Özellikle son bir yılda daha da yüksek profilli hale gelen DDoS yani ‘distributed denial of service’ (dağıtık hizmet engelleme) saldırıları, siber saldırganlar tarafından saldırı başlatmanın yeni yolları bulundukça giderek artıyor.
DDoS saldırıları bugün yaşamsal önem taşımakta; çünkü genellikle tüm bilgi işlem kaynakları ve online varlıkları kullanılamaz hale getirmeyi hedefliyorlar. Bir İnternet sitesi, alan adı sağlayıcısı, e-posta, uygulama sunucusuyla da herhangi bir online varlığa yönelik DDoS saldırısı başarılı olursa, hedefini kullanılamaz hale getirebiliyor.
Özellikle son bir yılda saldırıların nedenleri de değişti. Önceki yıllarda saldırganların amacı yalnızca ilgi çekmekti. Bugünse saldırganlar birer İnternet korsanı haline geldi ve ideolojik hareket ediyorlar. Toplumsal bir açıklama yapmak ya da bir olay karşısında tavır koymak için site çökertebiliyorlar. Saldırganlar tarafında tüm dünyada bu değişim ve dönüşüm yaşanırken, saldırı altında olanlar tarafında ise yeteri kadar önlem alındığı söylenemez. Kullanıcıların büyük çoğunluğu siber saldırılara karşı olabilecekleri ya da olmaları gerektiği kadar hazır değiller. Kısa bir süre önce yayımlanan sekizinci yıllık Dünya Güvenlik Altyapısı Raporu, şu sonucu ortaya koydu: Ankete katılan ağ operatörlerinin yarısından fazlası (yüzde 51) siber saldırılara karşı düzenli olarak tatbikat yapmıyor ve dolayısıyla yeterince hazır değiller.
Burada aslında daha geniş kapsamlı bir sorundan söz ediliyor: DDoS saldırılarını azaltma taktik ve stratejilerini genel iş sürekliliği ve risk yönetim planlarına dahil etme gerekliliği. Siber saldırılar dünyasındaki dönüşüm, şirketlerin BT güvenliği ile ilgili çalışmalarını kurumsal risk yönetimi (ERM) ve iş sürekliliği planlarının (BCP) bir parçası olarak konumlandırmalarını gerektiriyor.
Günümüzde şirketler genellikle artan giderlerini kontrol altında tutabilmek için BT güvenliğini operasyonel ve finansal planları kapsamında ele alıyorlar. Oysa likiditeden önce kredibiliteye, yani itibara öncelik verilip BT ile ilgili risk etkenlerinin de organizasyonel güvenlik modellerine dahil edilmesi ve gerekli yatırımların yapılması gerekir. Çünkü iş sürekliliği planlarında yangın, sel ve deprem gibi doğal felaketlerin ardından faaliyetlerin sürdürülebilmesi için yapılması gerekenlere işaret edilirken, BT güvenliği adına izlenecek adımlara nadiren yer verilir. Dolayısıyla burada büyük bir açık bulunduğundan söz edebiliriz. BT güvenliğiyle ilgili açıklar, şirketin faaliyetlerini sürdürmesini doğrudan olumsuz etkileyebilir. Buna bağlı olarak gelir, müşteri memnuniyeti ve itibar kaybı gibi önemli kayıplar ortaya çıkabilir. Dolayısıyla BT güvenliğinin iş sürekliliği planları dahilinde ele alınması bir zorunluluk halini almıştır.
Kurumsal güvenliğin bugünkü en önemli noktası şirketlerin online hizmetlerinin kullanılabilirliğini güvence altına almak ve sürekli kılmak olmalı. DDoS saldırıları, çoğu zaman işletmelerin online ortamda sundukları hizmetleri kullanılamaz hale getirmeyi amaçlar. Örneğin bir e-posta sitesinden e-postalarımıza ulaşılamaması ya da bir e-ticaret sitesinin alışveriş yapılamaz hale gelmesi gibi sonuçlar ortaya çıkabilir. E-ticaret siteleri, müşteri destek uygulamaları ya da e-posta gibi içerik sistemleri için hizmet verememenin maliyeti nispeten daha kolay hesaplanabilir. Online hizmetlerin kullanılabilirliğine yönelik tehditler hem finansal ve yasal açıdan, hem de marka itibarı açısından olumsuz etkileri olabilen dış etkenlerden kaynaklanır. Kısacası DDoS saldırıları, Basel II’de de tanımlandığı üzere sizin sisteminizdeki açıklardan ziyade dış etkenlerden kaynaklanır. Buna karşı alınabilecek önlemlerle birlikte bu konunun iş sürekliliği planlarının temelini oluşturan kurumsal risk yönetimi planlarına dahil edilmesi de büyük önem taşıyor.
Online ortamdaki kritik varlıklarının kullanılabilirliğini sürdürme gereksinimini dikkate almayan tüm iş planları eksik hazırlanmış demektir. Şirketler DDoS saldırılarını önleyici çözümler sayesinde bu saldırıları algılayabilir, sınıflandırabilir ve azaltabilir. Günümüzün artan sibet tehditleri göz önünde bulundurulduğunda, hiçbir ağ operatörü DDoS saldırılarını iş sürekliliği ve risk yönetim planlarının bir parçası olarak görmeme lüksüne sahip değil. Risk gerçekten çok büyük!
Son Yorumlar