Antivirüs ve internet güvenliği kuruluşu ESET, dünya
ekonomisinde ilk kez görülen ve siber ihlallerin yol açtığı yıkıcı etkilere
örnek oluşturabilecek bir gelişmeye dikkat çekti. Kredi derecelendirme kuruluşu
Moody's, 2017 yılındaki saldırının ciddi mali yıkımı nedeniyle equifax için
derecelendirme durumunu "istikrarlı"dan "negatif"e düşürdü.
Bu güvenlik ihlali, yasal ücretler hariç, bugüne kadar şirkete 1,4 milyar
dolara mal oldu.
Dünyada ilk kez
Moody's‘in kararı önemli, çünkü bir güvenlik açığının
oluşturduğu yüksek maliyet, ilk kez bir şirketin derecelendirme durumunu
değiştirmesine sebep oldu. Elbette tartışmalı düşüş birden bire ortaya çıkmadı.
Moody’s, derece düşürmeyi Mayıs ayında duyurdu ancak bundan 7 ay önce yani 2018
Kasım’ında siber saldırılarla ilgili risklerin derecelendirme durumunu
etkilemeye başlayacağına dair açık bir mesaj da vermişti.
Equifax ne yapar?
Equifax, Amerika Birleşik Devletleri’ndeki en büyük kredi
raporlama ajanslarından biri. Kredi raporlama şirketleri, oldukça fazla
tüketiciyi kapsayan finansal veri kayıtlarını analiz ediyor ve daha sonra bu
verileri, bir kişinin kredi notunu belirlemek için kullanıyor. Genellikle bu
bilgileri de kredi kartı şirketleri, bankalar ve borç verenlerden alıyorlar.
Üç ülkenin vatandaşlarının finansal bilgileri çalınmıştı
Equifax’ın iki yıl önce karşılaştığı siber ihlal ise şöyle
gelişmişti: Apache Struts web uygulaması yapısındaki kritik bir güvenlik açığı
için 6 Mart 2017'de bir yama yayımlanır fakat Equifax bu yamayı zamanında
yükleme konusunda başarısız olur. 13 Mayıs 2017'de bilgisayar korsanları, 29
Temmuz 2017'ye kadar keşfedilmeyecek bir güvenlik açığı sayesinde firmanın
ağını dolaşmaya başlarlar. Aynı yılın 7 Eylül'üne kadar Amerika Birleşik
Devletleri halkının yarısı ile yüz binlerce Kanada ve İngiliz vatandaşının da
kapsamlı bilgilerinin saldırganların eline geçtiği Equifax tarafından
açıklanır. Bu sayı sonrasında artar ve sonuçta 148 milyon insanın verilerine
izinsiz olarak ulaşıldığı belirlenir. Bu rakam 320 milyonluk ABD nüfusunun
neredeyse yarısı anlamına gelir.
Gevşek siber güvenlik politikası
Equifax'ın maruz kaldığı eleştirilerin büyük kısmı da
firmanın gevşek siber güvenlik uygulamalarına sahip olup olmadığıyla ilgiliydi.
Firmanın eski CEO'su Richard Smith bu açığı, yamayı yüklemesi gereken bir
kişinin başarısızlığına bağlarken, müfettişler bunun çok daha derin bir sorunun
işareti olduğunu aktardı. Amerikan Senato Komitesi‘nin yayımladığı bir raporda,
“Equifax’ın uzun süredir devam eden eksikleri, siber güvenlik hazırlıklarına
daha çok önem verilmesi gerektiğini ortaya koyuyor” deniyor.
