İran Tehditleri Teknoloji Devlerinin Gizli Zafiyetini Gözler Önüne Serdi

Bu durum önemli, çünkü dünya artık az sayıda özel dijital platform üzerinde işliyor. "Teknoloji şirketlerini" hedef alan bir tehdit, Kaliforniya'daki şirket merkezlerinde kalmıyor. Bu tehdit; bulut bölgeleri, telekom bağlantıları, dış kaynaklı hizmet sağlayıcılar, içerik dağıtım ağları, uygulama mağazaları ve kimlik doğrulama sistemleri üzerinden yayılıyor. Sıradan bir kullanıcı durumu fark ettiğinde, baskı çoktan altyapının birkaç katmanından geçmiş olabilir.

Bu riski ciddiye almak için iyi nedenler var. ABD devlet kurumları, İran devletine bağlı siber aktörlerin aktif ve yetenekli olmaya devam ettiği konusunda defalarca uyarıda bulundu. Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI ve NSA, yıllar içinde İranlı grupların oltalama (phishing), şifre deneme saldırıları, bilinen yazılım açıklarından yararlanma ve kamu ile özel ağlara yönelik yıkıcı saldırılar kullandığını açıklayan bildiriler yayınladı. 2023 ve 2024'te ABD'li yetkililer, İran'la bağlantılı olanlar da dahil olmak üzere yabancı devlet aktörlerinin kritik altyapıyı ve internete açık sistemleri yokladığı uyarısını sürdürdü.

İran'ın bu alanda bir geçmişi var. ABD'li yetkililer ve özel siber güvenlik firmaları, İran bağlantılı aktörleri 2010'ların başında ABD finans kurumlarına yönelik hizmet engelleme (DDoS) kampanyalarıyla, Körfez'deki şirketlere yönelik yıkıcı faaliyetlerle ve hükümet, telekom, havacılık ve teknoloji ağlarını hedef alan tekrarlanan casusluk faaliyetleriyle ilişkilendirdi. Microsoft, Mandiant, Check Point ve diğer büyük güvenlik firmaları, İranlı grupların sadece klasik casusluğa değil, aynı zamanda etki operasyonlarına ve siyasi gerilim anlarından yararlanan saldırılara odaklandığını belgeledi. Bu bilinen bir döngü: gerilim arttığında, siber operasyonlar genellikle mevcut en ucuz ve en inkâr edilebilir araçlardan biri haline gelir.

Bu geçmiş, ABD'li teknoloji firmalarına yönelik bir tehdidin anlamını değiştiriyor. Bu, tek bir büyük saldırının kesin olduğu anlamına gelmiyor. Riskin geniş bir saldırı yüzeyine yayıldığı anlamına geliyor. Büyük teknoloji şirketleri cazip hedefler, çünkü ekonomik hayatın tam ortasında yer alıyorlar. Bir bulut sağlayıcı; aynı anda devlet araçlarına, hastanelere, lojistik yazılımlarına, maaş sistemlerine ve tüketici uygulamalarına ev sahipliği yapabilir. Bir kimlik doğrulama sağlayıcısı, binlerce kuruluştaki iş yeri sistemlerine kimin gireceğini etkileyebilir. Bir yazılım tedarikçisine veya yönetilen hizmet sağlayıcısına başarılı bir sızma, aynı anda birçok müşteriye yayılabilir.

İşte bu, gizli zayıf nokta. Kamuoyundaki tartışmalar genellikle belirli bir şirketin kendi ağını savunup savunamayacağına odaklanıyor. Daha derin soru ise, daha geniş dijital tedarik zincirinin bu baskıyı kaldırıp kaldıramayacağı. Araştırmalar bunun neden zor olduğunu göstermeye devam ediyor. IBM'in yıllık Veri İhlali Maliyeti raporları, tedarik zinciri ihlalleri ve çalınan kimlik bilgilerini içeren sızıntıların özellikle maliyetli ve kontrol altına alınmasının yavaş olduğunu sürekli olarak ortaya koydu. Verizon'un Veri İhlali Araştırma Raporu, insan hatası, zayıf kimlik bilgisi uygulamaları ve yama yapılmamış uç cihazların yaygın giriş noktaları olmaya devam ettiğini defalarca gösterdi. Başka bir deyişle, ciddi güvenlik bütçelerine sahip çok büyük firmalar bile genellikle daha az güçlendirilmiş ortaklara, yüklenicilere ve eski sistemlere bağımlı.

Bulut hizmetlerindeki yoğunlaşma durumu daha da kötüleştiriyor. Modern internet bazı açılardan dirençli, ancak bazı açılardan da alışılmadık derecede merkezi. Bir avuç şirket bulut bilişim, reklam kanalları, mobil işletim sistemleri, kurumsal verimlilik yazılımları ve küresel içerik dağıtımını domine ediyor. Bu model hız ve ölçek getirdi. Ancak aynı zamanda yeni sistemik riskler de yarattı. Eğer kötü niyetli aktörler büyük bir platformun ön kapısını kıramazsa, yan kapıları hedefleyebilir: üçüncü parti destek araçları, bölgesel telekom operatörleri, korumasız uygulama programlama arayüzleri (API) veya sosyal mühendislik baskısı altındaki çalışanlar.

Olası sonuçlar, birçok okuyucunun sandığından daha geniş. Tüketiciler bunun sıradan hayatla değil, şirketlerin güvenlik ekipleriyle ilgili bir sorun olduğunu düşünebilir. Ancak büyük ABD'li teknoloji firmaları sürekli bir düşmanca baskıyla karşı karşıya kalırsa, etkileri şifre sıfırlama, müşteri destek kanalları, yazılım yamaları, internet yönlendirmesi, bulut gecikmesi ve hesap doğrulama sistemlerine kadar ulaşabilir. Küçük işletmeler bunu hızla hissederdi. Aynı platformlara bağımlı olan yerel yönetimler, okullar ve hastaneler de öyle. Son yıllarda, fidye yazılımları (ransomware) ve yazılım kesintileri, günlük yaşamın dijital arka uç sistemlerine ne kadar sıkı sıkıya bağlı olduğunu zaten gösterdi. Siyasi güdümlü bir kesinti de aynı bağımlılıktan faydalanırdı.

Aşırı tepki verme tehlikesi de var. Kamuoyu önünde tehdit altında olan şirketler, daha zor yapısal düzeltmeleri ihmal ederken, görünür ama dar kapsamlı güvenlik hamlelerine yönelebilir. Halka açık mesajlarını sıkılaştırabilir, geçici izleme ekleyebilir ve açıklamalar yapabilirler, ancak yine de tedarikçi erişimini zayıf kontrol edebilir veya tek hata noktalarını azaltmada başarısız olabilirler. Güvenlik araştırmacıları uzun zamandır dayanıklılığın önleme kadar önemli olduğunu savunuyor. Basit bir dille, firmaların bazı saldırıların başarılı olacağını varsayması ve sorun çıktığında daha az hasara yol açan sistemler inşa etmesi gerekiyor.

Bu, birkaç somut adım anlamına geliyor. Büyük teknoloji şirketleri, ayrıcalıklı erişimdeki gereksiz yoğunlaşmayı azaltmalı, iç ağları daha agresif bir şekilde bölmeli ve internete açık sistemler için yama döngülerini kısaltmalı. Bir ihlali özel bir iç olay olarak görmek yerine, telekom sağlayıcıları, bulut müşterileri ve kritik tedarikçilerle şirketler arası olay müdahalesi tatbikatları yapmalılar. Çok faktörlü kimlik doğrulama (MFA), donanım güvenlik anahtarları ve yüklenici erişimine yönelik daha sıkı kontroller artık lüks eklentiler değil, temel ihtiyaçlar. Birçok kuruluşun hâlâ kör noktalara sahip olduğu bulut ortamlarında daha iyi kayıt tutma da öyle.

Hükümetlerin de bir rolü var. Kamu kurumları, tehdit istihbaratını daha hızlı ve daha sade bir dille, büyük platformlara güvenen ancak seçkin güvenlik ekiplerine sahip olmayan küçük işletmelerle paylaşmalı. Satın alma kuralları, satıcıları daha güçlü varsayılan güvenliğe itebilir. Düzenleyiciler dijital yoğunlaşma riskine daha fazla dikkat etmeli, çünkü birkaç şirkete aşırı bağımlılık kurumsal bir saldırıyı toplumsal bir soruna dönüştürebilir.

Kullanıcılar da güçsüz değil. Şirketler ve bireyler, kritik işlevleri mümkün olduğunda hizmetler arasında dağıtarak, çevrimdışı yedekler tutarak, şifre yöneticileri kullanarak, güçlü kimlik doğrulamayı etkinleştirerek ve acil hesap mesajlarına şüpheyle yaklaşarak zararı azaltabilir. Bunlar mütevazı eylemler, ancak saldırganlar panik ve kafa karışıklığına güvendiğinde önem kazanıyor.

En büyük yanılgı, bu tür tehditlerin casusluk ve askeri gövde gösterisinin uzak dünyasına ait olduğunu düşünmek. Gerçekte, çok daha kişisel bir şeye işaret ediyorlar. Elimizdeki cihazlar ve işlerimizin arkasındaki bulut araçları artık jeopolitik altyapının bir parçası. Yabancı bir askeri örgüt büyük teknoloji firmalarını tehdit ettiğinde, mesele sadece ulusal güvenlik değil. Mesele, insanların her gün güvendiği dijital sistemlerin, onları sessizce yarı yolda bırakmadan baskıya dayanacak şekilde inşa edilip edilmediğidir. Bu artık teknik bir yan hikâye değil. Bu, modern internetin merkezi kamu yararı sorularından biridir.