Ponemon Institute verilerine göre üst düzey yöneticileri hedef alan siber saldırıların oranı 2023’te yüzde 43 iken 2025’te yüzde 51’e yükseldi. Bu artışı yalnızca “daha çok saldırı” diye okumak eksik kalır: Asıl değişen şey, saldırganların odağının teknoloji zafiyetlerinden karar alma mekanizmalarına kayması.
Yazan: SearchInform Bilgi Güvenliği Uzmanı Pınar Güneş
CEO’lar, CFO’lar ve icra kurulları şirketin en kritik bilgilerine, ödeme süreçlerine, tedarik zinciri akışına ve stratejik planlarına erişebiliyor. Bu erişim, saldırganın gözünde tek bir şeyi temsil ediyor: hızlı para ve yüksek etki. Bir çalışanın e-postasını ele geçirmek de işe yarar; ama bir yöneticinin bir “tamam”ı, milyonluk transferlere, hassas veri sızıntılarına veya itibar kaybına giden kapıyı saniyeler içinde açabilir.
Üstelik yöntem yelpazesi genişliyor. E-posta hala başrolde; fakat telefonla aramalar (“acil” talimatlar), sahte web siteleri, sosyal medya üzerinden temas, hatta içine zararlı kod yerleştirilmiş “hediye” cihazlar kadar fiziksel yöntemler de artık senaryonun parçası. Yani mesele, yalnızca bir linke tıklamamak değil; kurumsal refleksleri doğru tasarlamak.
Yeni nesil oltalama: En üste oynayan senaryolar
Phishing eski bir yöntem; ama üst yönetime geldiğinde adı sıkça “whaling”e evriliyor. Saldırgan, hedef yöneticiyi ve organizasyonu inceliyor: kim kime raporluyor, hangi unvan hangi süreci tetikliyor, kim hangi tedarikçiyle yazışıyor… Sonra da kuruma aitmiş gibi görünen bir gerçeklik üretiyor.
Bir GmbH şirketinde genel müdürün başına gelen klasik örnek çarpıcı: Büyük bir iş ortağından geldiğini sandığı e-postada acil faturalar vardı. Gönderen adresi gerçek adresten yalnızca bir harf farklıydı. Alan adı “…film.com” yerine “…flim.com”. Fark edilmeyen bu küçük detay, şirketi altı haneli zarara götürdü. Buradaki ders teknoloji değil; dikkatin ve süreç tasarımının finansal karşılığı.
BEC operasyonları
Bir diğer yüksek risk alanı BEC (Business Email Compromise). BEC’i sıradan bir dolandırıcılık gibi görmek yanıltıcı. Bu saldırılar, çoğu zaman önce gözetleme ile başlıyor: Yazışmalar izleniyor, ödeme ritmi öğreniliyor, uygun an kollanıyor. Sonra sahte bir mesaj, gerçek bir iş akışının içine “doğal” şekilde yerleştiriliyor.
ABD’de New Haven okul bölgesinde bütçe onaylarından sorumlu yöneticinin e-posta hesabı ele geçirildi; saldırganlar aylarca tedarikçi yazışmalarını izledi. Ardından maliye birimine, yöneticiden geliyor gibi görünen sahte taleplerle fatura ödemeleri yaptırıldı. Sonuç: 6 milyon doların üzerinde zarar. Bu hikaye, BEC’in tek seferlik bir “tokat” değil, sabırla kurulan bir operasyon olduğunu gösteriyor.
Kişisel cihazlar, kuruma açılan kapı olabilir
Üst düzey yöneticiler cihazlarını çoğu zaman hem iş hem kişisel amaçla kullanıyor. Kurumsal laptop’ta sıkı politika varken, kişisel telefonda aynı disiplin olmayabiliyor. Saldırgan için bu, doğrudan şirketi hedeflemekten daha kolay bir yol.
Bir finans şirketi yöneticisinin yaşadığı olay bu açıdan öğretici: Önce telefon hattına, ardından o hatta bağlı servislere erişimini kaybediyor. Meğer saldırganlar kişisel verileri kullanıp SIM’i yeniden çıkarttırmış. Bankacılık uygulamasına girilip hem kişisel hem kurumsal hesaplar boşaltılıyor; zarar 300 bin doları aşıyor. Bu tür vakalarda teknoloji tek başına yeterli değil, kimlik doğrulama mimarisi ve operatör süreçleri de işin içinde.
İç tehditler
Proofpoint verilerine göre CISO’ların yüzde 66’sı, insan faktörünü/insan hatasını kuruluşları için en büyük siber güvenlik riski olarak görüyor. İnsan kaynaklı iç tehdit, veri sızıntısından sabotaja; rüşvet ve komisyon ağlarından endüstriyel casusluğa kadar uzanıyor. Üstelik motivasyonlar da değişken: para, intikam, fırsatçılık ve rekabet.
Bir üretim şirketinde çalışan bir personelin gizli bilgileri dışarı aktarıp kendini “dışarıdaki hacker” gibi göstererek şantaj girişiminde bulunması; başka bir olayda disiplin cezasına kızan bir çalışanın tedarikçi ve müşteri verilerini harici diske çekip rakibe satmaya kalkması… Ortak nokta şu: İçeriden gelen hareketler çoğu zaman meşru erişim üzerinden gerçekleşiyor. Yani “kapıyı kilitlemek” değil, içerideki hareketi anlamlı şekilde izlemek ve sınırlamak gerekiyor.
CEO’yu ve şirketi siber saldırılara karşı korumak için atılması gereken adımlar
Siber risk tamamen ortadan kaldırılamaz, ama saldırganın işini ciddi biçimde zorlaştırmak mümkün. Aşağıdaki adımlar bu konuda oldukça etkilidir.
1) Finansal işlemlerde çift taraflı kontrolü standart hale getirin.
Plan dışı tüm finansal işlemler (IBAN değişikliği, acil ödeme talebi, tedarikçi hesabı güncellemesi gibi) en az iki yetkili tarafından onaylanmalı. “CEO söyledi” veya “CFO mail attı” tek başına yeterli gerekçe olmamalı. Burada amaç bürokrasi değil; şirketi, tek kişinin hatasına veya tek hesabın ele geçirilmesine karşı sigortalamak.
2) Uzaktan gelen kritik talimatları ikinci kanaldan doğrulayın.
Özellikle gizli veri aktarımı, sözleşme paylaşımı, müşteri listesi, fiyatlandırma gibi hassas başlıklarda; e-posta veya mesajla gelen talimatlar mutlaka ikinci bir kanalla teyit edilmeli: Telefon, yüz yüze teyit, vb. Eğer teyit mümkün değilse, karar en azından siber güvenlik birimi perspektifinin dahil olduğu kısa bir değerlendirmeden sonra alınmalı.
3) Üst yönetime özel sosyal mühendislik eğitimi uygulayın.
Top-manager’lar için eğitim, “phishing nedir” slaytından ibaret olmamalı. Sahte kurumsal hesaplar, aile bireylerini taklit eden profiller, aciliyet ve otorite vurgusu, “gizlilik” baskısı gibi taktiklerin gerçek senaryolarla çalışıldığı kısa ve düzenli oturumlar etkili olur.
4) Yönetici cihazlarını ve uzaktan çalışma düzenini ayrı bir güvenlik standardına bağlayın.
Üst yönetim çoğu zaman istisna kabul edilir; saldırgan da tam bunu sever. Hangi cihazlarla hangi sistemlere girileceği, hangi verilerin mobilde tutulup tutulmayacağı, hangi durumlarda IT’nin devreye gireceği net olmalı.
5) Kritik dokümanlarda sınıflandırma ve içerik temelli engelleme kurun.
Belgenin “nerede” olduğundan çok, “ne” olduğuna odaklanan bir yaklaşım gerekiyor. Belirli dosya türlerinin dış e-postayla gönderilmesini, USB’ye kopyalanmasını veya yetkisiz bulut hizmetlerine yüklenmesini içerik bazlı olarak otomatik engelleyen kurallar, özellikle yönetici katında büyük fark yaratır. İç tehditleri zayıflatmanın en etkili yollarından biri de bu yaklaşımdır.
Temeli sağlam kurmadan zirveyi koruyamazsınız
Yönetici odaklı önlemler kritik; ama klasik bilgi güvenliği adımları hala oyunun zemini. Şirketinizde şu üçlü sağlam değilse, en iyi prosedür bile delinir:
• Cihaz güvenliği ve güncellemeler: İşletim sistemi ve uygulamalar düzenli güncellenecek, güvenilir uç nokta koruması standart olacak.
• MFA/2FA mecburiyeti: Bankacılık, CRM, e-posta, sosyal medya dahil mümkün olan her yerde.
• Yetkinlik: Küçük işletmelerde tam zamanlı uzman mümkün değilse bile, düzenli risk analizi ve mimari kurulum için dış kaynakla çalışmak “maliyet” değil, çoğu zaman doğrudan zararı önleyen yatırımdır.
