Japonya'nın En Büyük Taksi Operatörü Nihon Kotsu'daki Siber Saldırı ve Sistem Kapatma Süreci

Japonya'nın en büyük taksi operatörü Nihon Kotsu, siber saldırı nedeniyle sistemlerini kapattığını duyurdu. Saldırı sonrası alınan acil tedbirler ve iyileştirme adımları.

I
ITWISE
5 görüntülenme
Japonya'nın En Büyük Taksi Operatörü Nihon Kotsu'daki Siber Saldırı ve Sistem Kapatma Süreci

Giriş

Japonya'nın en büyük taksi operatörü olan Nihon Kotsu, 2023 yılında gerçekleşen bir siber saldırı nedeniyle sistemlerinin önemli bir kısmını kapatmak zorunda kaldığını duyurdu. Saldırı, şirketin operasyonel altyapısını doğrudan etkileyerek müşteri hizmetleri, rezervasyon sistemleri ve filo yönetimi gibi kritik hizmetlerin geçici olarak durmasına neden oldu. Bu olay, Japonya'daki siber güvenlik tehditlerinin artan karmaşıklığını ve kurumsal altyapıların ne kadar savunmasız olabileceğini gözler önüne serdi.

Sorun Tanımı

Saldırının Etkileri

Siber saldırı sonrasında Nihon Kotsu'nun karşılaştığı temel sorunlar şunlardır:

  • Rezervasyon Sistemlerinde Durma: Müşterilerin online olarak yaptığı taksi rezervasyonları geçici olarak durduruldu. Bu durum, hem bireysel müşterileri hem de kurumsal müşterileri olumsuz etkiledi.
  • Filo Yönetimi Sorunları: Sürücülerin rota ve müşteri bilgilerine erişim sağlayan sistemler devre dışı kaldı. Bu da sürücülerin verimliliğini ve hizmet kalitesini düşürdü.
  • Veri Sızıntısı Riski: Saldırının ardından şirket, müşteri ve şirket verilerinin sızdırılma riski olduğunu doğruladı. Bu durum, hem yasal yaptırımlara hem de marka itibarına zarar verme potansiyeli taşıyordu.
  • Finansal Kayıplar: Sistemlerin kapalı kalması nedeniyle şirket, günlük milyonlarca yenlik kayıplara uğradı. Ayrıca, siber güvenlik iyileştirmeleri için ek maliyetler ortaya çıktı.

Saldırının Türü ve Kaynakları

Nihon Kotsu'ya yapılan siber saldırının ransomware ( fidye yazılımı ) türünde olduğu tahmin edilmektedir. Fidye yazılımları, saldırganların sistemlere erişim sağladıktan sonra verileri şifreleyerek şirketlerden fidye talep etmesini içerir. Bu tür saldırılar, genellikle phishing e-postaları, zayıf şifreler veya güncel olmayan güvenlik yamaları yoluyla gerçekleştirilir.

Çözüm Adımları

1. Acil Müdahale ve Sistemlerin Kapatılması

Saldırı tespit edildikten hemen sonra Nihon Kotsu, aşağıdaki adımları izleyerek sistemi kapattı ve yayılmayı engellemeye çalıştı:

  1. Sistemlerin İzolasyonu:
    # Sistemleri ağdan ayırmak için ağ anahtarları (switch) kapatıldı
    sudo systemctl stop network.target
    # Kritik sunucuların fiziksel olarak bağlantısı kesildi
  2. Güvenlik Duvarı Kuralları Güncellenmesi:
    # Güvenlik duvarında (iptables) saldırgan IP'lerini engellemek için kurallar eklendi
    sudo iptables -A INPUT -s  -j DROP
    sudo iptables -A FORWARD -s  -j DROP
    # Tüm gelen ve giden trafiği geçici olarak durduruldu
    sudo iptables -P INPUT DROP
    sudo iptables -P OUTPUT DROP
    ⚠️ Uyarı: Tüm trafiği durdurmak, sistemlerin tamamen kapalı kalmasına neden olabilir. Bu nedenle, sadece saldırgan IP'lerini hedefleyen kurallar uygulanmalıdır.

2. Siber Güvenlik Ekiplerinin Devreye Alınması

Nihon Kotsu, saldırıya karşı CERT (Computer Emergency Response Team) ve üçüncü taraf siber güvenlik firmaları ile iş birliği yaptı. Bu ekipler aşağıdaki görevleri yerine getirdi:

  1. Saldırı Analizi ve Log İncelemesi:
    # Linux sistemlerinde saldırının izini sürmek için log dosyaları incelendi
    sudo grep -i "ransomware" /var/log/syslog
    sudo journalctl -u  --since "2023-10-01"
    # Windows sistemlerinde Event Viewer kullanılarak saldırı kayıtları incelendi
  2. Yedeklemelerin Kontrolü ve Geri Yüklenmesi:
    # Veri yedeklemelerinin bütünlüğü kontrol edildi
    sha256sum /backup/path/file_backup.tar.gz
    # Saldırı öncesi yedeklemelerden sistemler geri yüklendi
    sudo tar -xzvf /backup/path/file_backup.tar.gz -C /
    💡 İpucu: Yedeklemelerin düzenli olarak test edilmesi ve farklı konumlarda saklanması, siber saldırılara karşı hayati önem taşır. 3-2-1 kuralını (3 kopya, 2 farklı ortam, 1 offsite) uygulamak önerilir.

3. Sistemlerin Yeniden Yapılandırılması ve Güvenlik İyileştirmeleri

Saldırı sonrası Nihon Kotsu, sistemlerini yeniden yapılandırırken aşağıdaki güvenlik önlemlerini uyguladı:

  1. Yama Yönetimi:
    # Tüm sistemlerdeki güvenlik açıkları kapatıldı
    sudo apt update && sudo apt upgrade -y  # Debian/Ubuntu
    sudo yum update -y  # RHEL/CentOS
    # Kritik sistemler için otomatik yama uygulaması devreye alındı
  2. Çok Faktörlü Kimlik Doğrulama (MFA) Uygulanması:
    # SSH erişimi için MFA zorunlu hale getirildi
    sudo apt install libpam-google-authenticator -y
    sudo nano /etc/ssh/sshd_config
    # Aşağıdaki satırları ekleyin:
    ChallengeResponseAuthentication yes
    AuthenticationMethods publickey,keyboard-interactive
    # Google Authenticator'ı yapılandırın
    google-authenticator
  3. Saldırı Tespit ve Önleme Sistemleri (IDS/IPS) Kurulumu:
    # Snort IDS/IPS sistemi kurulumu
    sudo apt install snort -y
    sudo nano /etc/snort/snort.conf
    # Yerel kurallar oluşturma
    echo 'alert tcp any any -> any 22 (msg:"SSH Brute Force Attempt"; flow:to_server,established; content:"Failed password"; nocase; threshold: type threshold, track by_src, count 5, seconds 60; sid:1000001; rev:1;)' >> /etc/snort/rules/local.rules
    # Snort'u başlatma
    sudo snort -c /etc/snort/snort.conf -i eth0 -A console

4. Müşteri ve Çalışanlara Yönelik İletişim Stratejisi

Saldırı sonrası Nihon Kotsu, aşağıdaki adımları izleyerek hem müşterilerini hem de çalışanlarını bilgilendirdi:

  1. Resmi Açıklama ve Basın Bildirisi:

    Şirket, saldırının ardından yaptığı açıklamada, müşterilerden özür dileyerek sistemlerin ne zaman normale döneceği konusunda tahmini bir tarih vermedi. Ayrıca, müşterilere verilerinin güvenli olduğunu ve üçüncü taraf bir siber güvenlik firması tarafından incelendiğini belirtti.

  2. Müşteri Desteği ve Alternatif Çözümler:

    Sistemlerin kapalı olduğu dönemde, müşterilerin taksi çağırmak için telefonla rezervasyon yapmaları önerildi. Ayrıca, şirket müşteri hizmetleri hattını güçlendirerek soruları yanıtlamaya devam etti.

Önleyici Tedbirler ve İyileştirme Önerileri

1. Düzenli Güvenlik Denetimleri

Nihon Kotsu, saldırı sonrası aşağıdaki denetimleri düzenli olarak yapmaya başladı:

  1. Zayıf Nokta Taraması:
    # OpenVAS kullanarak ağdaki zayıf noktalar taranıyor
    sudo gvm-cli scan --targets=192.168.1.0/24 --scan-id=full_and_fast
    # Sonuçlar analiz edilerek gerekli düzeltmeler yapılıyor
  2. Sosyal Mühendislik Testleri:

    Çalışanların phishing saldırılarına karşı direncini ölçmek için sahte phishing e-postaları gönderildi ve farkındalık eğitimleri verildi.

2. Veri Yedekleme ve Felaket Kurtarma Planları

Şirket, gelecekte benzer saldırılara karşı daha hazırlıklı olmak için aşağıdaki adımları uyguladı:

  1. Otomatik ve Manuel Yedeklemeler:
    # Verilerin her gün otomatik olarak yedeklenmesi
    sudo rsync -avz /data/ /backup/daily/$(date +%Y-%m-%d)
    # Haftalık yedeklemelerin farklı bir lokasyona taşınması
    sudo rsync -avz /backup/daily/ /backup/weekly/
  2. Felaket Kurtarma Planı (DRP) Oluşturulması:

    Şirket, sistemlerin tamamen çökmesi durumunda iş sürekliliğini sağlamak için bir Felaket Kurtarma Planı (DRP) oluşturdu. Bu plan, aşağıdaki unsurları içermektedir:

    • Sistemlerin ne kadar sürede geri yüklenmesi gerektiği.
    • Hangi personelin hangi görevlerden sorumlu olduğu.
    • Müşterilere ve çalışanlara nasıl bilgi verileceği.

3. Çalışan Eğitimleri ve Farkındalık Programları

Nihon Kotsu, siber güvenlik farkındalığını artırmak için aşağıdaki eğitimleri düzenledi:

  1. Phishing ve Sosyal Mühendislik Eğitimi:

    Çalışanlara, şüpheli e-postaları tanıma, güçlü şifreler oluşturma ve ikinci faktör kimlik doğrulamasını kullanma konularında eğitimler verildi.

  2. Siber Güvenlik Politikaları ve Prosedürleri:

    Şirket, çalışanlara güvenlik politikalarını ve acil durum prosedürlerini açıklayan bir el kitabı dağıttı. Bu el kitabında, saldırı durumunda izlenecek adımlar detaylı olarak anlatıldı.

Sonuç ve Değerlendirme

Nihon Kotsu'ya yapılan siber saldırı, Japonya'daki kurumsal siber güvenlik tehditlerinin ciddiyetini bir kez daha gözler önüne serdi. Saldırı sonrası şirketin aldığı acil tedbirler ve uzun vadeli iyileştirmeler, benzer olayların önlenmesi açısından önemli bir örnek teşkil etmektedir. Ancak, siber tehditlerin sürekli olarak evrim geçirdiği düşünüldüğünde, şirketlerin düzenli güvenlik denetimleri, çalışan eğitimleri ve güçlü yedekleme stratejileri uygulamaya devam etmeleri gerekmektedir.

Bu olaydan çıkarılan en önemli derslerden biri, siber güvenliğin sadece BT departmanının sorumluluğu olmadığıdır. Tüm çalışanların ve yöneticilerin siber güvenlik konusunda bilinçli olması, şirketlerin saldırılara karşı daha dirençli hale gelmesini sağlayacaktır.

Ek Kaynaklar