COVID-19’a karşı aşıyla en etkili mücadelenin verildiği günümüzde devletler geliştirdikleri özel uygulamalarla vatandaşların aşı bilgisini ve temaslı olduğu kişilerin listesini tutuyor. Bununla birlikte kimlik, aşı, sağlık bilgileri gibi çeşitli hassas bilgilerin de kullanılması, bu uygulamaların siber saldırıya uğrama ihtimalini artırıyor. Şirketlerin güvenlik açıklarını denetleme, bulma ve doğrulama ihtiyacını bünyesindeki 1000’in üzerinde bağımsız araştırmacıyla hızlı ve güvenilir bir şekilde karşılayan BugBounter.com, Avustralya’da kullanılan uygulamada bu ihtimalin gerçekleşmesine neden olacak bir açığın bulunmasının ardından hassas verilerin depolandığı uygulamaları hedef alabilecek olası siber saldırıların yıkıcı sonuçlarına dikkat çekiyor.
Avustralya’da yaşanan, her ülkede gerçekleşebilir
Bir güvenlik araştırmacısı, Avustralya hükümetinin geliştirdiği ve bireylerin aşı bilgilerini otomatik olarak kullanan dijital aşı pasaportu uygulamasında kendisinin aşı bilgisini kolayca değiştirmesini sağlayan bir açık buldu. Dünyanın dört bir yanında devletler COVID-19’un yayılmasını yavaşlatmak için özel uygulamalar ve temas takibi yapan çözümler geliştiriyor. Vatandaşların da kafe, pazar, havaalanı, alışveriş merkezi gibi toplu alanlara girebilmek için bu uygulamaları kullanması bekleniyor.
Konuyla ilgili NordVPN’in gerçekleştirdiği Vaccines Passport Privacy Study araştırmasına göre katılımcıların %66’sı seyahat için zorunlu tutulduğunda aşı pasaportu uygulamasını kullanabileceğini belirtiyor ancak ocak ayında gerçekleştirilen başka bir araştırmaya göre katılımcıların %75’i bu uygulamaların güvenliğinden endişe duyuyor.
BugBounter.com Kurucu Ortağı Murat Lostar, konuyla ilgili şunları söyledi:
“Koronavirüs, siber saldırganların insanların korkularından ve zafiyetlerinden yararlanabileceği ideal bir ortam oluşturuyor. Aşı bilgilerini ele geçirmeleri durumunda siber saldırganların aşı pasaportlarına ve kimlik çiplerine erişmeleri mümkün oluyor. Bu yüzden kamu yöneticilerinin ve bu tür uygulamaların geliştirilmesinde rol alan şirketlerin potansiyel ve mevcut açıkların keşfedilmesinde en etkili yöntem olan bug bounty (ödül avcılığı) programlarını tercih etmesi, onlara büyük faydalar sağlıyor. Bug bounty programları sayesinde sistemlerini olası bir siber saldırıya karşı en uygun maliyetle, en yetenekli kişilere sürekli denetletebiliyorlar.
BugBounter.com olarak ülkemizde öncülük ettiğimiz bu yöntem sayesinde birlikte çalıştığımız kurumlar sadece varlığı deneyimli uzmanlar tarafından doğrulanmış güvenlik açıkları için ücret ödüyor ve bu sayede ayırdıkları bütçeleri verimli bir şekilde yönetebiliyor. Ödül avcılığı programlarında güvenlik testleri için ayrılan zaman ve bütçe, yanlış bilgilerle (false positive/false negative) ve hipotez raporlarla boşa gitmiyor. Şirketler, siber güvenlik uzmanlarına vereceği ödülü, programın takvimini ve kapsamını kendi belirleyebildiği ve her an düzenleyebildiği için sistemlerinin güvenliğini o anki bütçelerine ve iş planlarına uygun olarak kontrol ettirebiliyor. Platformun güvenlik araştırmacıları, buldukları zafiyetleri raporladıktan sonra yetkili ekiplerimiz kısa süre içinde doğrulama süreçlerini tamamlıyor, önemine göre derecelendiriyor ve şirketin belirlediği güvenlik ekiplerine iletiyor. Kapatılan açıkların kontrolü de yine aynı uzmanlarca gerçekleştiriliyor.”
