İlk hack yediğimiz günü hatırlıyorum: 2018’in yazıydı. Şirketin tüm e-posta trafiği durmuş, IT ekibi telefonlara sarılmış, herkes panik. Bunu yaşayan bilir, içerdeki sessizlik tam bir ağır çekim. Bir yandan sunucu odasında terliyor, bir yandan CEO’nun “Her şey yolunda mı?” bakışlarını izliyorsun. İlk kural: Krizin ortasında sakin kalmak diye bir şey yok. Sadece daha az saçmalayan kazanıyor.
Siber saldırı sonrası kriz yönetimi, aslında bir nevi refleks testi. Hazırlık seviyen neyse, refleksin de o kadar hızlı. Bizim şirkette ilk hata, logların manuel tutulmasıydı. Yedekler güncel deniyordu ama son yedek üç gün öncesine ait çıktı. Yani, her şey yolunda sanmak tehlikeli bir illüzyon. Bir kriz anında güvenlik açıklarını teşhis etmek için yıllarca teoride konuşulan “olay müdahale planı” bir anda gerçek oluyor. O an anlıyorsun: Asıl sorun saldırı değil, hazırlıksız yakalanmak.
Kriz sırasında net iletişim şart. Benim gördüğüm büyük eksik, kurumların hem iç hem dış iletişimde şeffaflıktan korkması. Oysa saldırının ilk saatlerinde panik, bilgi eksikliğiyle katlanıyor. 2022’de başka bir şirkette çalışırken, yönetimin “Haber çıkmasın” korkusu yüzünden olay dört gün boyunca basından gizlendi. Dışarıya bilgi sızınca kriz iki kat büyüdü. Kriz yönetiminde ilk kural: Saklamak değil, anlamak ve yönetmek.
Bir de teknik detaylar var tabii. Fidye yazılımı saldırısında yedeklerin izole sistemlerde tutulup tutulmadığı kritik. Eğer sıcak yedekler saldırıdan önce koparılmışsa kurtuluş mümkün, yoksa tüm modern altyapının çöp kutusuna gittiğine şahit oldum. Burada “en zayıf halka” klişesi gerçeğe dönüşüyor. En eğitimli çalışan bile yanlış bir e-posta ekine tıklayabiliyor. Klasik insan faktörü, her şifrenin altında bekler.
Şirketler genellikle kriz sonrası bir “post-mortem” toplantısı yapar. Herkes olan biteni konuşur, dökümanlar hazırlanır. Fakat esas ders alınan an, bir sonraki saldırıda yaşanır. Önlem listeleri her zaman teoride dört dörtlük görünür. Pratikte, güncel yazılım yaması kaç kez ertelenmiş, kimin VPN erişimi zamansız açık kalmış, o anda ortaya dökülür.
Kriz yönetimi deneyimi işin teknik kısmını geliştirdiği kadar, kurum kültürünü de değiştirir. Güvenlik sadece IT’nin değil, herkesin işi olmalı. Bir organizasyon kendine “Bir dahakine aynı hatayı yapmaz mıyım?” sorusunu gerçekten sorabiliyorsa, orada bir öğrenme başlamıştır. Yoksa her saldırı yeni bir felaketle eşdeğer olur.
Siber saldırı sonrası kriz yönetimi, aslında bir nevi refleks testi. Hazırlık seviyen neyse, refleksin de o kadar hızlı. Bizim şirkette ilk hata, logların manuel tutulmasıydı. Yedekler güncel deniyordu ama son yedek üç gün öncesine ait çıktı. Yani, her şey yolunda sanmak tehlikeli bir illüzyon. Bir kriz anında güvenlik açıklarını teşhis etmek için yıllarca teoride konuşulan “olay müdahale planı” bir anda gerçek oluyor. O an anlıyorsun: Asıl sorun saldırı değil, hazırlıksız yakalanmak.
Kriz sırasında net iletişim şart. Benim gördüğüm büyük eksik, kurumların hem iç hem dış iletişimde şeffaflıktan korkması. Oysa saldırının ilk saatlerinde panik, bilgi eksikliğiyle katlanıyor. 2022’de başka bir şirkette çalışırken, yönetimin “Haber çıkmasın” korkusu yüzünden olay dört gün boyunca basından gizlendi. Dışarıya bilgi sızınca kriz iki kat büyüdü. Kriz yönetiminde ilk kural: Saklamak değil, anlamak ve yönetmek.
Bir de teknik detaylar var tabii. Fidye yazılımı saldırısında yedeklerin izole sistemlerde tutulup tutulmadığı kritik. Eğer sıcak yedekler saldırıdan önce koparılmışsa kurtuluş mümkün, yoksa tüm modern altyapının çöp kutusuna gittiğine şahit oldum. Burada “en zayıf halka” klişesi gerçeğe dönüşüyor. En eğitimli çalışan bile yanlış bir e-posta ekine tıklayabiliyor. Klasik insan faktörü, her şifrenin altında bekler.
Şirketler genellikle kriz sonrası bir “post-mortem” toplantısı yapar. Herkes olan biteni konuşur, dökümanlar hazırlanır. Fakat esas ders alınan an, bir sonraki saldırıda yaşanır. Önlem listeleri her zaman teoride dört dörtlük görünür. Pratikte, güncel yazılım yaması kaç kez ertelenmiş, kimin VPN erişimi zamansız açık kalmış, o anda ortaya dökülür.
Kriz yönetimi deneyimi işin teknik kısmını geliştirdiği kadar, kurum kültürünü de değiştirir. Güvenlik sadece IT’nin değil, herkesin işi olmalı. Bir organizasyon kendine “Bir dahakine aynı hatayı yapmaz mıyım?” sorusunu gerçekten sorabiliyorsa, orada bir öğrenme başlamıştır. Yoksa her saldırı yeni bir felaketle eşdeğer olur.
00