Giriş
Japonya'nın en büyük taksi operatörü olan Nihon Kotsu, 2023 yılında gerçekleşen bir siber saldırı nedeniyle sistemlerinin önemli bir kısmını kapatmak zorunda kaldığını duyurdu. Saldırı, şirketin operasyonel altyapısını doğrudan etkileyerek müşteri hizmetleri, rezervasyon sistemleri ve filo yönetimi gibi kritik hizmetlerin geçici olarak durmasına neden oldu. Bu olay, Japonya'daki siber güvenlik tehditlerinin artan karmaşıklığını ve kurumsal altyapıların ne kadar savunmasız olabileceğini gözler önüne serdi.
Sorun Tanımı
Saldırının Etkileri
Siber saldırı sonrasında Nihon Kotsu'nun karşılaştığı temel sorunlar şunlardır:
- Rezervasyon Sistemlerinde Durma: Müşterilerin online olarak yaptığı taksi rezervasyonları geçici olarak durduruldu. Bu durum, hem bireysel müşterileri hem de kurumsal müşterileri olumsuz etkiledi.
- Filo Yönetimi Sorunları: Sürücülerin rota ve müşteri bilgilerine erişim sağlayan sistemler devre dışı kaldı. Bu da sürücülerin verimliliğini ve hizmet kalitesini düşürdü.
- Veri Sızıntısı Riski: Saldırının ardından şirket, müşteri ve şirket verilerinin sızdırılma riski olduğunu doğruladı. Bu durum, hem yasal yaptırımlara hem de marka itibarına zarar verme potansiyeli taşıyordu.
- Finansal Kayıplar: Sistemlerin kapalı kalması nedeniyle şirket, günlük milyonlarca yenlik kayıplara uğradı. Ayrıca, siber güvenlik iyileştirmeleri için ek maliyetler ortaya çıktı.
Saldırının Türü ve Kaynakları
Nihon Kotsu'ya yapılan siber saldırının ransomware ( fidye yazılımı ) türünde olduğu tahmin edilmektedir. Fidye yazılımları, saldırganların sistemlere erişim sağladıktan sonra verileri şifreleyerek şirketlerden fidye talep etmesini içerir. Bu tür saldırılar, genellikle phishing e-postaları, zayıf şifreler veya güncel olmayan güvenlik yamaları yoluyla gerçekleştirilir.
Çözüm Adımları
1. Acil Müdahale ve Sistemlerin Kapatılması
Saldırı tespit edildikten hemen sonra Nihon Kotsu, aşağıdaki adımları izleyerek sistemi kapattı ve yayılmayı engellemeye çalıştı:
- Sistemlerin İzolasyonu:
# Sistemleri ağdan ayırmak için ağ anahtarları (switch) kapatıldı sudo systemctl stop network.target # Kritik sunucuların fiziksel olarak bağlantısı kesildi - Güvenlik Duvarı Kuralları Güncellenmesi:
# Güvenlik duvarında (iptables) saldırgan IP'lerini engellemek için kurallar eklendi sudo iptables -A INPUT -s -j DROP sudo iptables -A FORWARD -s -j DROP # Tüm gelen ve giden trafiği geçici olarak durduruldu sudo iptables -P INPUT DROP sudo iptables -P OUTPUT DROP⚠️ Uyarı: Tüm trafiği durdurmak, sistemlerin tamamen kapalı kalmasına neden olabilir. Bu nedenle, sadece saldırgan IP'lerini hedefleyen kurallar uygulanmalıdır.
2. Siber Güvenlik Ekiplerinin Devreye Alınması
Nihon Kotsu, saldırıya karşı CERT (Computer Emergency Response Team) ve üçüncü taraf siber güvenlik firmaları ile iş birliği yaptı. Bu ekipler aşağıdaki görevleri yerine getirdi:
- Saldırı Analizi ve Log İncelemesi:
# Linux sistemlerinde saldırının izini sürmek için log dosyaları incelendi sudo grep -i "ransomware" /var/log/syslog sudo journalctl -u --since "2023-10-01" # Windows sistemlerinde Event Viewer kullanılarak saldırı kayıtları incelendi - Yedeklemelerin Kontrolü ve Geri Yüklenmesi:
# Veri yedeklemelerinin bütünlüğü kontrol edildi sha256sum /backup/path/file_backup.tar.gz # Saldırı öncesi yedeklemelerden sistemler geri yüklendi sudo tar -xzvf /backup/path/file_backup.tar.gz -C /💡 İpucu: Yedeklemelerin düzenli olarak test edilmesi ve farklı konumlarda saklanması, siber saldırılara karşı hayati önem taşır. 3-2-1 kuralını (3 kopya, 2 farklı ortam, 1 offsite) uygulamak önerilir.
3. Sistemlerin Yeniden Yapılandırılması ve Güvenlik İyileştirmeleri
Saldırı sonrası Nihon Kotsu, sistemlerini yeniden yapılandırırken aşağıdaki güvenlik önlemlerini uyguladı:
- Yama Yönetimi:
# Tüm sistemlerdeki güvenlik açıkları kapatıldı sudo apt update && sudo apt upgrade -y # Debian/Ubuntu sudo yum update -y # RHEL/CentOS # Kritik sistemler için otomatik yama uygulaması devreye alındı - Çok Faktörlü Kimlik Doğrulama (MFA) Uygulanması:
# SSH erişimi için MFA zorunlu hale getirildi sudo apt install libpam-google-authenticator -y sudo nano /etc/ssh/sshd_config # Aşağıdaki satırları ekleyin: ChallengeResponseAuthentication yes AuthenticationMethods publickey,keyboard-interactive # Google Authenticator'ı yapılandırın google-authenticator - Saldırı Tespit ve Önleme Sistemleri (IDS/IPS) Kurulumu:
# Snort IDS/IPS sistemi kurulumu sudo apt install snort -y sudo nano /etc/snort/snort.conf # Yerel kurallar oluşturma echo 'alert tcp any any -> any 22 (msg:"SSH Brute Force Attempt"; flow:to_server,established; content:"Failed password"; nocase; threshold: type threshold, track by_src, count 5, seconds 60; sid:1000001; rev:1;)' >> /etc/snort/rules/local.rules # Snort'u başlatma sudo snort -c /etc/snort/snort.conf -i eth0 -A console
4. Müşteri ve Çalışanlara Yönelik İletişim Stratejisi
Saldırı sonrası Nihon Kotsu, aşağıdaki adımları izleyerek hem müşterilerini hem de çalışanlarını bilgilendirdi:
- Resmi Açıklama ve Basın Bildirisi:
Şirket, saldırının ardından yaptığı açıklamada, müşterilerden özür dileyerek sistemlerin ne zaman normale döneceği konusunda tahmini bir tarih vermedi. Ayrıca, müşterilere verilerinin güvenli olduğunu ve üçüncü taraf bir siber güvenlik firması tarafından incelendiğini belirtti.
- Müşteri Desteği ve Alternatif Çözümler:
Sistemlerin kapalı olduğu dönemde, müşterilerin taksi çağırmak için telefonla rezervasyon yapmaları önerildi. Ayrıca, şirket müşteri hizmetleri hattını güçlendirerek soruları yanıtlamaya devam etti.
Önleyici Tedbirler ve İyileştirme Önerileri
1. Düzenli Güvenlik Denetimleri
Nihon Kotsu, saldırı sonrası aşağıdaki denetimleri düzenli olarak yapmaya başladı:
- Zayıf Nokta Taraması:
# OpenVAS kullanarak ağdaki zayıf noktalar taranıyor sudo gvm-cli scan --targets=192.168.1.0/24 --scan-id=full_and_fast # Sonuçlar analiz edilerek gerekli düzeltmeler yapılıyor - Sosyal Mühendislik Testleri:
Çalışanların phishing saldırılarına karşı direncini ölçmek için sahte phishing e-postaları gönderildi ve farkındalık eğitimleri verildi.
2. Veri Yedekleme ve Felaket Kurtarma Planları
Şirket, gelecekte benzer saldırılara karşı daha hazırlıklı olmak için aşağıdaki adımları uyguladı:
- Otomatik ve Manuel Yedeklemeler:
# Verilerin her gün otomatik olarak yedeklenmesi sudo rsync -avz /data/ /backup/daily/$(date +%Y-%m-%d) # Haftalık yedeklemelerin farklı bir lokasyona taşınması sudo rsync -avz /backup/daily/ /backup/weekly/ - Felaket Kurtarma Planı (DRP) Oluşturulması:
Şirket, sistemlerin tamamen çökmesi durumunda iş sürekliliğini sağlamak için bir Felaket Kurtarma Planı (DRP) oluşturdu. Bu plan, aşağıdaki unsurları içermektedir:
- Sistemlerin ne kadar sürede geri yüklenmesi gerektiği.
- Hangi personelin hangi görevlerden sorumlu olduğu.
- Müşterilere ve çalışanlara nasıl bilgi verileceği.
3. Çalışan Eğitimleri ve Farkındalık Programları
Nihon Kotsu, siber güvenlik farkındalığını artırmak için aşağıdaki eğitimleri düzenledi:
- Phishing ve Sosyal Mühendislik Eğitimi:
Çalışanlara, şüpheli e-postaları tanıma, güçlü şifreler oluşturma ve ikinci faktör kimlik doğrulamasını kullanma konularında eğitimler verildi.
- Siber Güvenlik Politikaları ve Prosedürleri:
Şirket, çalışanlara güvenlik politikalarını ve acil durum prosedürlerini açıklayan bir el kitabı dağıttı. Bu el kitabında, saldırı durumunda izlenecek adımlar detaylı olarak anlatıldı.
Sonuç ve Değerlendirme
Nihon Kotsu'ya yapılan siber saldırı, Japonya'daki kurumsal siber güvenlik tehditlerinin ciddiyetini bir kez daha gözler önüne serdi. Saldırı sonrası şirketin aldığı acil tedbirler ve uzun vadeli iyileştirmeler, benzer olayların önlenmesi açısından önemli bir örnek teşkil etmektedir. Ancak, siber tehditlerin sürekli olarak evrim geçirdiği düşünüldüğünde, şirketlerin düzenli güvenlik denetimleri, çalışan eğitimleri ve güçlü yedekleme stratejileri uygulamaya devam etmeleri gerekmektedir.
Bu olaydan çıkarılan en önemli derslerden biri, siber güvenliğin sadece BT departmanının sorumluluğu olmadığıdır. Tüm çalışanların ve yöneticilerin siber güvenlik konusunda bilinçli olması, şirketlerin saldırılara karşı daha dirençli hale gelmesini sağlayacaktır.



