Yaşadığımız dünya giderek bilgisayar sistemlerine ve internete bağımlı hale geldikçe, siber suçların sayısı ve türleri de artmaya devam ediyor.
Son siber güvenlik istatistiklerine göre, siber suçlar 2021 yılına kadar dünya çapındaki şirketlere tahmini 6 trilyon dolara mal olacak.
Gördüğünüz gibi rakamlar devasa büyüklükte…
Peki bu kadar zarara yol açacağı düşünülen siber suç tam olarak nedir?
Siber Suç Nedir?
Dijital bir cihaz veya bilgisayar ağı içeren herhangi bir yasa dışı faaliyet, siber suç olarak kabul edilebilir. Çoğu kişi bu terimi bilgisayar korsanlığı faaliyetleri ve virüs tehditleri ile ilişkilendirir, ancak daha geniş tanım internet üzerinden zorbalık ve taciz gibi faaliyetleri de içerir.
Siber saldırılar, hem bireyleri hem de şirketleri etkileyebilir. Fakat siber suçlular, hem yapısal hem de finansal olarak mümkün olan en fazla zarara maruz bırakabilecekleri hedeflere odaklanma eğilimindedir.
Çoğu ülkede, olası her tür siber suçu yasaklayan bir dizi yasa olmasına rağmen, saldırılar her yıl artmaya devam ediyor ve hiçbir yasa veya düzenleme sizin ve işinizin bir siber suçlunun radarına girmeyeceği anlamına gelmiyor. Bu yüzden kendinizi ve işletmenizi siber saldırılardan nasıl koruyacağınızı anlamak için öncelikle en yaygın siber suç türlerini belirlemeniz ve bu saldırıların işinize çeşitli şekillerde nasıl ciddi zararlar verebileceğini anlamanız çok önemlidir.
Siber Suç Türleri Nelerdir?
1. Sosyal Mühendislik ve Kimlik Avı (Social Engineering and Phishing)
Sosyal mühendislik ve kimlik avı saldırıları, mücadele edilmesi en zor siber suçlardandır. Çünkü bu saldırılar, siber güvenlik protokolü ve teknolojisinden çok insan hatasına dayanır. Yakın zamanda yapılan bir araştırma, şirketlerin yaklaşık %83’ünün 2018’de bir kimlik avı saldırısına maruz kaldığını göstermiştir.
Bir sosyal mühendislik saldırısı, bir siber suçlunun bir kişiyle e-posta, telefon veya hatta şahsen doğrudan temas kurmasından kaynaklanır. Örneğin, bir siber suçlu size bir USB veya CD verebilir ve cihazda bulunan bir virüsü yüklemenizi isteyebilir.
Kimlik avı saldırılarında ise, siber suçlular meşru kişilermiş gibi davranır ve parolalar veya kredi kartı numaraları gibi gizli bilgilere erişmelerine izin vermeniz için sizi ikna etmeye çalışır.
İnsanların karşılaştığı çoğu kimlik avı ve sosyal mühendislik saldırıları çok daha incelikli ve inandırıcı olur. Örneğin, kimlik avcıları, şirketin CEO’sunun adını kullanarak şirket çalışanlarına e-posta gönderebilir ve onlardan bir bağlantıya tıklamalarını veya bir şey indirmelerini isteyebilir. Birçok çalışan, e-posta’nın yasal bir şirket e-posta adresinden gelip gelmediğini kontrol etmeden hemen istenileni yapar.
2. Hacklemek (Hacking)
Sosyal mühendislik ve kimlik avı saldırıları, siber suçluların işinize zarar vermek için kullanabilecekleri hassas bilgileri sağlamanız için sizi kandırmaya çalışsa da, bilgisayar korsanları her zaman bu kadar kibar değildir.
“Hack” teriminden bahsedildiğinde çoğu zaman, herhangi bir hile söz konusu değildir. Bunun yerine, bilgisayar korsanları ihtiyaç duyduklarını çıkarmak ve sisteminizde hasara yol açmak için doğrudan bilgisayarınıza veya ağlarınıza saldırır.
Bilgisayar korsanlarının yaptığı bu saldırılar, akıllı telefonlardan bilgisayarlara ve tüm ağlara kadar herhangi bir dijital cihazın bütünlüğünü tehlikeye atabilir. Teknik olarak, bilgisayar korsanlığı mutlaka yasa dışı faaliyetler içermek zorunda değildir, ancak yıllar içinde bu kelime, dijital cihazlara yönelik kötü niyetli saldırılar ve maliyetli veri ihlalleri ile eş anlamlı hale gelmiştir.
Evet, dediğimiz gibi bazı bilgisayar korsanları finansal kazanç için bu saldırıları yapabilir. Fakat bazıları ise protesto ya da eğlence olsun diye de sistemlerinize saldırabilir.
Sonuç olarak, bilgisayar sisteminizdeki veya dijital cihazınızdaki bir güvenlik açığından yararlanılırsa ve bu sistemlere erişimi olmaması gereken kişiler erişim kazanırsa, bu, bir şekilde veya biçimde saldırıya uğradığınız anlamına gelir.
Siber suçluların kullandığı en popüler hacklerden biri, DDoS’tur. Son derece pahalı ve zarar verici olabilen böyle bir saldırıda, ağınızı bunaltmak için trafik artırılabilir, böylece ağa erişimi olması gereken kişiler (örneğin çalışanlarınız) onu kullanamaz. Bu saldırılarda, bilgisayar korsanları, hizmetinizi önceki durumuna geri getirmek için muhtemelen bir ödeme yapmanızı ister.
3. Kötü Amaçlı Yazılım Saldırıları (Malware)
Her tür kötü amaçlı yazılım, cihazlarınızı ve sistemlerinizi farklı şekillerde etkilemek üzere tasarlanmıştır, bu yüzden çok tehlikelidir. Örneğin, popüler bir kötü amaçlı yazılım türü, parolalara erişmek veya bilgisayarınızı uzaktan kontrol etmek ve bilgisayarınızdan belge ve bilgi çalmak için kelimenin tam anlamıyla sizi gözetleyen ve hatta tuş vuruşlarınızı gören casus yazılımdır (spyware).
Fidye yazılımı ise, DDoS saldırılarına benzer şekilde, ağınızı ele geçirir ve onu kilitleyerek, serbest bırakmak için bir fidye ödemenizi ister. Muhasebe veya hukuk firması gibi, genellikle gizli verilerle uğraşan bir işletmeyseniz, fidye yazılımı saldırıları için mükemmel bir hedef olabilirsiniz.
Botnet’lere gelince… Başlangıçta bilgisayarların birbirine bağlanmasına ve koordine olmasına yardımcı olmak için oluşturulmuş olsa da, botnet’ler de genellikle siber suçlular tarafından kötü amaçlı yazılımları yaymak için de kullanılır. Botnet’ler başlangıçta bilgisayar ağlarının bir web sitesinin veya diğer herhangi bir sistemin çalışmasını sağlamak için gereken tekrarlayan görevleri gerçekleştirmesine yardımcı olmak için tasarlandı. Ancak, ele geçirilirlerse kötü amaçlı kodlama ve kötü amaçlı yazılımları sisteminize yaymak için de kullanılabilir.
Siber Suçların Etkileri Nelerdir?
Siber güvenliğe odaklanmamak, işinize aşağıdakiler de dahil olmak üzere çeşitli şekillerde zarar verebilir:
1. Ekonomik maliyetler
Fikri mülkiyet, kurumsal bilgi hırsızlığı, ticarette aksama ve hasarlı sistemlerin onarım maliyeti.
2. İtibar maliyeti
Tüketici güveninin kaybolması, mevcut ve gelecekteki müşterilerin rakiplere kaptırılması.
3. Düzenleyici maliyetler
Kişisel Verilerin Korunması Kanunu, GDPR ve diğer veri ihlali yasaları, kuruluşunuzun siber suçlar nedeniyle düzenleyici cezalara veya yaptırımlara maruz kalabileceği anlamına gelir.
Büyüklüğü ne olursa olsun tüm işletmeler, personellerinin siber güvenlik tehditlerini ve bunların nasıl azaltılacağını anlamasını sağlamalıdır. Bu da, düzenli eğitimle olur.
İşletmenizi Siber Suçlardan Nasıl Korursunuz?
Hangi sektörde olursanız olun, işletmeniz siber suçlara karşı tamamen güvende olamaz. Fakat bir siber saldırı olasılığını azaltmak için işletmenizin alabileceği bazı önleyici tedbirler vardır. Bu tedbirler aşağıdaki şekildedir:
1. Çalışanlarınızı Eğitin
Kendinizi siber suçlardan korumanın en iyi yolu bilgiden geçer. Bu yüzden çalışanlarınızı siber saldırılarla ilgili riskler konusunda ne kadar erken eğitirseniz, tüm şirketinizin durumu o kadar iyi olur.
2. Güvenlik Uzmanlarını İşe Alın
%100 internete dayanan bir SaaS şirketi veya başka türde bir teknoloji şirketiniz varsa, muhtemelen kurum içinde çalışan bir siber güvenlik uzmanı ekibiniz vardır. Ancak, aynı türden ihtiyaçlarınız yoksa veya henüz bunun için bütçeniz yoksa, bilgisayar sistemlerinizi ve ağlarınızı korumanıza yardımcı olması için en azından dışarıdan bir uzmanı işe almalısınız.
İyi bir siber güvenlik uzmanı, işinizi güvende tutmak için yalnızca siber güvenlik değerlendirmeleri yapmak ve koruyucu önlemler almakla kalmaz, aynı zamanda size sistemlerinizi ve ağlarınızı izleme ve güvenlik programınızla ilgili danışmanlık ve düzenli kontroller sağlama yeteneği de sağlar.
3. İş Ortağı Risklerini Değerlendirin
Ağlarınız ve çalışanlarınız, siber suçluların size saldırabileceği tek yol değildir. Sistemlerinize herhangi bir şekilde erişimi olan herhangi bir üçüncü taraf iş ortağıyla çalışıyorsanız, onların da güvenli olduğundan emin olmanız gerekir.
4. İşinizi Sigortalayın
Sigorta, kendinizi siber suçlardan korumak söz konusu olduğunda yapabileceğiniz en iyi yatırımlardan biridir. Bu yüzden doğru sigorta ürünleri ile işinizi de koruyor olmanız gerekir.
5. Bir Müdahale Planı Oluşturun
Şirketiniz bir siber saldırı ile karşı karşıya kaldığında, ne yapmanız gerektiğini bilmek de inanılmaz derecede önemlidir. Bir siber saldırı meydana geldiğinde, şirketinizin uygulayabileceği uygun bir müdahale planı oluşturmak için siber uzmanlarınıza ve ilgili tüm paydaşlara danışın. Bir plana sahip olmak yalnızca saldırıdan daha hızlı kurtulmanıza yardımcı olmakla kalmaz, aynı zamanda müşterilerinize, yatırımcılarınıza ve ortaklarınıza siber saldırı tehdidini ciddiye aldığınızı gösterir.
Siber Suçlar Hakkında En Çok Sorulan Sorular
1. Siber Suçlar Nereye Şikayet Edilir?
Siber suçlarla ilgili şikayetlerinizi, siber suçlar şikayet dilekçesiyle yaşadığınız yerdeki Cumhuriyet Başsavcılığına veya Siber Suçlarla Mücadele Şube Müdürlüklerine yapılabilirsiniz. Fakat bazı suçlar siz şikayet bile etmeden, bir ihbar üzerine savcılık tarafından soruşturulabilir.
2. Siber Suç Cezaları
Siber suç cezaları, 5237 sayılı Türk Ceza Kanunu’nda “Bilişim Alanında İşlenen Suçlar” başlığı altında düzenlenmiştir. 243 ile 245 maddeleri arasında yer alan bilişim suçları aşağıdaki şekildedir:
- Bilişim Sistemine Girme Suçu (TCK m. 243)
- Sistemi Engelleme, Bozma Verileri Yok Etme Veya Değiştirme Suçu (TCK m. 244)
- Banka Veya Kredi Kartlarının Kötüye Kullanılması Suçu: Banka ve kredi kartlarının kötüye kullanılması eylemleri bağımsız bir suç tipi olarak düzenlenmiştir. (TCK m. 245)
- Yasak Cihaz veya Program Kullanma Suçu (TCK m. 245/a)
Yukarıda yer alan farklı suçlara farklı cezalar öngörülmüştür. Bu suçlarının cezaları, 1 yıldan 8 yıla kadar hapis cezası şeklinde belirlenmiştir.
3. Siber Suçlara Karşı Alınacak Siber Güvenlik Önlemleri
Ne yazık ki, kendinizi siber saldırılara %100 dayanıklı hale getirmeniz mümkün değildir. Fakat bilgisayar korsanlarının bilgilerinize erişmesini zorlaştırmanın bazı yolları vardır.
Örneğin, herkese açık Wifi’ye bağlandığınızda, bilgisayar korsanları e-posta’lardan mesajlara, aramalardan bankacılık bilgilerine kadar ağ üzerinden gönderilen veya alınan tüm verilere erişebilir. Herkese açık Wi-Fi kullanırken bilgilerinizin güvende olduğunu bilmenin en iyi yolu, VPN kullanmaktır.
Daha fazla ipucu için ilgili yazımızı okuyabilirsiniz.
4. Siber Suçların Riskleri Nelerdir?
Siber suça maruz kalan kişiler ya da kuruluşlar, hem niceliksel kayıplara hem de niteliksel etkilere maruz kalabilir. Bu kişi ve kuruluşların kişisel hesaplarına (banka, e-posta vb) erişim sağlanabilir, itibar kaybı yaşayabilirler, şantaja maruz kalabilirler veya fidye ile tehdit edilebilirler.
Siber suç işleyen kişilerin riskleri ise, Türk Ceza Kanunu’nda “bilişim” başlığı altında düzenlenmiş olup, farklı suçlara farklı cezalar öngörülmüştür.
5. Siber Suç Örnekleri
En yaygın olarak meydana gelen siber suç örnekleri aşağıdaki gibidir:
- Bilgisayar ağını manipüle ederek yapılan dolandırıcılık
- Verilere veya uygulamaya yetkisiz erişim
- Yazılım korsanlığı içeren fikri mülkiyet hırsızlığı
- Endüstriyel casusluk
- Bilgisayar virüsleri veya kötü amaçlı yazılımlar yazmak veya yaymak
- Çocuk pornografisini dijital olarak dağıtmak