Siber Suçluların Yeni Gözdesi: Küçük Kasabalar

Rakamlar bu değişimin nedenini açıklıyor. Siber güvenlik firması Sophos, yıllık fidye yazılımı raporlarında eyalet ve yerel yönetimlerin, sağlık ve eğitim sektörlerinin en sık hedef alınanlar arasında olduğunu defalarca belirtti. ABD'de eyalet ve yerel yönetimleri destekleyen Çok Eyaletli Bilgi Paylaşım ve Analiz Merkezi de yıllardır fidye yazılımlarının yerel kamu kurumları için en yıkıcı tehditlerden biri olduğu uyarısında bulunuyor. Federal kurumlar da bu görüşü destekliyor. FBI'ın İnternet Suçları Şikayet Merkezi, ekonomi genelinde yıllık milyarlarca dolarlık siber suç kaybı bildirdi. Ancak bu rakamlar, saldırıları genellikle bildirmeyen veya kesinti maliyetini tam olarak ölçemeyen yerel kurumlardaki hasarı muhtemelen olduğundan az gösteriyor.

Bu saldırıları bu kadar yıkıcı yapan şey sadece istenen fidye değil. Asıl sorun, yerel bir sistem çöktüğünde hizmetlerin durmasıdır. Bir şehirde mahkeme kayıtlarına ulaşılamaz hale gelebilir. Başka bir şehirde vergi ödemeleri durabilir, acil yardım hatları yavaşlayabilir veya okul personeli öğrenci dosyalarına erişimini kaybedebilir. 2023'te ABD'deki birkaç belediye, temel hizmetleri günlerce veya haftalarca aksatan siber olaylar bildirdi. Birleşik Krallık'ta da yerel meclisler son yıllarda ciddi dijital kesintilerle karşılaştı. Hatta bazıları, sistemler devre dışı kaldıktan sonra kağıtla çalışmaya geri dönmek zorunda kaldı. Vatandaşlar için sonuç, soyut bir bilgisayar problemi değil. Ödenmeyen maaşlar, geciken izinler, iptal edilen randevular ve aniden ne kadar kırılgan olduğu anlaşılan kamu hizmetleri anlamına geliyor.

Saldırganlar bu baskıyı anlıyor. Büyük bir şirketin yedek sistemleri, siber sigortası, dışarıdan hukuk danışmanları ve özel bir güvenlik ekibi olabilir. Kırsal bir bölgedeki bir ilçe ofisinin ise bunların genellikle hiçbiri yoktur. Birçok yerel kurum hala eski yazılımlara, desteksiz donanımlara ve maaş bordrolarından halka açık Wi-Fi'a kadar her şeyle ilgilenmek zorunda kalan küçük IT personeline güveniyor. Bazı yerlerde, bir veya iki kişi tüm kasabanın dijital hayatından sorumlu olabiliyor. Suç gruplarının müşteri desteği, müzakerecileri ve hazır kötü amaçlı yazılım araçlarıyla birer şirket gibi çalıştığı düşünülürse bu neredeyse imkansız bir görev.

Araştırmalar bu zayıflıkların yaygın olduğunu gösteriyor. İnternet Güvenliği Merkezi'nin 2023 tarihli bir raporu, yerel yönetimleri "kaynakları kısıtlı ve giderek daha fazla hedef alınan" olarak tanımladı. Hükümet Sorumluluk Ofisi'nin ayrı analizleri de su sistemleri de dahil olmak üzere birçok kritik altyapı sektörünün büyük siber güvenlik açıklarıyla karşı karşıya olduğu konusunda uyardı. Sorun özellikle küçük topluluklarda daha da ciddi. Büyük şehirler bir olaydan sonra en azından eyalet veya federal destek alabilirken, daha küçük yerler genellikle acılarını sessizce çekiyor.

Su sistemleri, bu meselenin neden sadece bir evrak işi olmadığını gösteriyor. Son yıllarda ABD'li yetkililer, içme suyu ve atık su tesislerindeki siber zayıflıkların gerçek halk sağlığı riskleri oluşturabileceği konusunda defalarca uyarıda bulundu. Çevre Koruma Ajansı ve diğer kurumlar, zayıf şifre uygulamalarını, güncel olmayan yazılımları ve korumasız uzaktan erişim sistemlerini tekrar eden sorunlar olarak gösterdi. 2021'de bir hacker, Florida'nın Oldsmar kentindeki su arıtma sistemine erişim sağladı ve sudaki sodyum hidroksit miktarını artırmaya çalıştı. Değişiklik, zarar vermeden önce fark edildi ancak bu vaka, bir siber ihlalin fiziksel dünyaya ne kadar hızlı geçebileceğinin çarpıcı bir örneği oldu. Ayrıca, dev bir ulusal hedefin değil, mütevazı bir yerel kamu hizmeti kuruluşunun nasıl ciddi bir halk sağlığı paniğine sahne olabileceğini de gösterdi.

Okullar da benzer bir hikaye anlatıyor. Çocuklar ve aileler hakkında son derece kişisel kayıtlar tutuyorlar, ancak birçok okulun güvenlik bütçesi sınırlı. Son yıllarda Minnesota, Kaliforniya ve New York gibi eyaletlerdeki okullar, devamsızlık, maaş bordrosu, rehberlik kayıtları ve özel eğitim dosyalarını etkileyen fidye yazılımı olayları veya veri hırsızlığı bildirdi. İhlal sadece teknik değil. Hızla kişisel bir hal alıyor. Bir aile, çocuğunun sağlık kayıtlarının, ev adresinin veya disiplin geçmişinin internette dolaştığından endişe etmeye başlayabilir. Çocuklar için ise zarar, dersler yeniden başladıktan çok sonra bile devam edebilir.

Bu neden şimdi oluyor? Bir neden basit ekonomi. Siber suçlular, ödeme yapma olasılığı yüksek hedefler istiyor. Yerel yönetimler ve kamu kurumları genellikle temel hizmetler sunuyor ve uzun süre çevrimdışı kalamıyorlar. Bu durum, yetkililer kamuoyuna müzakere etmeyeceklerini söyleseler bile, sistemleri hızla geri yükleme baskısı yaratıyor. Diğer bir neden ise erişim. Saldırganların yıkıcı bir kampanya başlatmak için artık seçkin becerilere ihtiyacı yok. "Hizmet olarak fidye yazılımı" (Ransomware-as-a-service) modelinin yayılması, bu alana giriş engelini düşürdü. Suç grupları artık araçlar satın alabilir, altyapı kiralayabilir ve kârı paylaşabilir. Bu da şantajı daha ölçeklenebilir ve daha acımasız hale getirdi.

Bir de politika açığı var. Siber güvenlik harcamaları hala daha büyük bütçeli ve daha güçlü siyasi sese sahip olan büyük kurumları destekleme eğiliminde. Bu arada, yerel kurumlardan seçim sistemlerini, kamu kayıtlarını, polis verilerini, kamu hizmetlerini ve okulları tehdidin gerisinde kalan satın alma kuralları ve personel seviyeleriyle savunmaları isteniyor. ABD'de Kongre ve federal kurumlar, son yıllarda kritik altyapı ve eyalet siber güvenlik planlamasına bağlı yardımlar da dahil olmak üzere hibe ve destek programlarını artırdı. Ancak birçok uzman, yardımın hala düzensiz ve saldırıların hızına yetişemeyecek kadar yavaş kaldığını söylüyor.

Sonuçları hafife almak kolay çünkü gündelik hayata yayılmış durumdalar. Küçük bir şehre yapılan bir fidye yazılımı saldırısı her zaman küresel haber olmaz. Ancak yerel halk için bu, askıya alınmış bir mülk satışı, gecikmiş bir ambulans sevki, kapalı bir kütüphane sistemi veya kasabanın temel kayıtları koruyabileceğine dair kaybolan bir güven anlamına gelebilir. Tekrarlanan saldırılar aynı zamanda kamu kurumlarına olan güveni de aşındırıyor. Eğer bir okul, hastane veya ilçe yönetimi kendi ağını güvence altına alamıyorsa, insanlar haklı olarak başka nelerin risk altında olduğunu sorar.

Çözümler var ve bunlar çoğu insanın düşündüğünden daha gösterişsiz. Temel siber hijyen hala önemli. CISA gibi federal kurumların rehberliği uzun zamandır birkaç kilit adımı vurguluyor: çok faktörlü kimlik doğrulama, çevrimdışı yedeklemeler, ağ segmentasyonu, zamanında yazılım güncellemeleri ve düzenli personel eğitimi. Bu adımlar mükemmel değil, ancak riski keskin bir şekilde azaltıyorlar. Bir ihlal gerçekleşmeden önce kurtarma için planlama yapmak da öyle. Toplulukların test edilmiş yedekleme sistemlerine, net acil durum planlarına ve karşılıklı yardım düzenlemelerine ihtiyacı var ki tek bir yerel ofis ciddi bir saldırıyla tek başına yüzleşmek zorunda kalmasın.

Para da önemli. Yerel siber güvenlik, bir krizden sonra verilen tek seferlik hibelere bağlı kalamaz. İstikrarlı finansmana, ortak hizmetlere ve küçük toplulukların kendi başlarına asla işe alamayacakları yetenekli savunuculara erişmelerini sağlayan bölgesel destek modellerine ihtiyaç var. Bazı eyaletler, ilçelere ve okul bölgelerine merkezi güvenlik operasyonları, tehdit izleme ve olay müdahale desteği sunarak bu yönde ilerlemeye başladı. Bu modelin daha geniş bir desteği hak ediyor.

En büyük yanılgı, siber şantajın esas olarak zengin şirketlerin ve uzak başkentlerin bir sorunu olduğudur. Gerçekte ise ön cephe, genellikle insanların her gün kullandığı ve bozulana kadar neredeyse hiç düşünmediği küçük kasabalardan, mütevazı okul sistemlerinden ve yerel kamu hizmetlerinden geçiyor. Bu hikaye işte bu yüzden önemli. Siber suçlar yerel kurumları vurduğunda, sadece veri çalmaz. Bir toplumu güvenli, işlevsel ve gerçek hissettiren sıradan sistemleri kesintiye uğratır.