Siber Güvenliğin En Zayıf Halkası Kişisel E-posta Hesabınız Olabilir

Bu durum önemlidir çünkü üst düzey yetkililerin hayatları keskin çizgilerle ayrılmaz. İş hayatları, kişisel yaşamları, bağlantıları, takvimleri ve hesap kurtarma yöntemleri genellikle iç içe geçer. Bu da saldırganlara fırsatlar yaratır. Özel bir e-posta kutusu seyahat detayları, kişi listeleri, yasal bildirimler, finansal kayıtlar veya şifre sıfırlama bağlantıları içerebilir. Burada gizli belgeler saklanmasa bile, bir saldırgan yine de değerli bir şey elde edebilir: bağlam. Siber operasyonlarda bağlam güç demektir. Suçluların dolandırıcılık yapmasına, casusların ilişkileri haritalandırmasına ve sosyal mühendislerin en dikkatli hedefleri bile kandırabilecek kadar gerçekçi mesajlar hazırlamasına yardımcı olur.

Bu konudaki genel kanıtları görmezden gelmek zor. FBI'ın İnternet Suçları Şikayet Merkezi, Amerikalıların 2023'te 12,5 milyar dolardan fazla siber suç zararı bildirdiğini açıkladı. Bu, bir rekor. Bu vakaların çoğu gelişmiş kötü amaçlı yazılımlarla başlamadı. Oltalama saldırıları, hesap ele geçirme, kimlik hırsızlığı ve taklitçilikle başladı. Verizon'un uzun süredir devam eden Veri İhlali Araştırma Raporu, ihlallerin çoğunda insan faktörünün rol oynadığını defalarca ortaya koydu. Buna çalınan kimlik bilgileri, sosyal mühendislik veya basit hatalar dahil. Google ve Mandiant de yıllardır hesap ele geçirmelerin genellikle gelişmiş kodlarla değil, zayıf kimlik doğrulama alışkanlıklarıyla başladığı konusunda uyarıyor.

Bu durum sadece Amerika Birleşik Devletleri ile sınırlı değil. İngiltere'de Ulusal Siber Güvenlik Merkezi, hem kamu görevlilerini hem de sıradan vatandaşları kişisel e-posta hesaplarını güvence altına almaları konusunda defalarca uyardı. Çünkü bu hesaplar daha büyük sistemlere sızmak için bir basamak olabilir. Almanya ve Fransa'daki siber güvenlik kurumları da benzer tavsiyelerde bulundu. Bu tavsiyeler, devlet destekli grupların hedeflerini izlemek için kişisel iletişim ve bulut hesaplarını kullandığı kampanyaların ardından geldi. Amaç doğrudan sızma olmasa bile, saldırganlar bir kişisel hesaptan baskı kampanyası, şantaj girişimi veya ikna edici bir taklit operasyonu başlatacak kadar bilgi toplayabilir.

Kişisel hesaplar neden bu kadar savunmasız? Cevabın bir kısmı psikolojik. İnsanlar genellikle iş yerinde daha dikkatlidir çünkü izlendiklerini, eğitildiklerini ve denetlendiklerini bilirler. Evde ise daha hızlı hareket ederler. Telefonlarından bir şeylere tıklarlar, eski şifreleri kullanırlar, güvenlik uyarılarını görmezden gelirler ve tanıdık platformları güvenli kabul ederler. Devlete ait bir bilgisayarda asla tanımadığı bir dosyayı açmayacak aynı kişi, akşam yemeği hazırlarken bir giriş bildirimini rahatlıkla onaylayabilir. Saldırganların yararlandığı şey tam da bu dikkat boşluğudur.

Diğer bir neden ise yapısal. Modern dijital hayat, birbiriyle bağlantılı sistemler üzerine kurulu. Kişisel bir e-posta hesabı; bankacılık, mesajlaşma, alışveriş, bulut depolama ve sosyal medya için kurtarma adresi olabilir. Bir telefon numarası, iki faktörlü kimlik doğrulama kodlarının kilidini açabilir. Bir aile takvimi, seyahat planlarını ortaya çıkarabilir. Bir kişi listesi; asistanları, akrabaları, doktorları, avukatları ve iş arkadaşlarını belirleyebilir. Üst düzey bir kamu görevlisi için bu ilişkiler ağı, bir saldırgan için çok daha faydalı hale gelir. Kime yöneleceğini ve hangi hikayeyi anlatacağını gösterebilir.

Bu varsayımsal bir endişe değil. ABD'li üst düzey siyasi figürlerden çalınan e-postaların 2016'da yayınlanması, kişisel ve kampanya hesaplarının nasıl ulusal güvenlik ve siyasi silahlara dönüşebileceğini gösterdi. Sonraki yıllarda araştırmacılar ve istihbarat teşkilatları, yabancı bağlantılı grupların yetkilileri, gazetecileri, muhalifleri ve politika uzmanlarını resmi kanallar yerine kişisel platformlar üzerinden hedeflemeye yönelik tekrarlanan girişimlerini belgeledi. Microsoft, devlet destekli aktörlerin genellikle bireysel kullanıcılara yönelik şifre deneme saldırıları, token hırsızlığı veya oltalama saldırılarıyla işe başladığını belirtti. Çünkü bu yöntemler, korunan bir ağı doğrudan hedeflemekten daha ucuz ve daha sessizdir.

Sonuçları hızla yayılabilir. Önce hedefteki kişiye doğrudan zarar gelir: çalınan mesajlar, ifşa olan kişiler, sızdırılan kişisel detaylar ve olası mali dolandırıcılık. Ardından kurumsal zarar gelir. İş arkadaşları, güvenilir görünen sahte mesajlar alabilir. Güvenlik ekipleri, iç sistemlere dolaylı olarak sızılıp sızılmadığını araştırmak zorunda kalabilir. Düşmanlar, bu olayı kamu güvenini sarsmak için kullanabilir. İhlal sınırlı kalsa bile beceriksizlik veya daha derin bir güvenlik açığı olduğu imasında bulunabilirler. Kolluk kuvvetleri ve istihbarat liderleri için bu itibar zararı kendi başına bir risktir. Ülke içinde güveni zayıflatabilir ve yurt dışına yanlış sinyaller gönderebilir.

Daha derin bir demokratik sorun da var. Vatandaşlara genellikle ulusal siber güvenliğin seçkin kurumların, gizli araçların ve milyar dolarlık savunma sistemlerinin işi olduğu söylenir. Ancak kişisel hesaplarla ilgili olaylar, kamunun siber güvenliğinin sıradan dijital hijyene bağlı olduğunu gösteriyor. Eğer üst düzey yetkililer bile milyonlarca aileyi etkileyen zafiyetler yüzünden savunmasız kalabiliyorsa, siber dayanıklılık sadece teknik bir mesele değildir. Bu aynı zamanda toplumsal bir konudur. Bu dayanıklılık, alışkanlıklara, tasarım tercihlerine ve platformların güçlü güvenliği isteğe bağlı bir özellik yerine varsayılan olarak sunup sunmadığına bağlıdır.

İyi haber şu ki, en iyi savunma yöntemlerinin çoğu gizemli değil. Güvenlik uzmanları uzun zamandır insanları şifre yöneticileri, her hesap için farklı şifreler, oltalama saldırılarına dayanıklı çok faktörlü kimlik doğrulama ve hesap kurtarma gibi önemli işlevler için ayrı e-posta hesapları kullanmaya teşvik ediyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, kamu görevlileri, gazeteciler ve aktivistler gibi yüksek risk altındaki kişiler için donanım güvenlik anahtarlarının değerini vurguladı. Apple, Google ve Microsoft artık daha güçlü hesap koruma programları sunuyor, ancak kullanıcıların bunlara kaydolması ve kullanmaya devam etmesi gerekiyor.

Kurumların da kişisel cihaz ve kişisel hesap güvenliğini utanç verici bir yan mesele olarak görmeyi bırakması gerekiyor. Üst düzey yetkililer için bu, standart risk yönetiminin bir parçası olmalıdır. Bu, kişisel hesapların düzenli güvenlik kontrolleri, aile üyeleri için daha güçlü rehberlik, kamusal görevler ile özel iletişim arasında daha net bir ayrım ve kişisel bir güvenlik açığından şüphelenildiğinde hızlı raporlama kuralları anlamına gelir. Bu adımlar müdahaleci görünebilir, ancak alternatifi daha kötü. Saldırganlar, bir ağın en uç noktasının ona bağlı olan insan hayatı olduğunu zaten anlamış durumda.

Burada, tek bir haberden veya tek bir manşetten daha büyük bir ders var. Siber güvenlik zafiyetleri her zaman filmlerdeki gibi büyük bir güçle gelmez. Genellikle tanıdık bir uygulama, rutin bir giriş veya korkutucu görünmeyecek kadar sıradan özel bir mesaj yoluyla sızarlar. Kişisel hesapların bu kadar önemli olmasının nedeni budur. Artık güvenlik çemberinin dışında değiller. Çoğu durumda, onlar çemberin ta kendisidir. Liderler, kurumlar ve kamuoyu bunu kabul edene kadar, bir sonraki siber saldırı dijital bir savaş sahnesinden çok, gündelik hayattan bir kesit gibi görünmeye devam edecektir.