Yaygın KOBİ hataları: Tedarik zinciri saldırısı

Ekim 17, 2018

Hakan, sabah telefonlarından nefret ederdi. Bunun nedeni tembel olması değildi. Çalışmaya, sabah trafiğinin stresini attıktan ve ikinci kahvesini içtikten sonra başlaması gerektiğini düşünürdü. Ancak telefonu hiç durmadan çalıyordu.

“Bir huzur verin! Telefon üç kez çaldıktan sonra kapatmanız gerektiğini bilmiyor musunuz? Hiç saygınız yok! Ya önemli bir işim varsa?” diye homurdandı Hakan. Telefon yeniden çalarken masasındaki yığının altından telefonunu çıkarmaya uğraşıyordu.

Yayın tasarımcısı telefonda, “Hakan, flash sürücüm yüklenmiyor” diye sızlandı.

“Çünkü daha önce bilgisayarındaki tüm bağlantı noktalarını devre dışı bıraktım! Tüm dosyaların, güvenli bir bilgisayar aracılığıyla yüklenmesi gerektiğini biliyorsun. Mansur’la konuş. Elimde olsa internet bağlantını keserdim” diye cevapladı Hakan ve kendi kendine mırıldanarak ekledi: “Kollarını da kopartırdım.”

“Biliyorum, biliyorum! Ama sorun sadece bende değil. Hiç kimsenin bilgisayarına yüklenmiyor! Lütfen yardım et. Bu, çok önemli bir iş. Mizanpajı çok hızlı bir şekilde değiştirmezsek canıma okurlar. Mansur, öğleden sonraya kadar dönmeyecek.”

“Cem, tüm işlerin Mansur’un bilgisayarından geçmesi konusunda anlaşmıştık, tüm belgeler onun bilgisayarından geçmeli. Departmanda antivirüs yazılımı olan tek bilgisayar, onun bilgisayarı. Neyse, dosyaları sana flash sürücüde kim verdi?”

“Aylin. Broşürün tasarımıyla ilgili bazı acil düzeltmeler yapmamı istedi. Broşürün en kısa sürede basılması gerekiyor. Derhal yapılmazsa canıma okur. Mansur’un işte olup olmaması onun için hiç önemli değil. Aylin’i biliyorsun.”

“Şu flash sürücüleriniz beni öldürecek. Tamam, geliyorum.”

Hakan, telefonu kapadı ve düşünceli bir şekilde tavana baktı. Patronları gerçekten korkunç biriydi ve harici kaynaklardan dosya aktarma prosedürü gibi standartları hiç umursamazdı. Sistem yöneticisi ayağa kalktı, gerindi, bilgisayarını koltuğunun altına sıkıştırdı ve tasarım alanına doğru yöneldi.

Magenta Elk reklam ajansının sahipleri, çok akıllı olduklarını düşünüyordu. ME, aile tasarım stüdyosu olarak başladıktan kısa bir süre sonra neredeyse 100 çalışanı olan bir şirkete dönüşmüştü. En çılgın isteklere sahip müşterileri bile etkileyebilecek tasarımcılardan ve kreatif direktörden oluşan bir departmana, Web sitesi geliştirme departmanına ve kendi küçük matbaasına (ve üç yıl önce satın alınan küçük bir işletmeye) sahipti. Şirketin müşterileri arasında bazı önemli uluslararası şirket bulunmaktaydı. Bu şirketler, reklam kampanyalarının yönetimi için ajansı görevlendirmişti.

Ancak ajans sahipleri, hiçbir zaman doğru düzgün bir BT departmanı kurabilecek kaynağı bulamamıştı. Hakan, birkaç yıl öncesine kadar talep üzerine ajanstaki bilgisayarları onaran bir bilgisayar tamircisiyken şu anda tüm ekipmanların yönetiminden sorumluydu. Şirket sahiplerini, yardım için en azından bir personel daha işe alma konusunda ikna etmeyi bir türlü başaramamıştı.

Hakan yaklaşırken dizüstü bilgisayarını açarak “Flash sürücünü ver!” diye homurdandı. “Burada neyi okuyamıyorsunuz? Benim bilgisayarımda her şey çalışıyor. Sürücüler yükleniyor… Taranıyor… Açılıyor… İşte proje dosyanız burada.”

Tam bu anda antivirüs yazılımı, kırmızı bir pencere görüntüledi. “Kötü amaçlı nesne Trojan.downloader.thirdeye.n tespit edildi.” Hakan, şaşkınlıkla ekrana baktı.

“Cem, bu da ne?! Bunu başka bir yerde açmaya çalıştın mı?” Hakan, parmağıyla Layout_corrections.docx.exe dosyasının işaret etti.

“Evet, hangi değişiklikleri yapmam gerektiğini başka nasıl öğrenebilirim? Denedim ama bir türlü açılmadı. Dosyaya tıkladım, hiçbir şey olmadı.”

“Bunun bir belge bile olmadığını göremiyor musun?! Uzantısı EXE!”

“Hiçbir uzantı göremiyorum! Sadece simgesini ve adını görebiliyorum. Neden bana bağırıyorsun? Yalnızca Aylin’in dosyasını açmaya çalıştım!”

“Sanırım haklı. Bilinen dosyaların uzantıları gösterilmiyor.” diye düşündü Hakan. “Tamam, sakinleşmeye çalışalım. Bunu hangi bilgisayarlarda okumaya çalıştın?”

“Muhasebeden Cansu’nun bilgisayarında, fotoğrafçının dizüstü bilgisayarında ve lojistikten Fatih’in bilgisayarında denedim. Bir de Web geliştirmeden Caner’in bilgisayarı vardı. Son olarak da Ünsal’ın bilgisayarında denedim. Sorun ne, virüs mü var? Benim hatam değil! Belki fotoğrafçının bilgisayarında virüs vardır!

“Bu, normal bir virüs değil. Senin için özel olarak hazırlanmış bir Truva Atı! Herhangi bir bilgisayara bulaşmaz. Birisi, bu Truva Atını özellikle bu flash sürücüye yerleştirmiş!” Hakan, bahsedilen bilgisayarları izole etmek için yönlendiricinin Web arabirimine girdi. “Bu arada Aylin’in parolasını nasıl öğrendin? Dün bir iş gezisine çıkmıştı.”

Hâlâ kendisini savunmaya çalışan yayın tasarımcısı, “Parolası, klavyesinin altındaki bir kağıt parçasında yazılıydı… Bunu herkes bilir…” diye mırıldandı. “Flash sürücüyü eve götürmedim. Ben de onu dün buldum!”

Hakan, şaşkınlıkla “Ne demek buldum?” dedi.

“Yani Aylin, bu flash sürücüyü resepsiyona bırakmış ve tasarımı en kısa sürede düzeltmem için bir not yazmış.”

“Aklını mı kaçırdın? Aylin, dün bütün gün buradaydı. Neden üzerinde talimatların yazdığı bir flash sürücü bıraksın? Sana daha önce kaç kez not bıraktı? Yüz yüze konuşmayı tercih ettiğini biliyorsun. Ya da dosyaları doğrudan sunucuya yüklerdi! Kahretsin, sunucu!” Hakan, yeniden klavyesinin tuşlarına basmaya başladı. “İsteyen herkes resepsiyona bir şey bırakabilir. Bu olay tam olarak ne zaman oldu?”

“Bilmiyorum. Akşam saatleriydi, çıkmak üzereydim. Tuncay, birisinin içinde flash sürücü olan bir zarf bıraktığını söyledi. Bir şeyler atıştırmak için dışarı çıkıyormuş, kimin bıraktığını görmemiş. Geri geldim, sürücüyü Şeyda’nın ve Aylin’in bilgisayarında denedim. Sonrasını biliyorsun.”

“Cem, şunu anlıyorsun değil mi? Birisi…” Hakan’ın konuşması, cep telefonunun çalmasıyla yarıda kesildi. Arayan CEO’ydu. “Bu hiç iyi değil…”

CEO, sinirli bir şekilde “Ne oldu? Neden masanda değilsin?” diye sordu.

“Kusura bakmayın, tasarımcılar bir sorun yaşıyordu. Birisi, bir USB flash sürücüsü bırakmış…”

“Boş ver tasarımcıları,” diyerek araya girdi CEO. “Österberg & Jones firmasından aradılar. Web siteleri, dün geceden beri virüs yayıyormuş. Reklamları güncellemek için web sitelerine erişimi olan tek şirket biziz. Bu durumun bizden kaynaklanmadığını gösteren kanıtlara ihtiyacım var. Tabii sorun bizden kaynaklanmıyorsa.”

“Anlıyorum. Kimlerin siteye erişim izni vardı?” diye sordu Hakan sakin bir şekilde.

“Tam olarak bilmiyorum. “Web geliştirme departmanındaki bazı çalışanların, izninin olması lazım. Web sitesini geliştiren onlardı. Belki Cem olabilir. Aylin’in kesinlikle erişimi vardır. Onun müşterisiydi. Bilirsin her şeyi kontrol etmeye bayılır.”

Hakan sesini alçaltarak, “Şimdi… Şöyle ki…” diye başladı. “Sanırım bizim yüzümüzden oldu.”

“Mahvolduk. Dava açmakla tehdit ediyorlar. Bu durum bizden kaynaklanıyorsa açıklamamız gereken çok fazla şey var. Akşama kadar ayrıntılı bir analiz istiyorum. İnceleme için dış uzmanlara ihtiyacın olursa bana hemen haber ver. Österberg & Jones firmasına yalvarırken elimde eksiksiz ve dürüst bir rapor olması lazım. Şimdi bana hızlı bir özet geçer misin? Ne oldu böyle?”

“Görünüşe göre birisi, bize virüslü bir flash sürücü ile kasıtlı olarak saldırdı. Muhtemelen asıl hedef, Österberg & Jones’tu. Güvenlik durumumuzun nasıl olduğunu biliyorsun. Elimden geleni yaparım ama ekipman, personel, malzeme açısından eksiklerimiz var. Antivirüs yazılımımız bile…”

“Tamam, tamam… Anlıyorum. Nazikçe bana aptal demek istiyorsun. İstediğin personeli ve herkes için antivirüs yazılımını alabiliriz. Tabii bu olayı atlatabilirsek. Hiç sanmıyorum ama…”

Alınacak Dersler

  • Şirketin harici kaynaklardan alınan dosyalarla çalışma prosedürü, son derece iyi ve doğrudur. Ancak bazı çalışanlar, görevlerinin güvenlikten daha önemli olduğununa inandığı için bu prosedüre uymamaktadır. Aslında güvenlik, doğrudan yönetimden gelen emirlerden bile daha öncelikli olmalıdır.
  • Bu şirkette, iş ortağı kaynaklarına çok fazla kişinin erişim izni vardır. Tam olarak kimlerin erişim izninin olduğunun bilinmemesi sorunu daha da zorlaştırmaktadır. İdeal çözüm bu bilginin yalnızca bir, en fazla iki, kişi tarafından bilinmesidir. Ayrıca her oturum açma işlemi için erişim kimlik bilgilerinin girilmesi zorunlu olmalıdır. Bu bilgilerin tarayıcıya kaydedilmesi ve web sitesine korunmasız bir bilgisayardan erişim sağlanması oldukça kötü fikirlerdir.
  • Parolaların kağıtlara yazılması ve klavyenin altına sıkıştırılması, kulağa çok gülünç gelse de birçok şirkette son derece sık görülen bir uygulamadır. Bu durum kesinlikle kabul edilemez. Ofisinize dışarıdan hiç kimse gelmese bile bazen ekip arkadaşlarınız da aynı düzeyde hasara neden olabilir.
    İstisnasız bütün bilgisayarlara güvenilir bir güvenlik çözümü kurulmalıdır.