Sony’ye yapılan siber saldırı konusunda hala ortalık çok sıcak. Bir cephede saldırının teknik tarafı yani “kim tarafından yapıldı?”, “niye yapıldı?”, “hangi yöntemle yapıldı?”, “neden Sony hedef seçildi?” gibi sorular ve tabi ki, FBI’ın cuma günkü Kuzey Kore suçlaması ile Obama’nın “cezasını keseceğiz” açıklaması var[1].
Diğer taraf ise daha magazinsel ve hatta yer yer eğlenceli, “meğerse yeni bir James Bond arıyorlarmış, hem de zenci..”, “ABD’de büyük tepkilere yol açan ve SOPA olarak adlandırılan kanun tasarısı konusunda, meğerse –başta Google–, bu firmalar el altından uygulamalar yapıyormuş” ya da “meğerse kadın sanatçılar tahminlerde çok daha az para alıyormuş” ya da “Sony yöneticisi Angelina Jolie için “şımarık arsız” demiş” ya da bla bla.. Sony’den ortaya dökülen belgeler ve e-maillerde pek çok hikaye var ve konuşuluyor..
Ama bir de “Sony’de bu olay olduktan sonra, içerde ne oldu?” sorusu var. Siber saldırıların gitgide daha sofistike ve hedefli hale geldiği günümüzde, bu tür bir saldırıya uğrayacak firmalar için ders verici nitelikteki bu konuda, Fortune Dergisi, Sony Los Angeles Ofisi’nden adı açıklanmayan bir çalışanın anlattıklarına yer verdi.[2]. Anlaşılan o ki; Sony hazırlıklı değilmiş ve olayın vehametinin düzeyini de hemen anlayamamış. Çalışanın anlattıkları şu şekilde;
Şükran gününden önceki pazartesi sabahı, hepimiz ofise gelmiştik. Bazılarımız bilgisayarlarını açmış, çalışmaya başlamışlardı. Sonra sabah 8:15 civarında ekranlar karardı.
Bütün networkü derhal durdurdular. Haftanın kalanında pek çalışamadık. Gerçi tatil haftası olduğu için pek sorun da olmadı. Ama sonraki salı ve çarşamba günü yaşananlar, bunun basit bir hack olayı olmadığını ortaya çıkardı.
Şükran günü arkasından, dosyalarımızı ve yıl bitmeden yapmak zorunda olduklarımızı, geri almamızın uzun süreceği esprisi yaptım ama gerçekten de böyle olduğunu ancak sonraki pazartesi-salı anladık.
Olaylar daha net hale geldi ve hangi bilgilerin çalındığı ortaya çıkmaya başladı. Anladık ki, tekrar normal hale dönmemiz haftalarca sürecekti. Çarşamba ya da perşembe civarında, insanlar “bankanı ara”, “şifreni değiştir” ve “çek hesabını yenile” gibi cümleler kurmaya başladılar.
Çok rahatsız oldum. Ama sadece ben değil. Bütün çalışanlar, tasarrufları, emeklilik fonları ve çocukları konusunda endişeye kapıldılar.
Ve.. maalesef bloglardan birisinde bütün bilgiler vardı. Bu bloglardan ya da web sitelerinden, Michael (Lynton, Sony’nin CEO’su) ve Amy’den (Pascal, Sony eşbaşkanı) alamadığımız bilgileri alıyorduk.
Haftasonunda, bütün banka hesaplarım ve kredi kartlarımdaki her hareket için bir SMS oluşturulacak şekilde düzenlemeler yaptım. Birikimlerimin uçmasını görmek istemiyorum.
5 banka hesabım ve kredi kartım için, her bir şifremi tek tek değiştirdim. Sonra 401 (K), sağlık sigortası, 3 e-mail hesabı ve Facebook şifrelerini değiştirdim. daha sonra Amazon, eBay, PayPal ve diğer alışveriş sitelerindeki şifrelerimi değiştirdim. Yani 25-30 tane şifre değiştirmiş oldum.
Sonrasında iş yerinde ödünç laptoplar, kalem ve kağıtla sunumlar ve veri tabanları hazırlamaya başladık. İş için gereken dosyalar, PDF’ler ve sözleşmeler hazırladık. Yapabildiğimiz kadar çalıştık, işe dönmeye başladık.
Bu arada ben iş bilgisayarımdan bir daha asla finansal işlem yapmamaya karar verdim. Eğer çok acil bir şey gerekirse, akıllı telefonumu kullanırım ya da eve giderim. Risk almaya değmez.
Bazı arkadaşlarımız daha da ileriye gittiler. Pasaportlarını bile değiştirdiler. benim için paramı ve finansal hesaplarımı korumak daha önemli.
Bir adım daha ileri düşünelim; birilerinin benim sağlık sigortamla tıbbi hizmet aldığını düşünmeli miyim?
Neden çalışanlara daha çok bilgi sağlamıyorlar. Neden güvenlik danışmanları tutmuyorlar?
Haberlerde bizim moralimizin düşük olduğunu okuyorsunuz. Ben “moralimiz düşük” demezdim. Daha ziyade “artık sürekli omuzumuzun üzerinden arkaya bakıyoruz. Bu sonsuza kadar da böyle olacak” derdim.
Görüldüğü gibi, Sony gibi dünya devleri bile “yeni dünyanın” yani siber saldırıların etkin olduğu bir dünyanın farkında değil. Felaket planlaması yapmamışlar. Çalışanları bilgilendirmedikleri ve çalışanların ne yapacaklarını bilemedikleri görülüyor. Daha önemlisi bu konuda “anında” tedbir alınmamış. Yapılmış herşey (şifre değiştirme gibi), olaydan günler, haftalar sonra yapılmış.
Bir yandan da, “iş bilgisayarlarından özel işlem yapılmaması” gerektiği görülüyor. Şahsi bilgisayarlardan çok daha fazla hedeflendiği için, iş bilgisayarları finansal ya da diğer özel işler için çok daha tehlikeli.
[1] Sony Olayında FBI Resmi Açıklama ile Kuzey Kore’yi Suçlarken, Obama Cevap Verileceğini Açıkladı
