sadece bir stratejik gerek olmaktan çıkıp, işimizin asıl parçalarından biri haline geldi. Ancak yine de üst yönetimde ve yönetim kurulunda bulunan pek çok yönetici için bu kavram, belirsizliğini ve karmaşıklığını korumakta. Peki, muhtemelen sizlerin de stratejik öneminden dolayı gündeminizde olan siber güvenlik aslında ne demek ve şirketinizin güvenlik seviyesini güçlendirmek ve siber tehlikelere karşı koymak için neler yapılabilir?

Doğru bilinen yanlışlardan biri, siber saldırıların teknoloji sektöründe çalışan, yüksek profilli kurumlara özgü olduğunun sanılmasıdır. Oysa büyük veya küçük her kurumun kaybetmekten korktuğu değerli bilgileri vardır ve aslına bakılırsa karşı karşıya olduğumuz saldırılar, rastgele ve sektör ya da kurum gözetmeksizin otomatik araçlar ile yapılmakta. Bu sebeple, sistemler üzerinde her zayıflık, potansiyel bir açık anlamına geliyor.

Siber saldırıların bir çok olumsuz etkisi olabilir. Olumsuz somut etkilere siber ortamda çalınan sermaye ve zarar gören sistemlerden, saldırılar sonucunda düzenleyici kurumların verdiği cezalara, hukuki yaptırımlara ve tazminatlara kadar birçok örnek verilebilir.

Soyut etkiler tarafında ise karşı karşıya olunan durum çok daha ciddi olabilir: Fikri mülkiyet hakları kayıpları ile oluşan rekabet gücü kayıpları, müşteriler ve iş ortaklarına karşı güven kaybı, dijital varlıklarda yaşanan tehlikeler ile zora girebilecek şirket yapısı ve hepsi bir araya konulduğunda oluşabilecek marka ve kurum imajına yönelik itibar kaybı, bazı uç durumlarda şirketleri iflasa bile sürükleyebilmekte.

Siber risklere dirençli olmak, üst yönetim ve yönetim kurulu seviyesinde farkındalık ile başlar. Bir noktada, bir şekilde siber saldırıların sizin şirketinizi de hedef alacağının bilincinde olmak gerekir. En büyük tehlikelerin nereden gelebileceğini ve sizi siz yapan değerler olarak kurumun özünü oluşturan kaynak ve varlıkların büyük risk altında olduğunun farkına varmanız gerekmekte.

Etkili ve dengeli bir siber savunmanın üç temel özelliği vardır: Güvenli olmak, farkında olmak ve dirençli olmak.

  • Güvenli olmak, riske karşı koruma sağlamaya odaklanmak anlamına gelir. Riskten kastedilen de kurum içinde hem sizin, hem de düşmanlarınızın gözünden bakıldığında en değerli addedilen varlıklara yönelik tehlikelerdir.
  • Farkında olmak, kurum içinde kritik önemi bulunan varlıklar üzerinde tehlike arz edebilecek her tür davranışı önceden teşhis edebilme kapasitesinin geliştirilmesi demektir.
  • Dirençli olmak ise,doğrudan maliyetler, iş kaybı, itibar kaybı ve markanın görebileceği hasarlar gibi etkileri en düşük seviyede tutmak için gerekli araçları harekete geçirebilme kapasitesine sahip olmaktır.

Aşağıda e-ticaret ve sosyal medya sektörlerinde gerçekten yaşanmış örnekler ile “hacklenmenin” utanılacak bir şey olmadığını göstermeyi amaçlıyoruz. Güvenlik ihlalleri tüm kurumlarda ortaya çıkabiliyor. Bunun sebebi kötü yönetilmeleri değil, hacker ve siber suçluların gün geçtikçe daha akıllıca hareket etmeleridir. Yaşanan güvenlik ihlalleri ile ilgili bilgi paylaşımı, herkesin kendisini daha iyi korumasını sağlayacak bir gerekliliktir.

Siber dünyanın son 25 yılı gösteriyor ki, güvenlik ihlalleri ve siber saldırılar kaçınılmaz olarak bir gün, bir şekilde sizin de başınıza gelecek.

E-Ticaret ve Online Ödemeler

online ödeme

Çoğu e-ticaret sitesi veri işleme ve tedarik yönetimi için doğrudan hem internete hem de bir şirketin sunucu uygulama sistemlerine bağlı çalışmakta, bu da internet sitesini kurum dahilindeki önemli bilgi varlıklarına erişmede bir saldırı noktası haline getirmekte.

Bu sektörde en sık görülen saldırı türlerinden biri veritabanı ihlalleridir. Bu saldırılar genellikle isim, ev adresi, telefon numarası, e-posta adresi ve ödeme bilgileri gibi müşteri verilerinin kaybına yol açar. Saldırgan, arkadaşlarına gösteriş yapmaya çalışan ya da sırf eğlencesine ortalığı karıştıran bir “Script Kiddie” olsa bile şirketin itibarı zedelenebilmektedir. Aynı zamanda, olayın nerede gerçekleştiğine bağlı olarak söz konusu hasar, itibar kaybının ötesine de geçebilmektedir. ABD’de birçok eyalet ihlal bildirimini zorunlu kılan kanunlar çıkartmıştır, AB’nin de yakın zamanda hazırlıkları tamamlayarak aynı adımları atması bekleniyor. Bu kanunlar kurumların ihlale uğradıklarını açık bir şekilde ifade etmelerini şart koşmaktadır. Hazırlanmakta olan AB direktifi aynı zamanda ağır para cezaları öngörmektedir. AB’nin ardından ülkemizde de benzer kanunların çıkartılması olasıdır.

Online ödeme sistemleri sıklıkla saldırıya uğrayan kırılgan alanlardan biri haline gelmiştir. Ödeme kabul adımı, müşterinin satın alma sürecinin son safhası olduğu için online faaliyetlerde son derece önem arz etmektedir. Bu nedenle, ödeme sistemine yapılan saldırının maddi etkisi, saldırı süresine bağlı olarak çok büyük olabilmektedir. En nihayetinde, müşteriler ödeme yapmazsa, ürün veya hizmeti satın almaları da mümkün olmayacaktır.

Çoğu e-ticaret sitesi, ödeme işlemlerini ödeme hizmetlerinin daima ulaşılabilir olacağını vaat eden tedarikçilere (PayPal, PayU ve iyzico gibi) emanet etmeyi tercih etmektedir. Ancak bu hizmet sağlayıcılar, hacktivistler tarafından yapılan hizmet engelleme saldırılarına gitgide daha fazla aruz kalmaya başlamıştır.

Ödeme ile ilgili saldırılar aynı zamanda maddi bir kazanım peşinde olan suçluları da cezbetmektedir. Müşterinin kredi kartı bilgilerini dahili bir veri tabanında saklamak alışveriş sürecini kolaylaştıracak bir yöntem gibi görünse de, siber suçlular için oldukça cazip bir hedef oluşturmaktadır. Büyük bir vurgun yapma potansiyeli daha yüksek olduğu için, ödee işlemi satıcılarına saldırmak cazip gelmektedir. Bir kısım ileri seviye saldırılarda da, etkinliği arttırmak adına online teknikler ile geleneksel fiziksel teknikler bir arada kullanılmaktadır.

Müşteriler kurumla hizmet sağlayıcı arasındaki farkı görmediği için, ödeme satıcısına yapılan saldırılar şirketin itibarını zedelemede, doğrudan şirketi hedef alan saldırılar kadar etkili olabilmektedir.

Vaka #1: Müşteri verilerinin kaybedilmesi güven kaybına yol açmıştır

mmw_cyberwar_082610

İlgili kurum

İndirimli kampanyalar sunan ve birçok ülkede internet siteleri ile faaliyet gösteren bir e-ticaret şirketi.

Senaryo

Hackerlar kurumun bilgisayar sisteminin güvenliğini ihlal etmiş ve müşterilerin bilgilerine izinsiz bir şekilde ulaşmıştır.

Saldırganlar ve motivasyonları

Saldırganların kara borsada satmak üzere müşterilere ait kredi kartı bilgilerinin peşinde olduğu tespit edilmiştir.

Kullanılan teknikler

Burada büyük ihtimalle internet sitelerine ve internet uygulamalarına saldırmada en sık kullanılan yöntemlerden biri olan “SQL Injection” kullanılmıştır. Ancak daha gelişmiş bir saldırı biçimi olan “Cross-site scripting” saldırısı veya yeterli seviyede tarama testi yapılmamış olmasından kaynaklanabilecek uygulama kusurlarından faydalanma gibi ihtimaller de göz ardı edilmemelidir.

Faaliyetlere etkisi

50 milyondan fazla kullanıcı adı, parola ve e-posta adresi çalınmış olup, şirketin itibarı ciddi anlamda zedelenmiştir. Müşteri verileri söz konusu olduğu için, kurum ihlali bildirmek durumunda kalmış ve bu gleişme medyanın ilgisini bir hayli çekmiştir. Olay dünya çapında gazete ve televizyon haberlerine konu olmuştur. Ayrıca, kişisel bilgilerin kaybı e-ticaret şirketleri için son derece önemli olan müşteri güveninin kaybedilmesine de neden olmuştur. Bu durum şüphesiz gelirleri de olumsuz yönde etkilemiştir.

Vaka #2: Hırsızlar çalınan verileri kendi kredi kartlarını yaratmada kullanmıştır

cyber-war-button-ars

İlgili kurum

Dünya çapında elektronik işlem hizmetleri sunan büyük bir finansal hizmetler firması.

Senaryo

Bir suç örgütü, şirket sistemlerine yetkisiz erişim sağlamış ve bir yıllık süre zarfında yaklaşık 7 milyon kredi kartına ait manyetik şerit bilgilerini çalmıştır. Daha sonra bu bilgileri ucuz ön ödemeli kartlara programlayarak sahte kredi kartları oluşturulmuş ve pahalı alışverişler için kullanılmıştır.

Saldırganlar ve motivasyonları

Saldırganların amacı maddi çıkar sağlamaktır. Dikkatli hedef seçimi ve saldırı için ileri teknoloji kullanımı iyi organize olmuş bir siber suç grubuna işaret etmektedir.

Kullanılan teknikler

Saldırganlar manyetik şerit bilgilerini içeren ödeme işleme altyapısının önemli bir kısmına nüfuz ederek, bu bilgileri sahte işlemlerde kullanılacak kopya kredi kartları oluşturmak için aktarmıştır.

Faaliyetlere etkisi

Şirket veri ihlalinin kendisine maliyetinin 30 milyon dolar olduğunu açıklamıştır. Bu rakam, sahteciliğe bağlı kayıplar, para cezaları, soruşturmaya ilişkin masraflar, kart ağlarından kaynaklı masraflar ve müşterilere yönelik çabaları içermektedir. Şirketin hem tüketici hem de ödeme kart ağlarındaki müşteriler nezdindeki itibarı ciddi anlamda zedelenmiştir.

Vaka #3: Hacktivistler misilleme yapmıştır

Navy Cyber Defense Operations Command, Watchfloor

İlgili kurum

Ana faaliyet alanı kredi kartı işlemlerini işlemek olan büyük ve global bir finansal hizmet firması.

Senaryo

Bir protesto hareketi, siyasi sebeplerle hareket eden bir hacker grubunun yaptığı eylem çağrısıyla siber terörizme dönüşmüştür. Binlerce kişi firmanın ağını hizmet dışı bırakma amaçlı büyük bir saldırı başlatmış, müşteriler firmanın sunduğu hizmetlere ulaşamaz hale gelmiştir.

Saldırganlar ve motivasyonları

Saldırı, firmanın tanınmış bir internet sitesine yapılan ödemeleri sitenin faaliyetlerinin yasa dışı olduğu yönündeki iddialara dayanarak bloke etme kararı almasıyla başlamıştır. Bu karar internet sitesinin destekçileri arasında dünya çapında bir protestoya neden olmuştur. Katılım için çok fazla teknik bilgi gerekmemesi ve olayın çok destek görmesi, büyük çaplı bir saldırıya yol açmıştır.

Kullanılan teknikler

Saldırının başarısını arttırmak için, hackerlar çok sayıda gönüllünün desteğini almış ve katılımcıların tamamı bilgisayarlarına hep birlikte çalıştırıldığında büyük bir zombi PC ağı oluşturan özel bir saldırı yazılımı kurmuştur. Yazılım, şirket ağına DDoS saldırısı gerçekleştirmek üzere özel olarak tasarlanmıştır.

Talimatlar online sohbet odaları vasıtasıyla gönderilip, tüm katılımcılara saldırıyı başlatmak için zombi ağdaki bilgisayarları kullanmaları söylenmiştir. Saldırıya çok sayıda kişi katıldığı için, şirketin ödeme hizmetlerinde ya 10 saatlik kesintiler yaşanmış ya da hizmetler tamamen devre dışı kalmıştır.

Faaliyetlere etkisi

Saldırının doğrudan maliyetinin 3 milyon dolardan fazla olduğu tahmin edilmektedir. Ancak, olayın genel etkisi çok daha büyüktür ve siber protestoların kurumlara zarar vermede ve kurumların davranışlarını etkilemede nasıl kullanılabileceğini çok iyi göstermiştir. Saldırıdan bu yana, sektördeki diğer kurumlar da aynı grubun gerçekleştirdiği protestoların hedefi olmuştur.



Sosyal medya ve e-bülten ile de EticaretMag'ı takip edebilirsiniz!

EticaretMag Twitter EticaretMag 

Facebook Sayfası EticaretMag Youtube EticaretMag Google+ E-ticaret 

Türkiye Linkedin Grubu E-

ticaretMag RSS E-

ticaretMag RSS

Fikrini söyle

*