2. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
İÇİNDEKİLER
Siber Saldırılara Karşı Nasıl Önlem Alınır?...................................................................................... 3
Dünya Geneli Siber Saldırıların Genel Trendi Nedir? ...................................................................... 4
Sızma Testi Nedir?........................................................................................................................ 8
Global Riskler Arasında Siber Riskin Yeri ....................................................................................... 9
İş Dünyasında Dijitalizasyon Trendi............................................................................................. 11
Siber Sigorta Neden Gereklidir? .................................................................................................. 12
Bu Zafiyetler Nasıl Giderilebilir?.................................................................................................. 12
Maddi Kayıplar Ne Seviyededir? ................................................................................................. 17
Siber Sigorta Nedir?.................................................................................................................... 18
Siber Sigorta Yaptırmış Bir Firma Siber Saldırıya Maruz Kalırsa Ne Olur? ...................................... 20
Siber Sigortanın Diğer Sigortalardan Farkı Nedir, Ne Gibi Güvenceler Sağlamaktadır?................... 21
Fidye Yazılımları Nedir? .............................................................................................................. 22
Siber Risk Nedir? ........................................................................................................................ 23
Siber Sigorta Nasıl Yaptırabilirim?............................................................................................... 25
Sürekli Gözetim (Continuous Monitoring) Nedir? ........................................................................ 25
Cyber Risk ScoreCard.................................................................................................................. 27
Cyber Risk ScoreCard Kategorileri ............................................................................................... 28
Vulnerability Management......................................................................................................... 29
Cyber Threat Intelligence............................................................................................................ 30
Perimeter Monitoring................................................................................................................. 30
Siber Sigorta Yapan Başlıca Firmalar............................................................................................ 31
Sürekli Gözetim (Continious Monitoring) Hizmeti Sunan Firmalar ................................................ 32
3. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
GİRİŞ
Beyaz Şapkalı Hacker, bilişim suçları işleyen korsanların kullandıkları teknik ve yöntemleri
bilen, korsanların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, kısacası
bilgisayar dünyasının kötü adamları ile aynı bilgi ve beceriye sahip, iyi niyetli (Certified
WhiteHat/Ethic Hacker) güvenlik uzmanlarıdır.
Siber Saldırılara Karşı Nasıl Önlem Alınır?
Saldırganlar her geçen gün geliştirdikleri yeni saldırı türleri ile güvenlik mekanizmalarını
atlatmaya çalışmaktadırlar. Daha önce karşılaşılmamış saldırıların tespit edilmesi oldukça
zordur. Bunların yani sıra yeni tespit edilen bir saldırıya karşı bütün hedef sistemlerin çok hızlı
bir şekilde adapte olmaları gerekmektedir.
Güncel siber saldırılara karşı alınması gereken ilk önlem sistemlerin güncel tutulmasıdır.
Kullanılan işletim sistemi, üçüncü parti uygulamalar, antivirüsler ve kullanılan bütün yazılımlar
mutlaka güncel tutulmalıdır.
Bunların yanı sıra kurumunuza yönelik gerçekleşebilecek saldırıları daha gerçekleşmeden önce
kesmek istiyorsanız belirli aralıklarla Sızma Testi (Pentest) yaptırmanız şart ! Sızma Testinde
siber güvenlik uzmanları hedef sisteme bir saldırgan bakış açısıyla sızmaya çalışır. Uzmanlar,
hedef sistemlere erişebilmek için saldırganların deneyebileceği olası senaryoları test ederler.
Testler esnasında uzmanlar, bir saldırganın yapabileceği gibi aşağıda örnekleri verilen işlemleri
yapmaya çalışır.
Testi gerçekleştiren uzman ya da uzmanlar;
• Sistem üzerinde en yetkili kullanıcı olmaya çalışır.
• Kullanıcı/çalışan bilgilerine erişmeye çalışır.
• Kurum veri tabanlarına erişmeye çalışır.
• Sistem üzerinde herhangi bir açıklık olup olmadığını test ederler.
• Sistem üzerinde bir açıklık var ise bu açıklık istismar edildiğin ne gibi sonuçlar ortaya
çıkacağını anlamaya çalışırlar.
Elde ettikleri bulguları firmaya rapor ederler ve bu açıklıkların kapatılması için önerlerde
bulunurlar.
Bir sistem barındırdığı teknik zafiyetler ile hacklenebileceği gibi Oltalama Saldırıları gibi sosyal
mühendislik saldırıları ile de hacklenebilir. Oltalama Saldırıları, kullanıcıları aldatarak bazı
hassas bilgileri elde etmeyi amaçlayan bir saldırı türüdür. Bu saldırı türüne karşı önlem
alınması oldukça önemlidir. Bu tarz saldırıların önlenebilmesi için network bazında bazı
güvenlik mekanizmalarının kurulması gerekebilir. Ayrıca çalışanların bu saldırı türüne karşı
bilinç seviyesi artırılarak olası zararlar minimize edilebilir.
4. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sistem güvenliğinin devamlılığının sağlanabilmesi için sızma testleri ve çalışanların bilinç
seviyelerinin artırılması, belirli aralıklarla tekrarlanması gereken işlemlerdir. Ancak aralıklı
olarak yapılan bu işlemler sistemin devamlı güvenliğini sağlayamamaktadır.
Bir kurumun, siber saldırılara karşı sürekli bir dayanıklılık kazanabilmesi için belirli aralıklarla
yapılan testler ve eğitimler tam manasıyla yeterli olmamaktadır. Sürekli (continious) bir
güvenlikten söz edilebilmesi için saldırılardan korunmak istenen sistem sürekli (continious)
gözetim altında tutulmalıdır. Saldırganlar, bir sisteme saldırmadan önce internette bazı izler
bırakır, bu izler dark forumlarda yer alan paylaşımlar olabileceği gibi sosyal medyadan
paylaşılan hacktivist bir paylaşım da olabilir. Hedef kuruma yönelik internetteki bu izler sürekli
bir şekilde takip edilerek bir saldırı daha gerçekleşmeden önce tespit edilebilir.
Normshield’ın geliştirmiş olduğu Scorecard, kurumuzu ilgilendiren, internette bulunan birçok
kaynağı sürekli bir şekilde izler ve kurumunuza yönelik herhangi bir tehdit olması durumunda
size haber verir. Konuya ilişkin detaylı bilgi için Sürekli Monitoring yazısını inceleyebilirsiniz.
Sürekli Gözetim (Continious Monitoring), sızma testi gibi belirli aralıklarla yapılan yapılan
kontrollerin yerine geliştirilmiş bir güvenlik mekanizması olmaktan çok, bu mekanizmaların
eksik taraflarını tamamlayan bir yapıya sahiptir. Yani bir sistemin güvenli hale getirebilmesi
için belirli aralıklarla yapılan sızma testlerinin ve çalışan bilinçlendirme eğitimlerinin yanı sıra
Sürekli Gözetim mekanizmalarına da ihtiyaç duyulmaktadır.
Dünya Geneli Siber Saldırıların Genel Trendi Nedir?
Symantec 2016 Internet Security Threat Report1 ’a göre sadece 2015 yılında saldırı amacıyla
kullanılan benzersiz malware sayısı yaklaşık 430 milyon civarlarında. Bu rakam 2014 yılına
oranla %36 artış olduğunu göstermektedir.
1
https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
5. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
2015 yılında gerçekleştirilen Ransomware saldırıları 2014 yılına oranla %35 artarak 363 bine
yükselmiştir. Bu rakam günde 992 adet saldırıya denk gelmektedir. Benzer şekilde 2015 yılında
gerçekleştirilen Web Saldırıları önceki senelere kıyasla büyük artış göstererek 1.1 Milyona
ulaşmış durumdadır.
Siber saldırıların sayısı her geçen gün artmaktadır. Saldırıların bir kısmı tespit edilmesine
yönelik geliştirilen güvenlik mekanizmaları tarafından tespit edilmemektedir.
Hackmageddon2 tarafından yayınlanan istatistiklere göre 2016 yılında gerçekleştirilen siber
saldırıların %33.1 ’i daha önce görülmemiş tarzda gerçekleştirilen saldırılardan oluşmaktadır.
Bu rakam 2014 ve 2015 yıllarında %25 civarlarındaydı. Bu durum saldırganların kendilerini
geliştirerek daha farklı saldırı yöntemleri geliştirdiklerini göstermektedir.
2
http://www.hackmageddon.com/2017/01/19/2016-cyber-attacks-statistics/
6. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Marsh & McLennan Companies firmasının 2016 yılında yayınladığı raporda3 siber saldırıların
küresel ekonomiye yıllık maliyetinin tahmini olarak 445 Milyar Dolar seviyelerinde olduğu
belirtilmiştir. Aynı raporda Siber Güvenlik altyapısının geliştirilmesine yönelik yapılan
harcamalara ilişkin tahmini değer is 75 Milyar Dolar olarak belirtilmiştir.
ITRC 2017 Raporuna4 göre 2017 yılı Ocak ve Ağustos ayları arasında rapor edilen toplam 900
adet Veri İhlali gerçekleşmiştir. Veri ihlalleri ile 2017 yılının ilk 8 ayında toplam 16,844,037 adet
kayıt çalındığı rapor edilmiştir. Firmalar tarafından açıklanmayan vakaların da olabileceği
düşünüldüğünde gerçek rakamın çok daha fazla olacağı öngörülebilir.
Gerçekleştirilen saldırıların sektörlere göre dağılımı incelendiğinde analiz edilen 5 sektör
içerisinden (Business, Educational, Banking/Credit/Financial, Government/Military,
Medical/Healthcare) en çok saldırılan sektör %54’lük pay ile Business sektörü olmuştur.
Business sektörünü %20,8’lik pay ile Medical/Healthcare sektörü ve %16.5’lik pay ile
Banking/Credit/Financial sektörü izlemiştir.
Marsh & McLennan Companies’e göre 2015 yılında gerçekleştirilen siber saldırıların bir önceki
yıla oranla ne kadar artış sağladığı ve hangi sektörlerin bu saldırılardan ne kadar etkilendiğine
yönelik istatistikler aşağıda verilmiştir.
3
https://www.mmc.com/content/dam/mmc-web/Global-Risk-Center/Files/MMC-Cyber-Handbook_2016-web-
final.pdf
4
http://www.idtheftcenter.org/images/breach/2017Breaches/ITRCBreachStatsReportSummary_2017.pdf
7. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Güvenlik altyapınız oldukça güvenli olmasına rağmen Oltalama Saldırıları ile saldırganlar,
sistemleriniz üzerinde çok kolay bir şekilde erişim elde edebilirler. Oltalama saldırıları
insanlara/çalışanlara yönelik gerçekleştirilen bir saldırı çeşitidir. Bu saldırı türünde temel amaç,
kullanıcıları yasal görünüme sahip zararlı sitelere yönlendirerek kullanıcıların hesap giriş
bilgilerini çalmak ya da zararlı bir yazılımı kullanıcı bilgisayarına yükletmektir.
Bu saldırıya karşı bilinçsiz bir çalışan kitlesine sahip bir firmanın gizli bilgileri saldırganlar
tarafından kolaylıkla ifşa edilebilir. APWG tarafından yayınlanan 2016 Global Phishing Survey
raporuna5 göre Zararlı Amaçlara yönelik kullanılmak üzere Register edilmiş domain sayısı
2015’ten bu yana yaklaşık %200 oranında artmış durumda. Sadece 2016 yılında 255,065 adet
Oltalama Saldırısı gerçekleştirilmiştir. Her bir saldırı milyonlarca kişiyi etkilemektedir.
Oltalama saldırıları, her gün yaklaşık 100 milyon kişiye ulaşmakta ve internet kullanıcılarının
yaklaşık %55’i, her hafta bir oltalama sitesi ile karşılaşmaktadır. 2013 yılında yapılan bir
akademik çalışmaya6 göre oltalama saldırılarının %67’si 2 sadece saat içerisinde başlayıp sona
ermektedir. Bu saldırıların güvenlik mekanizmaları tarafından tespit edilme ortalaması ise
yaklaşık 12 saat!
5
http://docs.apwg.org/reports/APWG_Global_Phishing_Report_2015-2016.pdf
6
Khonji, Mahmoud, Youssef Iraqi, and Andrew Jones. "Phishing detection: a literature
survey." IEEE Communications Surveys & Tutorials 15.4 (2013): 2091-2121.
8. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sızma Testi Nedir?
Sızma testi (Penetrasyon Testi); bir bilgisayar sistemi, network ya da Web uygulamasını test
etmek için yapılan siber saldırı simülasyonlarına verilen isimdir. Sızma testinin amacı, bir
saldırganın hedef sistem üzerinde istismar edebileceği zafiyetleri bulmaktır. Sızma testi uzmanı
testler gerçekleştirirken, gerçek bir saldırgan gibi hareket ederek bir sistemin tüm açıklarını,
riskleri ve erişilebilirliği ortaya çıkarmaya çalışılır.
Sızma testleri bu amaç için özel olarak geliştirilmiş otomatize araçlarla ve manuel olarak olarak
yapılabilmektedir. Otomatize araçlar sistemi bilinen zafiyetlere karşı tarar ve bulduğu
zafiyetleri raporlar. Ancak otomatize araçlar mantıksal zafiyetler başta olmak üzere bazı
zafiyetleri tespit etmekte yetersiz kalabilmektedir. Manuel yapılan testlerde sistem bir uzman
tarafından detaylı olarak analiz edilir. Manuel yapılan testlerde test edilen zafiyetlerin hedef
sistemde bulunup bulunmadığı çok daha yüksek başarı oranı ile ortaya konmaktadır.
Bir sızma testi esnasında aşağıdaki adımlar uygulanır;
• Test öncesinden hedef hakkında bilgi toplama,
• Olası giriş noktalarını belirleme, açık kapıların taranması,
• Giriş noktalarında bulunan zafiyetlerin tespit edilmesi
• Tespit edilen zafiyetlerin istismar edilmesi
• Bulunan zafiyetlerin raporlanması
…adımlarından oluşur.
9. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sızma testleri 3 farklı şekilde yapılabilir:
White Box (Beyaz kutu): Sızma testi uzmanı, firma hakkındaki bilgilere firma içindeki yetkili
kişiler tarafından bilgilendirilir. Bu yöntem ile, firmada yer almış, hala çalışmakta ya da ağa
misafir olarak dahil olan kişilerin verebileceği zararlar ortaya çıkarılır, raporlanır.
Black Box (Siyah kutu): Bu yöntemde sadece hedef belirlenir, firma içerisinden herhangi bir
bilgi alınmaz. Sızma testi uzmanı, firmaya zarar vermek isteyen bir hacker gibi davranarak
verilebilecek zararlar gözetilir ve raporlanır.
Gray Box (Gri kutu): Hem white box hem de gray box testlerini kapsar, yani hem içeriden hem
de dışarıdan yapılan test olarak tanımlayabiliriz.
Global Riskler Arasında Siber Riskin Yeri
Siber risk son yıllarda diğer risklere göre çok daha büyük önem kazanmıştır. Protiviti firmasının
The Most Important Risks for 2017 raporuna7 göre dünya genelinde en önemli 10 risk
sıralamasında siber saldırılar sonucu firmaların marka değerine zarar gelmesi riski üçündü
sırada yer alırken beşinci sırada ise kurumlara ait gizli bilgilerin bir siber saldırıda etkilenmesi
yer almaktadır. Listenin tamamı aşağıda verilmiştir.
1. Economic conditions in markets the organization currently serves may signi cantly
restrict growth opportunities
2. Regulatory changes and scrutiny may heighten, noticeably affecting the manner in
which organizations’ products or services will be produced or delivered
3. The organization may not be suf ciently prepared to manage cyber threats that have
the potential to signi cantly disrupt core operations and/or damage its brand
4. Rapid speed of disruptive innovations and/or new technologies within the industry
may outpace the organization’s ability to compete and/or manage the risk
appropriately, without making signi cant changes to the business model
5. Privacy/identity and information security risks may not be addressed with suf cient
resources
6. Succession challenges and the ability to attract and retain top talent may limit the
ability to achieve operational targets
7. Anticipated volatility in global financial markets and currencies may create significant,
challenging issues for our organization to address
8. The organization’s culture may not sufficiently encourage timely identification and
escalation of significant risk issues
9. Resistance to change could restrict the organization from making necessary
adjustments to the business model and core operations
10. Sustaining customer loyalty and retention may be increasingly dif cult due to evolving
customer preferences and/or demographic shifts in the existing customer base
7
https://www.protiviti.com/sites/default/files/united_states/insights/board-perspectives-risk-oversight-most-
important-risks-2017-issue87-protiviti.pdf
10. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Allianz Top Business Risks raporuna8 göre en önemli 20 risk sıralamasında Siber Risk 2015
yılında beşinci sırada iken 2016 yılında üçüncü sırada yer almaktadır. Listenin tamamı
aşağıdadır.
Küresel anlamda hazırlanan bu liste, ülkelere göre değişebilmektedir. Bazı ülkeler için Siber
Riskler ilk sıralarda yer alırken bazı ülkelerde ise daha aşağı sıralarda yer alabilmektedir.
Avrupa ve Amerika’da Siber Riskler ilk 3’te yer alırken, ülkemizde Siber Riskler sıralamaya
ancak 2016 yılında girdi ve şu an 7. Sıradadır.
Risklerin büyük firmalar ve küçük-orta firmalara göre etkileri genelde farklı olmaktadır. Bazı
riskler büyük firmalar tarafından daha fazla ciddiye alınırken bazı riskler küçük-orta ölçekteki
8
http://www.agcs.allianz.com/assets/PDFs/Reports/AllianzRiskBarometerTopBusinessRisks2016.pdf
11. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
firmalar tarafından daha fazla ciddiye alınmaktadır. Aşağıdaki grafikten anlaşılacağı üzere siber
riskler büyük çaplı firmalar tarafından daha fazla önemsenmekte, küçük-orta ölçekteki firmalar
tarafından daha az önemsenmektedir. Ayrıca Siber Riskler büyük firmalar ve küçük-orta ölçekli
firmasında en fazla önem farkına sahip olan risklerden birisidir.
İş Dünyasında Dijitalizasyon Trendi
İnternetin yaygın olarak kullanılması ile iş dünyası da bir dijitalleşme süreci yaşamaktadır. Bu
dijitalleşme süreci ile kullanıcıların tüketim alışkanlıkları değiştiği gibi sektördeki firmalar da bu
değişikliğe ayak uydurmaya çalışıyorlar. Dijitalleşme süreci ile bazı yeni iş alanları doğmuş ve
bazı iş alanları da olumsuz etkilenmiştir. İnternetin küresel anlamda çok fazla kullanılması bir
süredir hepimizin tanık olduğu bir olay. Son yıllarda internet kullanımının yaygınlaşması bir
sonraki aşamaya geçmiş görünüyor. İnternet üzerinden yapılan alışveriş ve para transferi de
son yıllarda büyük oranda artmış görünüyor.
Dünya e-ticaret sektörü, global olarak bakıldığında 2 trilyon dolar civarında. Bu kadar büyük
miktarda paranın döndüğü bir sektör elbette saldırganların da iştahını kabarmaktadır. Küresel
dijitalleşmeye ile değişen kullanıcı davranışlarına ilişkin bazı örnekler şu şekildedir;
12. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
• ABD'de yapılan bir araştırmaya göre tatile gidenlerin yüzde 83 ya da iş seyahatine
çıkanların yüzde 76'sı bunu internet üzerinden organize ediyor.
• ABD'de tatile çıkanların yüzde 96'sı otel planlamasını arama motorundan başlatıyor.
Bu, destinasyon için yüzde 95, havayolu ve uçak bileti için yüzde 89, otomobil kiralama
içi yüzde 80.
• Türkiye'de tur operatörü, online seyahat acentesi, geleneksel seyahat acentesi ve
sadece uçak bileti satan seyahat acentelerinin toplamı 7 bin civarında.
AirBnb, dijitalleşme trendi ile büyük bir ivme kazanmış bir firmalardan birisidir. 2016 yılı
Temmuz ayının ortalarında 100 milyon müşteriye ulaşan dünyanın en büyük alternatif
konaklama platformu Airbnb’nin değeri 30 milyar doları geçmiş durumda. Bu rakam, en büyük
otel zinciri olan Hilton’un değerinden yüzde 30 fazla; Airbnb’nin en yakın rakibi olan
HomeAway’in değerinin ise 8 katı… Airbnb’nin sahip olduğu 2.3 milyon oda ise, dünyanın en
büyük üç otel zinciri Hilton, Marriott ve Intercontinental’ın toplam oda sayısının üstünde.
2016 yılı yılbaşı akşamı 1 milyon rezervasyon alarak rekor rezervasyona ulaşan Airbnb, artık bu
rakamı sıradan bir günde çok rahat bir şekilde geçebiliyor. (Haziran 2016 ayının son haftasonu
1.3 milyon kişi Airbnb üzerinden rezervasyon yapmıştı.)
İnternet kullanımının bu derece yaygınlaşması elbette sanal ortamdan hizmet veren firmaların
saldırganların hedefinde yer almasına neden olmuştur. Buna paralel olarak bu firmalar için
siber güvenlik kavramı da büyük önem kazanmıştır.
Siber Sigorta Neden Gereklidir?
Kurumlar siber saldırıya uğramamak için gerekli birtakım önlemler almaktadırlar. Bu
önlemlerden birisi Sızma Testidir. Siber güvenlik firmaları bir kuruma Sızma Testi yaptıklarında
müşterilerine bir takım geri bildirimler sunmak durumundadırlar. Bu geri bildirimler;
• Kurumun ait hangi sistemlerde zafiyet bulunmaktadır.
• Kurum sisteminde bulunan zafiyetler nelerdir.
• Bu zafiyetlerin kuruma yönelik olabilecek etkilerinin açıklanması
Bu Zafiyetler Nasıl Giderilebilir?
Tespit edilen zafiyetlerin giderilmesi kurumun sorumluluğundadır. Ancak zafiyetin tespit
edilmesinden zafiyetin giderilmesine kadar belli bir miktar süre geçmektedir. WhiteHat’s
Website Security Statistics Report 20159’te yayınlanan, sektörlere yönelik zafiyetlerin
kapatılması için geçen ortalama süreler aşağıdaki şekilde verilmiştir.
9
https://info.whitehatsec.com/rs/whitehatsecurity/images/2015-Stats-Report.pdf
13. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Örneğin, Finance & Insurance sektöründeki firmalar için bir zafiyetin varlığına ilişkin
bilgilendirildiklerin sonra o zafiyetin kapatılması için geçen ortalama süre 160 gündür. Retail
Trade sektörü için bir zafiyetin kapatılması için geçen ortalama süre 227 gündür.
Saldırganlar bir sistemi hacklemeye karar verdiklerinde
hedef olarak seçtikleri sistemi hacklemek için bir zafiyet
bulmaları için ne kadar uğraşmaları gerekir?
Kurum ekosistemleri anlık değişimlerle sürekli değişen dinamik yapılara sahiptir. Bir sistem yıl
içerisinde belirli zaman aralıklarında zafiyet barındırıp bazı zaman aralıklarında zafiyet
barındırmıyor olabilir. WhiteHat’s tarafından yayınlanan raporda 4 iş sektörü için yıl boyunca
zafiyet barındırma sürelerine ilişkin araştırma sonuçları aşağıda verilmiştir.
14. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Örneğin Finance & Insurance sektöründe faaliyet gösteren firmaların %39 u yıl boyunca en az
bir zafiyet barındırmaktadır. Bu sektördeki firmaların sadece %17’si yıl boyunca 30 günden
daha az bir zaman diliminde bir zafiyeti barındırmaktadır. Retail Trade sektöründeki firmaların
ise %60 ı yıl boyunca en az bir zafiyet barındırmaktadır. Bu sektördeki firmaların sadece %11
yıl boyunca 30 günden daha az süre boyunca bir zafiyet barındırmaktadır.
Rakamlar incelendiğinde saldırganların istismar etmek üzere açıklığa sahip bir sistem
bulmasının çok zor olmadığı anlaşılmaktadır.
Kurumlar genellikle, saldırıya uğradıktan sonra güvenlik konusunda daha fazla dikkat etmeye
başlıyorlar. Bu da bir kurumların siber güvenlik altyapılarının güçlendirmesinin önemini ancak
bir kez hacklendikten sonra anladıklarını göstermektedir.
2016 yılında gerçekleşitirilen BlackHat konferansına katılanlar arasında gerçekleştirilen ankete
göre BlackHat katılımcılarının %72’si önümüzdeki 12 ay içerisinde büyük bir hacklenme vakası
yaşayacaklarını düşünüyor.
15. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Cyber Edge Grup tarafından Kuzey Amerika ve Avrupalı şirketlerin katılımıyla gerçekleştirilen
ankete göre 2014 yılında katılımcıların %62 si son 12 ay içerisinde en az bir kez siber saldırıya
uğradıklarını ifade etmişlerdir. 2015 yılı için son 12 ay içerisinde en az bir siber saldırıya
uğradığını belirten katılımcı oranı ise %71’dir.
Aynı anket içerisinde katılımcılara önümüzdeki 12 ay içerisinde bir saldırıya uğrayacaklarını
düşünüp düşünmedikleri sorulmaktadır. 2014 yılı sonuçlarına göre katılımcıların %71’i, 2015
sonuçlarına göre ise %76’sı son 12 ay içerisinde en az bir kez siber saldırıya uğracaklarını
düşündüklerini belirtmişlerdir.
16. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
2015 yılında ISACA tarafından gerçekleştirilen ve 3,435 Bilgi İşlem Uzmanının katıldığı ankette
ise katılımcıların %46’sı 2015 yılında bir siber saldırı beklediklerini belirtmişlerdir.
17. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Maddi Kayıplar Ne Seviyededir?
Verizon Data Breach Investigation Report 2015’e göre siber saldırı sonucu oluşabilecek maddi
zararlara ilişkin tahmin sonuçları aşağıda verilmiştir. Örneğin, 1.000.000 müşteri kaydı olan bir
firmanın hacklenmesi durumunda bu durumun firmaya maliyetinin yaklaşık 1,2 milyon dolar
olacağı tahmin edilmektedir, değişen şartlara göre bu rakamın 27,5 milyon dolara çıkması da
muhtemeldir.
Yapılan anket sonuçlarına göre firmanızın ilerleyen zamanlarda bir saldırıya uğrayacağını
biliyorsanız ve bunun önüne geçmek için aldığınız önlemler yeterli olamıyorsa üstelik başarılı
bir saldırı sonucunda doğabilecek zararlar da çok yüksek ise ne yapmayı düşünürsünüz?
İşte bu durumda siber sigorta yaptırmayı
düşünebilirsiniz.
Siber saldırılar büyük firmaları etkiledikleri gibi küçük ve orta büyüklükteki işletmeleri de
etkilemektedir. Yapılan araştırmalara göre küçük ölçekteki işletmelerin %43’ü 2015 yılı
içerisinde en az bir kez oltalama saldırısına maruz kalmıştır. Ayrıca çalınan her bir kaydın
firmaya maliyetinin 217$ olduğu tespit edilmiştir. 1000 kayıt = 217.000$ anlamına
gelmektedir.
18. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta Nedir?
Siber saldırılar, özel ya da resmi kurumlar için çok büyük riskler taşımaktadır. Sigorta şirketleri,
veri koruma sigortası, veri kurtarma sigortası ya da siber sigorta gibi isimlerle, siber saldırıların
bu kuruluşlar üzerindeki etkilerini en az indirecek sigorta paketleri hazırlamaktadırlar.
Siber saldırılar kurumların bilgi işlem altyapılarında olumsuz etkiler oluşturmaktadır. Ancak bu
saldırıların boyutu sadece sitem bazlı değildir. Bu saldırıların, yasal boyutları, yönetimsel
boyutları, halkla ilişkiler boyutları ve finansal boyutları daha bir çok boyutu bulunmaktadır.
Siber sigorta şirketleri bu durumları analiz ederek siber risklere karşı güvenceler sunmaktadır.
Çünkü bir siber saldırı, kuruma ait birçok gizli bilginin çalınması veya bozulmasının kuruma olan
olumsuz etkilerinin yanı sıra, bir siber saldırı aynı zamanda kurumların saygınlıklarına ve piyasa
değerlerine de olumsuz etkiler yapmaktadır.
Siber sigortalar, bilgilerin ihlal edilmesi ile bağlantılı zararlar ve savunma masraflarını, üçüncü
kişilerin verilerine virüs buluşması, sigorta ettirenin yetkisi dışında üçüncü kişilerin bilgilerine
ulaşılması, sistem kodlarının çalınması, donanımların çalınması, çalışanların bilgileri açık
etmesi gibi bir kısım riskleri kapsamaktadır. Ayrıca Siber Sigortalar ile ağ kesintisi yüzünden
uğranılan gelir kayıpları, güvenlik tehdidinin kaldırılması için üçüncü kişilere yapılan tehdit
ödemeleri ya da elektronik bilgilerin ihmal sonucu zarar görmesi ve yapılan savunma
masrafları isteğe bağlı olarak güvence altına alınabiliyor.
Siber Sigorta çok hızlı büyüyen bir iş sektörüdür. 2014’ten bu yana siber sigorta için yapılan
ödemeler 2 Milyar doları aşmıştır. Sektörün ilerleyen her geçen yılda %100’den fazla büyümesi
beklenmektedir. PWC’ye göre sektör 2020 ya kadar kendini 3 e katlayıp işlem hacmini 7.5
Milyar dolara çıkaracaktır.
19. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta firmalarını yaptığı şey genel manada firmaların güvenlik durumlarını analiz etmek
ve müşterileri için bir sigorta kapsamı oluşturup bunu ücretlendirmektir.
Sigorta şirketi, firmaların siber güvenlik durumlarının belirlenmesi için firmalardan bazı bilgiler
talep eder ve elde ettiği bilgiler ile firmanın siber güvenlik durumunu anlamaya çalışır. Güvenli
mi, değil mi? Ya da ne kadar güvenli? Siber güvenlik durumunun analiz edilmesi için kullanılan
özellikler; kullanılan antivirüs, kullanılan işletim sistemi, kullanılan üçüncü parti uygulamalar
olabilir. Sektörün ilk zamanlarında siber sigorta firmalarının müşterilerinin siber güvenlik
durumlarını anlayabilmeleri için geliştirdikleri uzun kontrol listeleri vardı. Ancak bu şekilde bir
kontrol listesinin sağlıklı bir şekilde doldurulmasının zorluğu bir yana bu tarz bir sistem
müşterinin güvenlik durumunu ifade etmede oldukça yetersiz kalmaktadır. Kontrol listelerinin
yanı sıra sigorta firmaları müşterilerinin siber güvenlik durumlarının analiz edilmesi için Sızma
Testi raporları da kullanılmaktaydılar.
Ancak firmaların siber güvenlik durumları durağan bir yapıya sahip değildir. Bir firmanın siber
güvenliği oldukça dinamik birçok değişkene bağlıdır. Networke bağlanan yeni bir cihaz, yeni
tespit edilen bir zafiyet ya da network yapılandırma ayarlarında yapılacak ufak değişiklikler
sistemi bir anda güvensiz hale getirebilir.
Bu nedenle günümüzde, siber sigorta firmaları risk değerlendirmesi için Sürekli Gözetim
(Continious Monitoring) verilerini de kullanmaktadır. Bu sistem, firmanın siber güvenlik
durumunun gerçek zamanlı olarak değerlendirilmesine olanak sağlamaktadır.
Pricewaterhousecoopers’ın 2016 yılında yayınladığı rapora göre Amerikan firmalarının ⅓’ü şu
an bir siber sigortadan faydalanmaktadır. Siber sigortayı, büyük, küçük ve orta seviyedeki
firmalar satın almaktadır.
2014 ve 2015 yılında siber güvenlik altyapısının geliştirilmesi amacıyla yapılan yatırımlar 3.8
Milyar dolar iken, Siber Sigorta sektörüne ödenen miktar ise 3,2 Milyar dolar olmuştur. Bu
rakamlar sektörün ne kadar hızlı büyüdüğünü göstermektedir.
20. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta Yaptırmış Bir Firma Siber Saldırıya Maruz
Kalırsa Ne Olur?
Elbette sigorta kapsamında belirlenen rakam ne ise ödemelerini alırlar.
Örneğin; Target firması hacklendiğinde 40 milyondan fazla kredi kartı bilgisi ve kişisel bilgi ifşa
olmuştu. Saldırıdan Target firmasının 70 milyon müşterisi etkilendi. Siber saldırının firmaya
maliyeti 248 milyon dolar oldu. Target firmasının açıklamalarına göre kurum, sigorta
kapsamında sigorta şirketinden 90 milyon dolar ödeme almıştır.
Bir başka örnek HomeDepot Eylül 2014’te hacklendi ve 56 milyon kredi kartı bilgisi ifşa edildi.
Saldırının firmaya maliyeti 43 milyon dolar oldu. Sigorta şirketi zararın 15 milyon dolarını
karşıladı.
Siber sigorta firmaları üzerlerine düşen ödemeleri yapıyorlar, ancak ödenen rakamlara
bakıldığında büyük firmaların henüz yeterli kapsamda bir sigorta yaptırmadıkları anlaşılıyor.
21. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigortanın Diğer Sigortalardan Farkı Nedir, Ne Gibi
Güvenceler Sağlamaktadır?
Sisteminizin güvenliğini sağlamak için birçok önlem almış olabilirsiniz, ancak sisteminiz yine de
bir siber saldırıdan etkilenebilir. Sisteminiz bir siber saldırıdan etkilendiği kurumuzun zaman
kalıcı hasarlar almaması için ve zararınızın bir kısmını karşılamak için siber sigortalar devreye
girer. Siber sigorta işletmenin direkt etkilenmesinden kaynaklanan zararları karşıladığı gibi 3.
Şahıslara (müşteri) yönelik olan zararları da karşılayabilmektedir.
Siber risk sigortasının bazı sigorta tiplerine göre karşılaştırılması aşağıdaki grafikte verilmiştir.
22. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Fidye Yazılımları Nedir?
Fidye yazılımlarının 2 farklı türü vardır; şifreleyiciler ve kilitleyiciler. Saldırganlar için temel
amaç şifrelerin ve kilitlerin kaldırılması için cihaz sahibinden fidye talep ederek gelir elde
etmektir.
Bilgisayarınıza şifreleyici bir fidye yazılımı bulaştıysa, bu yazılım bilgisayarınızda bulunan her
türlü veriyi şifreler. Şifrelenen veriler; kaydedilmiş oyun dosyaları, fotoğraflar, veri tabanları,
excel dosyaları, pdf dosyalar olabilir. İçerisinde bir kurum için çok önemli bilgilerin olduğu
cihazlar saldırganlar için yüksek öncelikli hedeflerdir. Örneğin, içerisinde muhasebe
yazılımınızın olduğu ve bütün muhasebe kayıtlarınızın olduğu bir bilgisayar yüksek öncelikli
hedeflerden birisidir. Çünkü muhasebe kayıtları bir kurum için en önemli bilgilerdendir ve eğer
başka bir yerde güncel bir yedeğiniz yoksa fidye bedelini ödeme olasılığınız epey artmaktadır.
Diğer fidye yazılımı türü ise kilitleyici fidye yazılımlardır. Bu tip yazılımlar bilgisayarınızda
bulunan dosyaları şifrelemek yerine bütün sisteminizi kilitler. Bu durumda sisteminize giriş
dahi yapamazsınız.
Günümüzde aktif olarak sistemleri etkilemekte olan birçok fidye yazılımı bulunmaktadır ve her
geçen gün sayısı artmaktadır. Fidye yazılımlarından bütün sistemlerin (Windows, Linux, Mac
OSX, Android) etkilenmesi mümkündür. Ancak bu zararlı yazılımlardan ağırlıklı olarak Windows
ve Android cihazlar etkilenmektedir.
Bir saldırganın zararlı yazılımı kullanıcı bilgisayarına indirtebilmek adına kullanabileceği birkaç
yöntem bulunmaktadır. Bu yöntemler ile belirli sayıda kullanıcının bilgisayarını çok kolay bir
şekilde etkilemeyebilmektedir. Bu yöntemlerden birisi Oltalama Saldırısı ile kullanıcılardan bir
mail ekini indirip tıklamaları için oldukça inandırıcı bir senaryo hazırlayabilirler. Diğer yöntem
ise web sitelerin içerisinde bulunan reklam alanlarına reklam vermektir. Yasal bir siteye
girseniz dahi bazı reklamlar ile karşılaşmaktayız, bu reklamlardan bazıları fidye yazılımı içeren
bağlantıları paylaşmaktadır. Bu durumun bilincinde olmayan bir kullanıcı ilgisini çeken bir
reklama tıklayarak bilgisayarına fidye yazılımı bulaştırabilir.
Fidye bedelini ödeyerek bu durumdan kurtulmayı düşünebilirsiniz. Ancak fidye bedelini
ödemenin bazı sonuçları da beraberinde getirdiğini unutmamak lazım. Öncelikle fidye
bedellerinin ödenmesi saldırganları bu iş için motive ederek gerçekleştirecekleri fidye
saldırılarının artarak devam etmesine neden olur. Bir diğer olası olumsuz sonuç ise parasını
ödemenize rağmen sisteminizdeki etkinin kaldırılmamasıdır. Kaspersky’ın gerçekleştirdiği bir
araştırmaya10 göre fidye bedelini ödeyenlerin %20’si dosyalarını/sistemlerini geri
alamamışlardır. Aslında beklenmedik bir sonuç değil, suçluların adil olmalarını
bekleyemezsiniz.
Eğer sisteminize fidye yazılımı bulaştıysa dosyalarınızın şifresini kendiniz çözemezsiniz.
Ücretsiz bazı şifre çözücüleri deneyebilirsiniz, ancak tüm şifreleyiciler için şifre çözücü
bulunmamaktadır. Özetle, sisteminize bir fidye yazılımı bulaştıysa çözüm için yapılacak pek bir
10
https://www.kaspersky.com.tr/blog/ransomware-faq/2613/
23. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
seçenek kalmıyor aslında. Yapılacak en mantıklı şey sisteminize fidye yazılımı bulaşmaması için
gereken önlemleri almak. Sisteminizin bir saldırıdan etkilenmemesi için alınması gereken
önlemler yazımıza göz atabilirsiniz.
Alacağınız bütün önlemlere rağmen yine de saldırılardan etkilenmeniz mümkün. Bu durumda
ise yapılacak en mantıklı hareket siber sigorta yaptırarak uğradığınız zararı minimuma
indirmek olacaktır.
Siber Risk Nedir?
Siber risk, bir kurumun bilgi teknolojisi altyapısında meydana gelebilecek beklenmedik bir
teknik arıza ya da bu altyapı sistemlerine yönelik olarak gerçekleştirilen siber saldırılar sonucu
kaynaklanabilecek muhtemel finansal kayıp ve marka değerine yönelik oluşabilecek zararları
ifade eden risk durumudur. Siber riskler genel olarak iki ana kategori altında değerlendirilir;
First-Party Riskler ve 3rd Party Riskler:
Genel olarak First Party Riskler, kuruma yönelik gerçekleştirilecek bir siber saldırı sonrası
kurumun sahip olduğu verinin zarar görmesi veya çalınması durumunda doğacak zararları ve
siber saldırı sonrasında kurumun gelirlerinde meydana gelecek olumsuz etkileri kapsar.
Veri hırsızlığından, veri ihlalinden veya bir virüsten kaynaklanan ve First-Party Risk Kapsamında
değerlendirilen risk başlıkları şunlardır;
• Veri Kaybı
• Yazılımsal Hatalar,
• Verilerin şifrelenerek, şifrenin çözülmesi karşılığında fidye istenmesi
• Ağ kesintisi sonucu doğacak zararlar
• Kurum verilerinin silinmesi ve manipüle edilmesi
• İş Durması ve/veya Yavaşlaması
• Çalınan Verilerin İfşa Edilmesi Riski
• İtibar Kaybı
3rd Party Riskler, siber saldırının poliçe sahibi olan kurumun dışında saldırıdan etkilenen kişi
ve kurumlara yönelik olan risklerdir. Bu riskler, veri ihlalinden veya diğer siber olaylardan
etkilenen üçüncü taraflardan gelen dava veya hak taleplerini içerir. Bir kurumun içi bir iyi siber
güvenlik sigortası hem First Party hem de 3rd Party riskleri kapsamalıdır. 3rd Party Riskler
kapsamında değerlendirilen risk başlıkları şunlardır;
• Security and privacy breaches
• Investigation of privacy breach
• Customer notification/PR expenses
• Multi-media liability
• Loss of third-party data
• Third-party contractual indemnification
24. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber riskleri tamamen yok edecek bir çözüm ne yazık ki bulunmamaktadır. Bu nedenle
işletmeler için hangi siber risklerin azaltılmasına yönelik çalışmaların yapılacağına karar
verilmesi önemli bir problemdir. Günümüzde bu karar verme işlemi çeşitli zafiyetlerin neden
olduğu zararların analiz edilmesi ile yapılmaktadır.. Alınan önlemlerin olası siber tehditleri
engelleyip engellemediği yada ne derece engelleyebildiği, çoğunlukla net bir şekilde ortaya
konamamaktadır.
Hızlı değişen siber riskleri azaltmaya yönelik yapılan yatırımların ne kadar işe yaradığının
yorumlanması ve analiz edilmesi bu kadar zor iken bu alana nasıl yatırım yapmak gerekli ?
Bir veri ihlalinin tam olarak ne kadar maddi zarara neden olacağının önceden hesaplanması
oldukça zor bir iştir. Kurumlar genellikle siber risklerle baş etmek için diğer risk durumlarına
uyguladıkları yöntemleri --gelir kaybını minimuma indirecek aksiyonlara odaklanmak--
kullanmaktalar. Ancak siber tehditler ve siber riskler daha iyi analiz edilebilirse daha yerinde
aksiyomlar alınabilmesi için analizler yapılabilir.
İtibar, bir firma için en değerli varlık olmakla birlikte, koruma en zor olan varlıklardan birisidir.
Firmalar için marka değerine gelebilecek zarar, anlık gelir kayıplarına nazaran çok daha
önemlidir. Çünkü marka değerine gelecek zarar geleceğe yönelik uzun vadeli gelir kaybı
anlamına gelmektedir. Bu nedenle siber risklerin analiz edilmesi ve karşı önlemler alınması
yöneticiler için oldukça önemlidir. Siber riskleri azaltmaya yönelik alınan tedbirler, firma için
her yıl yüzlerce milyon dolar kayıpları engelleyebilir.
Siber risk analizinin ilk adimi şirketin önemli varlıklarını (assests) ve bu varlıkların zafiyetlerini
belirlemektir.
Bir siber saldırı sonucunda doğabilecek zararlar, müşteri kaybından kaynaklanan gelir kaybı
olabileceği gibi saldırı sonrasında sistemleri onarıcı düzenlemeler, adli bilişim analizleri ve
danışmanlık masrafları da olabilir. Müşteriler tarafından güven kaybı genellikle saldırganların
kritik verilere erişmesi sonucunda daha büyük olmaktadır.
Yöneticiler, geçmiş deneyimlere göre siber riskleri azaltıcı bazı tedbirler alabilirler, ancak
bunların yanı sıra yöneticilerin, siber riskleri iyi analiz ederek firma öncelikleri belirlemesi ve
riskleri azaltacak aksiyomlara nasıl ve ne kadar yatırım yapılacağını yönetmeleri
beklenmektedir.
Peki siber risklerin analiz edilmesi için yöneticiler ne gibi ölçütler kullanmalı? Bu risk ölçümleri
nasıl elde edilmekte?
Bu sorulara farklı iş sektöründeki insanlar farklı cevaplar verecektir. Ancak herkes tarafından
kabul edilen bir gerçek ise risk analizinin yapılabilmesi için sağlıklı verilere ihtiyaç
duyulmaktadır ve bu veriler ile risk modellerinin oluşturulması gerekmektedir. Günümüzde
siber risk analizinin yapılabilmesi için kullanılan en efektif yöntemlerden birisi Sürekli Gözetim
(Continuos Monitoring)’dir.
25. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta Nasıl Yaptırabilirim?
Artık bütün sigorta şirketleri bilgi güvenliği sigortası yapmaktadır. İstediğiniz sigorta şirketi ile
sigorta kapsamında bulunmasını istediğiniz güvenceleri belirtip siber sigorta yapabilirsiniz.
Sürekli Gözetim (Continuous Monitoring) Nedir?
Siber saldırılar günümüzde bir kurum için en büyük tehditlerden birisidir. Bir siber saldırı
sonucu maddi zararlar oldukça yüksek olabilir, ayrıca marka değerine gelecek bir zarar kurum
gelirlerini uzun yıllar boyunca olumsuz yönde etkileyebilir ve onarılması için ciddi kaynaklar
harcanması gerekebilir.
Kurum ekosistemleri anlık değişimlerle sürekli değişen dinamik yapılara sahiptir. Bir sistem yıl
içerisinde belirli zaman aralıklarında zafiyet barındırıp bazı zaman aralıklarında zafiyet
barındırmıyor olabilir.
Bir siber saldırıdan korunabilmek için öncelikle kurum iç ağınızı güvenli hale getirecek bir takım
önlemler almanız gerekmektedir. Ancak kurum varlığınız sadece iç network ağınız ya da web
uygulamalarınızdan ibaret değildir. İnternette, sosyal medyada, forumlarda, dark webde ve
daha birçok yerde kurumunuz ile ilgili bir takım şeyler konuşuluyor, hatta siz farkında olmadan
birileri firmanıza ilişkin gizli bir takım bilgileri satmaya çalışıyor olabilir. Bazı saldırganlar sizin
kurumunuzda bulduğu bir güvenlik açığını diğer saldırganlarla paylaşıyor olabilir ya da bütün
halka açıklıyor olabilir. Belki de bir saldırgan sizin kurum isminizi kullanarak bir domain satın
alıp o domain üzerinden müşterileriniz dolandırmak istiyor olabilir. Özetle iç network ağınızla
ya da web uygulamalarınızla ilgili olmasa dahi internet ortamında firmanızı tehdit edebilecek
bir çok unsur bulunabilmektedir.
Sanal ortamda kurumuza ait tehditlerden haberdar olmanız ve bir saldırgan gözüyle
bakıldığında kurumunuzun dışarıdan nasıl göründüğünü analiz edebilmeniz için ve kurumuzun
internet üzerindeki varlıklarını devamlı tarayan bir gözetim mekanizmasına ihtiyacınız vardır.
Sürekli Gözetim mekanizmasında alacağınız geri bildirimler ile bir saldırıyı daha başlamadan
engelleyebilir ve hem sizi hem de müşterilerinizi büyük kayıplar vermekten koruyabilirsiniz.
Olası siber tehditlere zamanında müdahale edilebilmesi için Sürekli Gözetim mutlaka gerekli
bir güvenlik mekanizmasıdır. Dünya genelinde Sürekli Gözetim yapan firmalar hakkında bilgi
alabilmek için bu yazıyı inceleyebilirsiniz.
Normshield, ülkemizde Sürekli Gözetim hizmet veren yerli tek firma konumundadır.
Normshield geliştirdiği Scorecard mekanizması ile kurumları ilgilendiren internetteki tehdit
varlıklarını devamlı tarayarak olası bir zararlı durum tespit edildiği takdirde müşterilerini
uyarmaktadır. Böylelikle kurum, bir saldırıyı henüz başlamadan engelleyebilmekte ya da o
tehdit varlığını gözetim altına alabilir.
Scorecard, kurumunuza dair internet üzerinden erişebilen bilgilerini tarayan bir servistir.
Normshield, taradığı veri kaynaklarında; kurumuza yönelik kötü amaçlı bir paylaşım, kurum
çalışanlarınıza ait hesaplar için hacklenmiş e-mail ve parolalar, kurum müşterilerine yönelik
26. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
gerçekleştirilen oltalama saldırıları gibi durumları tespit eder. Ardından 18 farklı risk durumunu
analiz ederek kurumuza ilişkin bir skor hesaplar. Bu keategorilere ilişkin sunulan detaylı
raporlandırma, kurumuza yönelik olan riskleri azaltmanızda yol gösterici olur.
Scorecard, kurumuza ilişkin bu verileri toplarken Open Source Intelligence (OSINT) den
faydalanmaktadır. Kurumuza yönelik doğrudan erişim ya da aktif bir tarama ile edilen bilgiler
kullanılmamaktadır. Kullanılan veriler tamamıyla pasif olarak elde edilir. OSINT e ilişkin
diyagram aşağıda verilmiştir. Scorecard için detaylı bilgiyi Normshield - Scorecard yazısından
edinebilirsiniz.
27. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Cyber Risk ScoreCard
Modern dünyada, bütün iş sektörüne yönelik en büyük tehditlerden birisi siber saldırılardır.
Başarılı bir siber saldırı sonucu firmaya verilecek zarar; gelir kaybı, sisteme zarar verme ve /
veya halkın gözünde itibar kaybı şeklinde olabilir. Siber saldırılardan korunabilmek için
firmanıza yönelik güvenlik açıklarını tespit edecek bir güvenlik mekanizmasına ve bu açıklıkları
ortadan kaldırabilme yeteneğine sahip bir ekibe ihtiyacınız vardır. Normshield’in pasif siber
istihbarat modülü işletmenizi siber saldırılardan korumak için kullanabileceğiniz faydalı bilgiler
sunmaktadır.
Cyber Risk Scorecard, bilinen ancak henüz kapatılmamış güvenlik açıkları ve açık ağ bağlantı
noktaları gibi olası güvenlik risklerinden genel olarak internet üzerinden erişilebilen verilerinizi
tarayan bir hizmettir. Scorecard ayrıca, kurumunuz hakkında saldırganlar tarafından internete
sızdırılmış e-mail adresi, şifre ve kaynak kod gibi varlıkları taramasının yanı sıra kurumunuz
çalışanlarını / müşterilerini aldatmaya yönelik olarak kurulmuş sahte websiteleri, mobil
uygulamaları ve diğer ürünleri de sürekli bir şekilde taramaktadır. Bu bilgilerin elde
edilebilmesi için birçok sosyal medya ortamı, dark webler, dark forumlar ve daha birçok veri
kaynağı sürekli gözetim altında tutulmaktadır. Scorecard, elde ettiği verileri analiz eder ve
sonuç olarak kurumuzun güvenliğini ifade eden bir puan ile birlikte kurumuzun zayıf olduğu
güvenlik noktaları hakkında okunması kolay bir rapor hazırlar.
Bu rapor, şirketinizin karşılaşabileceği olası güvenlik risklerini belirlemenize ve bu riskleri
hafifletmek için gerekli adımları atmanıza yardımcı olur. Tüm bunlar yaparken Scorecard,
hiçbir zaman işletme varlıklarınız üzerinde aktif bir tarama yapmaz ve kurumunuz sistemlerine
doğrudan müdahalede bulunmaz.
Scorecard, bilgi toplamak için Açık Kaynak İstihbaratı (Open Source Intelligence - OSINT)’dan
faydalanır. Saldırganlar ve yasal güvenlik firmaları güvenlik açıkları ve daha farklı bir çok bilgi
için sosyal medya, websitesi ve daha birçok kaynağı sürekli bir şekilde taramakta ve elde
ettikleri bilgileri forumlarda ya da kendi websiteleri gibi kaynaklarda belirli aralıkla
paylaşmaktadırlar.
28. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Birçok farklı birey ve kurum tarafından sağlanan bu verilerin tamamına Açık Kaynak İstihbaratı
(OSINT) denir. OSINT, Scorecard analizi için kullanılan birincil veri kaynağıdır.
OSINT’da yer alan veri kaynaklarına ilişkin grafik aşağıda verilmiştir. Bu veri kaynaklarından
bazıları; hacker forums, sosyal medya, Google, sızdırılmış veritabanları, paste sites, VirusTotal,
Censys, Cymon, Google Safe Browsing.
Cyber Risk ScoreCard Kategorileri
Normshield Scorecard bir şirketi on dokuz güvenlikle ilgili kategoride ve bir bilgilendirme
kategorisinde olmak üzere 20 farklı kategoride değerlendirir. Her kategori, bir firmanın siber
güvenlik durumunun farklı bir yönünün değerlendirilmesi için faydalı bilgiler sağlamaktadır.
Örnek bir Scorecard raporu çıktısı aşağıda verilmiştir.
Güvenlikle ilgili kategoriler üç ana gruba ayrılmıştır:
(1) Vulnerability Management, (2) Cyber Threat Intelligence, (3) Perimeter Monitoring.
29. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
NormShield Cyber Risk Scorecard, yaptığı analizler sonucu yirmi risk kategorisinin her biri için
bir skorlama yapar. Skorlama A-F arası bir değer almaktadır. “A”, “çok iyi” ve “F” ise “çok kötü”
yü ifade etmektedir. Puan kartının pasif sürümü, kurum sistemlerine ve ağ varlıklarına
doğrudan müdahalede bulunmaz. Scorecard, 3rd party vendor’lerin değerlendirilmesini ve
siber sigorta müşterilerinin değerlendirmesini kolaylaştırır.
Vulnerability Management
Vulnerability Management, sistemlerin saldırıya açık zafiyetleri ve sistemin zayıf yönlerini
tanımlar. Bu kategori grubu sayesinde güvenlik ekibinin tespit edilen açıkları istismar
edilmeden önce kapatması ve mevcut sistemin iyileştirmesine yönelik çalışmalar yapılması
sağlanır. Vulnerability Management kategorisi altı alt kategoriden oluşur. Her bir kategori için,
şirketin güvenlik altyapısının farklı katmanları için birçok güvenlik izleyicisi bulunmaktadır.
Bu alt kategoriler şunlardır: Patch Management, Application Security, DNS Health, Email
Security, SSL/TLS Strength, Website Security.
30. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Cyber Threat Intelligence
Başarılı bir siber saldırı için, genellikle bir "Cyber Kill Chain" olarak adlandırılan birkaç adımın
izlenmesi gerekir. Bu adımların ilk sıralarında hedef kurum hakkında bilgi edinme adımları
gelir. Kurum hakkında elde edilebilecek bilgiler, dark forumlarda ya da sosyal medyada
paylaşılan hacktivist paylaşımlar olabileceği gibi kuruma ait internet ortamına daha önceden
sızdırılmış e-mail adresleri ve parolalar gibi bir takım hassas bilgiler de olabilir. İnternet
ortamında kurum ile ilişkili olarak paylaşılmış olan her türlü veri potansiyel olarak zararlıdır ve
takip edilmesi gerekir.
Saldırganlar, kurum çalışanlarını ve / veya müşterilerini aldatmaya yönelik bir takım yöntemler
kullanabilir. Saldırganlar, oltalama saldırıları ile müşteri kredi kartı bilgilerini çalmaya
çalışabilir, üstelik bu amaç için kurum web sitesine oldukça benzer bir domain üzerinden sahte
bir web sitesi yayımlayabilir ya da kurum mobil uygulamasına oldukça benzer mobil uygulama
geliştirmek gibi bir takım yöntemler kullanabilir. Bu tarz bir saldırı müşterileri doğrudan etki
edebileceği gibi kurum çalışanlarını etkileyerek şirketin de doğrudan zarar görmesine kapı
aralayabilir. Bu nedenle kuruma yönelik bu tarz tehditlerin devamlı olarak takip edilmesi ve
analiz edilmesi gerekmektedir.
Bu durumların incelenip analiz edildiği Cyber Threat Intelligence kategorisi yedi alt kategoriden
oluşur. Bunlar; IP/Domain Reputation, Leaked Credentials, Hacktivist Shares, Social
Network, Fraudulent Apps, Fraudulent Domains, Information Disclosure.
Perimeter Monitoring
Bir kurumun ne kadar popüler olduğunun bilinmesi siber olayların henüz gerçekleşmeden
önce anlaşılmasında önemli rol oynamaktadır. Bir şirketi birincil hedef yapan şey depoladığı
verinin değeri ve şirketin tanınırlığı / kullanılırlığının fazlalığının birleşiminden oluşur. Bu
değerler saldırganlar için yüksek motivasyon kaynağıdırlar.
Popülerliği tanımlayabilmek için kullanılan çok çeşitli bilgi kaynakları vardır. Örneğin; çalışan
sayısı, iş sektörü, yıllık kazanç, müşteri sayısı, coğrafi konum, firmanın günlük haberlerde
bahsedilme oranı vs..
Birçok firma müşterilere yönelik kaç farklı uygulamaya sahip olduğunu dahi bilmemektedir.
Sağlam bir güvenlik mekanizması için tüm uygulamaların güvenlik açıkları barındırıp
barındırmadıklarının sürekli bir şekilde incelenmesi gerekmektedir.
Her şirket, iç ağ kurmak için ağ donanımları kullanır. Şirketler yeni pazarlama kampanyaları
veya coğrafyalar için yeni web siteleri ve web portalları oluştururken ve şirketlerin iç network
yapıları sürekli genişlemektedir. Doğru ağ ekipmanı seçimi önemli olmasının yanı sıra, bu
cihazların doğru bir şekilde yapılandırılması da oldukça önemlidir. Bu başlık altındaki alt
kategoriler ağ sorunlarını, uygulamaların zayıf yönlerini güvenlik açıklarını bulur ve raporlar.
Analiz edilen alt kategoriler şunlardır; Digital Footprint, Brand Monitoring, Attack Surface,
DDoS Resiliency, Network Security, CDN Security, Web Ranking.
31. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta Yapan Başlıca Firmalar
Türkiye’de siber sigorta yapan başlıca firmalar şunlardır;
• Marsh Sigorta ve Reasürans Brokerliği A.Ş.
• AIG Sigorta, CyberEdge Veri Koruma Sigortası
• JLT Sigorta ve Reasürans Brokerliği
• IBS Sigorta ve Reasürans Brokerliği
• Teb Sigorta
• Zürich Sigorta
• Allianz Sigorta
• Doğan Sigorta Brokerliği A.Ş.
• CHUBB
TEB, Zürich Sigorta ve AIG Sigorta gibi şirketler bu alanda faaliyet göstermeye başlarken,
Allianz Sigorta da çalışma yapıyor. Haziran ayında 'Kimliğim Güvende Sigortası' ürününü pazara
sunan TEB, bir ayda 10 binden fazla müşteriye ulaştı. Zürich Sigorta da yılbaşında çıkardığı
'Kimliğim Güvende' ürünüyle bireylere hizmet veriyor. Yakında çıkaracağı özel ürünüyle
şirketlere de hizmet verecek. Zürich Sigorta CEO'su Yılmaz Yıldız, "Kimliğim Güvende
Sigortası'nda poliçede belirtilen miktarlar ve şartlar dahilinde kimlik hırsızlığı/sahtekarlığı
harcamaları teminatı, kayıp çalıntı kimlik teminatı, şifre çalınması teminatı, gelir kaybı
teminatı, seyahat ve iletişim masrafları teminatları gibi teminatlar sağlanıyor" diyor. Yıldız,
siber saldırıların küresel bir tehdit olduğu algısının yükselmesiyle bu yöndeki sigorta ürünlerine
talebin de artacağını söylüyor.
Sigorta şirketlerine ek olarak, bu alanda danışmanlık hizmeti veren şirketler de bulunuyor.
Örneğin KPMG, büyük çaplı sigorta poliçelerinin yapılandırılması aşamasında siber güvenlikle
ilgili süreç ve altyapı risklerinin maddileştirilebilmesi için yönetim danışmanlığı hizmetleri
sunuyor. KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Şirket Ortağı Sinem
Cantürk, "Siber güvenliğe daha bütünsel bir yaklaşım getirmek gerekiyor. Siber güvenlik
sigortalarının yanında, gerekli önlemlerin kuruluşlar tarafından alınmış olmasının temin
edilmesi gerekiyor. Bu önlemler yalnızca teknolojiyle ve saldın anıyla sınırlı olmamalı, süreç
geniş bir alanı kapsamalı" diyor.
Dünya Genelinde siber sigorta yapan başlıca firmalar şunlardır;
• AIG
• Allianz
• Brooklyn Underwriting
• CHUBB
• Zurich
32. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sürekli Gözetim (Continious Monitoring) Hizmeti Sunan
Firmalar
Sürekli Gözetim, Siber Güvenlik alanında yeni ortaya çıkmış ve son yıllarda hızla önem kazanan
bir Siber İstihbarat Servisi modelidir. Bu alanda hizmet veren dünya genelinde çok sayıda firma
bulunmamaktadır. Türkiye’de bu alanda sektöre hizmet veren tek firma, geliştirdiği Scorecard
ürünüyle Normshield firmasıdır. Normshield, dünya trendini sıkı bir şekilde takip etmekte ve
Sürekli Gözetim siber istihbarat modelinde Türkiye’de öncü konumdadır. Normshield aynı
zamanda ABD’de yer alan ofisi ile dünya genelinde bu hizmeti sunan sayılı firmalar arasındadır.
Dünya genelinde Sürekli Gözetim Hizmeti Sunan firmalar şunlardır;
• NormShield
• Bitsight
• SecurityScorecard
• Riskrecon
• FicoScore
33. [SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik
Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, ”Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.