Antivirüs ve internet güvenliği kuruluşu ESET, dünya iktisadında birinci defa görülen ve siber ihlallerin yol açtığı yıkıcı tesirlere örnek oluşturabilecek bir gelişmeye dikkat çekti. Kredi derecelendirme kuruluşu Moody’s, 2017 yılındaki akının önemli mali yıkımı nedeniyle Equifax için derecelendirme durumunu “istikrarlı”dan “negatif”e düşürdü. Bu güvenlik ihlali, yasal fiyatlar hariç, bugüne kadar şirkete 1,4 milyar dolara mal oldu.
Dünyada birinci kez
Moody’s‘in kararı değerli, zira bir güvenlik açığının oluşturduğu yüksek maliyet, birinci kere bir şirketin derecelendirme durumunu değiştirmesine sebep oldu. Elbette tartışmalı düşüş birden teğe ortaya çıkmadı. Moody’s, derece düşürmeyi Mayıs ayında duyurdu fakat bundan 7 ay evvel yani 2018 Kasım’ında siber taarruzlarla ilgili risklerin derecelendirme durumunu etkilemeye başlayacağına dair açık bir ileti da vermişti.
Equifax ne yapar?
Equifax, Amerika Birleşik Devletleri’ndeki en büyük kredi raporlama ajanslarından biri. Kredi raporlama şirketleri, epeyce fazla tüketiciyi kapsayan finansal data kayıtlarını tahlil ediyor ve daha sonra bu bilgileri, bir kişinin kredi notunu belirlemek için kullanıyor. Ekseriyetle bu bilgileri de kredi kartı şirketleri, bankalar ve borç verenlerden alıyorlar.
Üç ülkenin vatandaşlarının finansal bilgileri çalınmıştı
Equifax’ın iki yıl evvel karşılaştığı siber ihlal ise şöyle gelişmişti: Apache Struts web uygulaması yapısındaki kritik bir güvenlik açığı için 6 Mart 2017’de bir yama yayımlanır lakin Equifax bu yamayı vaktinde yükleme konusunda başarısız olur. 13 Mayıs 2017’de bilgisayar korsanları, 29 Temmuz 2017’ye kadar keşfedilmeyecek bir güvenlik açığı sayesinde firmanın ağını dolaşmaya başlarlar.
Aynı yılın 7 Eylül’üne kadar Amerika Birleşik Devletleri halkının yarısı ile yüz binlerce Kanada ve İngiliz vatandaşının da kapsamlı bilgilerinin saldırganların eline geçtiği Equifax tarafından açıklanır. Bu sayı sonrasında artar ve sonuçta 148 milyon insanın bilgilerine müsaadesiz olarak ulaşıldığı belirlenir. Bu sayı 320 milyonluk ABD nüfusunun neredeyse yarısı manasına gelir.
Gevşek siber güvenlik politikası
Equifax’ın maruz kaldığı tenkitlerin büyük kısmı da firmanın gevşek siber güvenlik uygulamalarına sahip olup olmadığıyla ilgiliydi. Firmanın eski CEO’su Richard Smith bu açığı, yamayı yüklemesi gereken bir kişinin başarısızlığına bağlarken, müfettişler bunun çok daha derin bir sorunun işareti olduğunu aktardı. Amerikan Senato Komitesi‘nin yayımladığı bir raporda, “Equifax’ın uzun müddettir devam eden eksikleri, siber güvenlik hazırlıklarına daha çok değer verilmesi gerektiğini ortaya koyuyor” deniyor.
Hırsız hala bilinmiyor
Bu ortada, hırsız ya da hırsızların kimliği bilinmiyor ve çalınan bilgiler hiçbir yerde bulunamıyor. Medya kuruluşu CNBC’nin ulaştığı bilgiye nazaran; güvenlik uzmanlarından, karanlık web bilgi avcılarından ve ihlalin araştırılmasında yer alan şahıslardan oluşan bir takımın yaptığı araştırma, çalınan bilgilerin beklendiği üzere şimdi internetin karanlık köşelerinde satışa çıkmadığı yahut kimlik hırsızlığı ya da makûs gayeyle kullanılmadığı belirtildi.
Bu makalenin İngilizce sürümüne buradaki ilişkiden ulaşabilirsiniz.
