Ülkemizde e-devlet uygulamalarının ortalamanın üzerinde olduğunu ve her geçen yıl yeni özelliklerle zenginleştiğini söyleyebiliriz. Bu uygulamalardan biri de kişisel sağlık verilerimizi içeren e-Nabız sistemi. Bu yazıda geçtiğimiz Temmuz ayında Singapur sağlık sisteminden, başbakan dahil 1.5 milyon vatandaşın verilerinin çalınması ve sonrasındaki değerlendirme sürecini incelemeye çalışarak, başlıktaki sorumuza yanıt aramaya çalışacağız.
Kişisel verilerimizin çalınması genel olarak kötü bir durum ancak kişisel sağlık verilerinin başkalarının eline geçmesi, daha da kritik bir sorun olarak değerlendirilmelidir. Örneğin kredi kartı bilgileriniz çalındığında size yeni bir kart verilebilir yada parolanız ele geçirildi ise yenisini oluşturabilirsiniz. Kişisel sağlık verileriniz çalındığında ise, geçirilen hastalıklar, kullanılan ilaçlar, sahip olduğunuz alerjiler gibi çalınan veriyi geriye dönük olarak anlamsız kılacak bir çözüm üretme şansınız maalesef bulunmuyor! Teknik açıdan baktığımızda, devlet tarafından size yeni bir kimlik, isim ve geçmiş üretilebilirse "çözüm" mümkün olabilir; pratikte ise bunun da olanaksızlığı ortadadır.
Analiz Raporu
Singapur hükümeti, 20 Temmuz 2018 tarihinde saldırıya ilişkin kamuoyunun bilgilendirilmesini takiben [1], olayla ilgili geniş kapsamlı bir araştırma da başlattı. Aylar süren araştırmanın sonuçları 10 Ocak 2019 tarihinde yayınlandı [2]. Olay öncesine, gerçekleştiği sürece ve sonrasına dair detaylı bilgiler içeren 454 sayfalık bu raporun, başta kamu kurumları olmak üzere, veri güvenliği konusunda azami dikkati göstermesi gereken diğer kurum ve kuruluşlar için paha biçilemez değerde olduğunu düşünüyorum!
Yukarıdaki resim her ne kadar Grönland havaalanına inişi gösterse de bana daha çok birbiri ardına gelen küçük hataların biraz sonra yol açacağı yıkımın anlatıldığı, NatGeo'nun Uçak Kazası Raporu'ndan bir sahneyi hatırlatıyor.
Yayınlanan bu rapor, ilgili belgeselde görülen titiz çalışmayı aratmayacak cinsten detayları barındırıyor. Çalışanlar, yöneticiler ve sistemle ilişkili olan herkesin araştırıldığı, geriye dönük olarak tüm kanıtların toplandığı ve gerektiğinde kişilerin savunmalarının alındığı, paralelde adli incelemelerin de yürütüldüğü kapsamlı bir çalışma söz konusu. Bu önemli veri sızıntısına yol açan olaylar tarihi akışı içerisinde sıralanmış, psikolojik unsurlar da dahil edilerek karar alma motivasyonunu etkileyen insan hataları dikkatle değerlendirilmiş.
İncelemeler olayın gerçekleştiği son 10 ayla da sınırlı kalmamış, yeri geldiğinde 2014 yılına kadar geri gidilmiş. Bununla ilgili raporda geçen görece komik bir olaydan kısaca bahsedelim. Singapur sağlık sistemi yazılımı raporda kısaca SCM olarak geçiyor. Anlaşıldığı üzere bu yazılım projesi bünyesinde Allscripts firmasının bir çözümü de kullanılmaktaymış. 2014 yılında yazılım geliştiricilerden Zhao Hainan, bu çözümden kaynaklanan bir güvenlik açığını farkediyor ve durumu yöneticisine bildiriyor. Yöneticisi ek log almasını istiyor ama sonrasında olayı takip etmiyor. Bizim Zhao da biraz uyanık, gidip Allsystems firmasının rakibi olan Epic Systems Corporation'a, "rakip üründe çok önemli bir güvenlik zaafiyeti buldum, bunu kullanıp pazar payınızı artırmak isterseniz benimle iletişime geçin" tarzında bir mail gönderiyor.
Maili gönderdiğinin ertesi günü Allscripts firması yetkilisi durumdan haberdar oluyor (muhtemelen Epic firması bu bilgiyi paylaşıyor) ve proje ekibine haber verilerek bizim Zhao'nun işine derhal son veriliyor. 4 yıl sonra gerçekleşen bu veri sızıntısında da Zhao'nun dahli olup olmadığı tekrar araştırılıyor ancak herhangi bir kanıt bulunamıyor, sonuçta Zhao işinden olmakla kalıyor.
Zhao işinden atılmış olsa da, yazılım güvenliği noktasında ortada ciddi bir iddia söz konusu olduğundan, Allscripts'den de bir açıklama bekleniyor. Firma bu noktada kolaycı bir yaklaşım sergileyerek, problemin Microsoft SQL Server'dan kaynaklanan bilinen ve eski bir sıkıntı olduğunu, yapılan güncellemeler sonrasında geçerliliğini yitirdiğini iletiyor. Ancak 4 yıl sonraki sızıntıda veritabanına erişmeden önceki son adımda bu açıktan faydalanılmış olduğu, dolayısıyla Zhao'nun haklılığı da ortaya çıkıyor!
Son ana dek önleme şansı varmış!
Bu olaydaki veri sızıntısına giden yolda durumu farketme ve önleme şansı ekibin önüne defalarca gelmiş ve hatta bazı önlemler alınmış olmasına rağmen, insan hataları ve karar alma mekanizmalarındaki sıkıntılar nedeniyle saldırgan durdurulamamıştır.
Raporda vurgulandığı gibi, saldırgan hareketlerini gizlice yapmakla beraber tümüyle sessiz olamamıştır. Asıl hedefine ulaşmadan 10 ay kadar önce sisteme ilk sızıntısını gerçekleştirmiş, ardından geçen zaman diliminde sabırla daha fazla sisteme yayılmaya çalışmıştır. Bu yönüyle saldırganın aceleci olmadığını, zamana yayılmış dikkatli bir plan çerçevesinde hareket ettiğini söyleyebiliyoruz. Ancak sistem içerisinde hareket etmeye çalışırken oluşan şüpheli giriş denemeleri, ele geçirdiği bazı sistemlerde Windows güvenlik loglarını silmiş olması, envanterde olmayan bir IP adresinden yapılan bağlantılar, bazı sistemlerde yakalanan tuhaf uygulamalar gibi farklı zamanlarda farklı başlıklardaki ipuçları, güvenlik ekiplerinin farklı birimlerince farkedilmiştir.
Bunca ipucu yakalanmış ve bir yere kadar detaylı incelemeler yapılmış olmasına rağmen, çalışanların tecrübeleri yetersiz kalmış; yöneticilerin ise gereksiz panik yaratmama refleksleri devreye girerek, diğer iş yoğunlukları arasında buradaki olası riski doğru okuyamamalarına neden olmuştur.
Saldırıyı mümkün kılan zaafiyetler
Problemin spesifik bir zaafiyet nedeniyle oluşmadığı, birbirini takip eden olaylar silsilesi şeklinde geliştiği görülmektedir. Raporda detayları bulunabilir ama başlıcalarına değinmek gerekirse, ayrıcalıklı kullanıcı hesaplarının denetiminin sıkı yapılmaması, sistem yöneticilerinin gerekmese de sistemlere yönetici olarak bağlanmaları, bir Privilege Access Management çözümü kullanılmasına rağmen bu gruba dahil olan kişilerde Two-Factor Authentication (2FA) zorunlu olmaması, Citrix sunucular üzerindeki unutulan local admin kullanıcılar ve bunları engelleyecek group policy eksiklikleri, Citrix sunucularındaki uygulamaların çalışabilmesi için gereğinden fazla verilen erişim yetkileri, güncellemeleri yapılmamış bilgisayarlar, olaylar sırasında sistemin bulut tabanlı daha büyük bir yapıya transferi sürecinin devam ediyor olması, envanter yönetiminin iyi yapılamamış olması, tüm uç birimlerde Powershell'in aktif olması, internete bağlanabilen ağ ile diğer ağlar arasındaki segmentasyonun iyi yapılmamış ve etkin biçimde takip edilmiyor olması vb. gibi onlarca maddeden bahsedebiliriz.
Ancak bence raporun asıl değeri bu ve bunlar gibi sıkıntı yaratan teknik maddelerdeki tespitlerinde değil, olayları aktörleri ve onların psikolojilerini de inceleyerek bir zaman çizelgesi üzerine oturtarak anlatmasında yatıyor. Tek tek bakıldığında önlem alınabilir gibi görünen teknik maddelere bu zaman çizelgesi ve insan kaynağının özellikleri çerçevesinde bütünsel olarak baktığımızda, ne yaparsak yapalım bu sonuç kaçınılmazdı, sadece zamanı değişebilirdi hissine kapılıyoruz.
Güvenli bir sistem mümkün olamaz mı?
Bu soruya en güvenli sistem fişi çekilmiş olandır tarzında geleneksel bir yanıt vermek istemiyorum. Elbette güvenli bir sistem geliştirilmesi teknik olarak mümkündür ancak teknik olarak mümkün olması, pratikte yapılabileceği anlamını taşımamaktadır. Ayrıca tam bu noktada Linus Torvalds'ın bir sözünü de yinelemek isterim:Theory and practice sometimes clash. And when that happens, theory loses. Every single time.
Güvenli bir sisteme giden yolu tıkayan onlarca ana madde sayabiliriz, birkaçına değinmeye çalışalım.
En önemli neden, güvenli yazılım / sistem geliştirmenin çok ama çok pahalı olmasıdır. Bu konuda kullanabileceğiniz insan kaynağı sınırlıdır, dolayısıyla pahalıdır. Güvenli yazılım geliştirme, en yetenekli insan kaynağına sahip olsanız dahi çok daha uzun zaman alan bir süreçtir. Burada %5-%10 gibi bir farktan değil duruma göre onlarca kata varabilecek ciddi bir maliyet artışından söz ediyoruz. Hiç bir karar verici, böyle bir farka rağmen o yoldan gitmez. Üstelik tüm bu maliyet sonucu elde edilecek çıktının garantisi gene yoktur.
Bir diğer neden, sibergüvenliğin herhangi bir organizasyonun temel odaklanması gereken alanlardan biri olarak görülmeyişidir. Bunun yerine sibergüvenlik, Bilgi Teknolojileri departmanının halletmesi gereken detaylardan biri olarak değerlendirilmektedir.
Bir başka neden, saldırganın kurum personelinden hemen her zaman çok daha fazla birikimli, konusuna hakim ve motivasyonunun yüksek olmasıdır. Bu saldırılara karşı konulabilmesi için gereken tecrübeye sahip kişilerin, örneğin bir kamu kurumu yada büyük bir şirkette sürekli maaşlı pozisyonda çalışması beklenemez; eğer çalışıyorsa zaten burada konu edilen birikime sahip değil demektir. Dolayısıyla bazı kısa zaman dilimlerinde yetkin bir kadroya sahip olunsa dahi, hem sürekliliği sağlanamayacak hem de kurum içi bürokrasi bu kişilerin en azından zamanında karar almasını engelleyecektir.
İnsanlar güvenlik sorunlarını görece çabuk unutmaktadırlar hatta bu süre ortalama 3 ay olarak değerlendirilmektedir. Bir problem oluştuktan sonra kullanıcılar en basitinden parolalarına özen göstermeye başlamakla birlikte, aradan 3 ay geçtikten sonra tekrar eski alışkanlıklarına geri dönmektedirler. Singapur'da yaşanan bu olayın duyulmasından sonra, Avustralya'daki benzeri bir sistemden başlangıçta bireysel olarak çok sayıda çıkış gerçekleşmiş (oradaki sistem bizdeki otomatik katılımlı BES gibi işliyor, dileyen sistemden çıkabiliyor [3]) fakat zamanla çıkış oranları eski trendine dönmüştür.
Liste bu şekilde uzayıp gitmektedir, ancak kullandığımız yazılımların güvensiz olmasının altında aslında çok daha temel bir neden yatmaktadır.
Yazılımlar genel olarak güvensizdir ve bir süre daha da öyle kalacaktır zira tüm bu güvensiz yazılımların dünya genelinde ürettiği fayda, güvenlik sorunları nedeniyle yol açtığı zararın çok daha üzerindedir. Bu denge ne zaman değişirse, ondan sonra oturup güvenli yazılımlardan söz etmeye başlayabiliriz.
Buradan hareketle baştaki sorumuza genel bir çerçevede yanıt vermiş olduğumuzu düşünüyorum. İlgili kurumların bu ve benzeri olayları da takip ederek, sibergüvenlik konusunu dikkatle ele aldıklarını umalım.
Kişisel sağlık verilerimiz ne kadar güvende?
Ülkemizde e-devlet uygulamalarının ortalamanın üzerinde olduğunu ve her geçen yıl yeni özelliklerle zenginleştiğini söyleyebiliriz. Bu uygulamalardan biri de kişisel sağlık verilerimizi içeren e-Nabız sistemi. Bu yazıda geçtiğimiz Temmuz ayında Singapur sağlık sisteminden, başbakan dahil 1.5 milyon vatandaşın verilerinin çalınması ve sonrasındaki değerlendirme sürecini incelemeye çalışarak, başlıktaki sorumuza yanıt aramaya çalışacağız.
Kişisel verilerimizin çalınması genel olarak kötü bir durum ancak kişisel sağlık verilerinin başkalarının eline geçmesi, daha da kritik bir sorun olarak değerlendirilmelidir. Örneğin kredi kartı bilgileriniz çalındığında size yeni bir kart verilebilir yada parolanız ele geçirildi ise yenisini oluşturabilirsiniz. Kişisel sağlık verileriniz çalındığında ise, geçirilen hastalıklar, kullanılan ilaçlar, sahip olduğunuz alerjiler gibi çalınan veriyi geriye dönük olarak anlamsız kılacak bir çözüm üretme şansınız maalesef bulunmuyor! Teknik açıdan baktığımızda, devlet tarafından size yeni bir kimlik, isim ve geçmiş üretilebilirse "çözüm" mümkün olabilir; pratikte ise bunun da olanaksızlığı ortadadır.
Analiz Raporu
Singapur hükümeti, 20 Temmuz 2018 tarihinde saldırıya ilişkin kamuoyunun bilgilendirilmesini takiben [1], olayla ilgili geniş kapsamlı bir araştırma da başlattı. Aylar süren araştırmanın sonuçları 10 Ocak 2019 tarihinde yayınlandı [2]. Olay öncesine, gerçekleştiği sürece ve sonrasına dair detaylı bilgiler içeren 454 sayfalık bu raporun, başta kamu kurumları olmak üzere, veri güvenliği konusunda azami dikkati göstermesi gereken diğer kurum ve kuruluşlar için paha biçilemez değerde olduğunu düşünüyorum!
Yukarıdaki resim her ne kadar Grönland havaalanına inişi gösterse de bana daha çok birbiri ardına gelen küçük hataların biraz sonra yol açacağı yıkımın anlatıldığı, NatGeo'nun Uçak Kazası Raporu'ndan bir sahneyi hatırlatıyor.
Yayınlanan bu rapor, ilgili belgeselde görülen titiz çalışmayı aratmayacak cinsten detayları barındırıyor. Çalışanlar, yöneticiler ve sistemle ilişkili olan herkesin araştırıldığı, geriye dönük olarak tüm kanıtların toplandığı ve gerektiğinde kişilerin savunmalarının alındığı, paralelde adli incelemelerin de yürütüldüğü kapsamlı bir çalışma söz konusu. Bu önemli veri sızıntısına yol açan olaylar tarihi akışı içerisinde sıralanmış, psikolojik unsurlar da dahil edilerek karar alma motivasyonunu etkileyen insan hataları dikkatle değerlendirilmiş.
İncelemeler olayın gerçekleştiği son 10 ayla da sınırlı kalmamış, yeri geldiğinde 2014 yılına kadar geri gidilmiş. Bununla ilgili raporda geçen görece komik bir olaydan kısaca bahsedelim. Singapur sağlık sistemi yazılımı raporda kısaca SCM olarak geçiyor. Anlaşıldığı üzere bu yazılım projesi bünyesinde Allscripts firmasının bir çözümü de kullanılmaktaymış. 2014 yılında yazılım geliştiricilerden Zhao Hainan, bu çözümden kaynaklanan bir güvenlik açığını farkediyor ve durumu yöneticisine bildiriyor. Yöneticisi ek log almasını istiyor ama sonrasında olayı takip etmiyor. Bizim Zhao da biraz uyanık, gidip Allsystems firmasının rakibi olan Epic Systems Corporation'a, "rakip üründe çok önemli bir güvenlik zaafiyeti buldum, bunu kullanıp pazar payınızı artırmak isterseniz benimle iletişime geçin" tarzında bir mail gönderiyor.
Maili gönderdiğinin ertesi günü Allscripts firması yetkilisi durumdan haberdar oluyor (muhtemelen Epic firması bu bilgiyi paylaşıyor) ve proje ekibine haber verilerek bizim Zhao'nun işine derhal son veriliyor. 4 yıl sonra gerçekleşen bu veri sızıntısında da Zhao'nun dahli olup olmadığı tekrar araştırılıyor ancak herhangi bir kanıt bulunamıyor, sonuçta Zhao işinden olmakla kalıyor.
Zhao işinden atılmış olsa da, yazılım güvenliği noktasında ortada ciddi bir iddia söz konusu olduğundan, Allscripts'den de bir açıklama bekleniyor. Firma bu noktada kolaycı bir yaklaşım sergileyerek, problemin Microsoft SQL Server'dan kaynaklanan bilinen ve eski bir sıkıntı olduğunu, yapılan güncellemeler sonrasında geçerliliğini yitirdiğini iletiyor. Ancak 4 yıl sonraki sızıntıda veritabanına erişmeden önceki son adımda bu açıktan faydalanılmış olduğu, dolayısıyla Zhao'nun haklılığı da ortaya çıkıyor!
Son ana dek önleme şansı varmış!
Bu olaydaki veri sızıntısına giden yolda durumu farketme ve önleme şansı ekibin önüne defalarca gelmiş ve hatta bazı önlemler alınmış olmasına rağmen, insan hataları ve karar alma mekanizmalarındaki sıkıntılar nedeniyle saldırgan durdurulamamıştır.
Raporda vurgulandığı gibi, saldırgan hareketlerini gizlice yapmakla beraber tümüyle sessiz olamamıştır. Asıl hedefine ulaşmadan 10 ay kadar önce sisteme ilk sızıntısını gerçekleştirmiş, ardından geçen zaman diliminde sabırla daha fazla sisteme yayılmaya çalışmıştır. Bu yönüyle saldırganın aceleci olmadığını, zamana yayılmış dikkatli bir plan çerçevesinde hareket ettiğini söyleyebiliyoruz. Ancak sistem içerisinde hareket etmeye çalışırken oluşan şüpheli giriş denemeleri, ele geçirdiği bazı sistemlerde Windows güvenlik loglarını silmiş olması, envanterde olmayan bir IP adresinden yapılan bağlantılar, bazı sistemlerde yakalanan tuhaf uygulamalar gibi farklı zamanlarda farklı başlıklardaki ipuçları, güvenlik ekiplerinin farklı birimlerince farkedilmiştir.
Bunca ipucu yakalanmış ve bir yere kadar detaylı incelemeler yapılmış olmasına rağmen, çalışanların tecrübeleri yetersiz kalmış; yöneticilerin ise gereksiz panik yaratmama refleksleri devreye girerek, diğer iş yoğunlukları arasında buradaki olası riski doğru okuyamamalarına neden olmuştur.
Saldırıyı mümkün kılan zaafiyetler
Problemin spesifik bir zaafiyet nedeniyle oluşmadığı, birbirini takip eden olaylar silsilesi şeklinde geliştiği görülmektedir. Raporda detayları bulunabilir ama başlıcalarına değinmek gerekirse, ayrıcalıklı kullanıcı hesaplarının denetiminin sıkı yapılmaması, sistem yöneticilerinin gerekmese de sistemlere yönetici olarak bağlanmaları, bir Privilege Access Management çözümü kullanılmasına rağmen bu gruba dahil olan kişilerde Two-Factor Authentication (2FA) zorunlu olmaması, Citrix sunucular üzerindeki unutulan local admin kullanıcılar ve bunları engelleyecek group policy eksiklikleri, Citrix sunucularındaki uygulamaların çalışabilmesi için gereğinden fazla verilen erişim yetkileri, güncellemeleri yapılmamış bilgisayarlar, olaylar sırasında sistemin bulut tabanlı daha büyük bir yapıya transferi sürecinin devam ediyor olması, envanter yönetiminin iyi yapılamamış olması, tüm uç birimlerde Powershell'in aktif olması, internete bağlanabilen ağ ile diğer ağlar arasındaki segmentasyonun iyi yapılmamış ve etkin biçimde takip edilmiyor olması vb. gibi onlarca maddeden bahsedebiliriz.
Ancak bence raporun asıl değeri bu ve bunlar gibi sıkıntı yaratan teknik maddelerdeki tespitlerinde değil, olayları aktörleri ve onların psikolojilerini de inceleyerek bir zaman çizelgesi üzerine oturtarak anlatmasında yatıyor. Tek tek bakıldığında önlem alınabilir gibi görünen teknik maddelere bu zaman çizelgesi ve insan kaynağının özellikleri çerçevesinde bütünsel olarak baktığımızda, ne yaparsak yapalım bu sonuç kaçınılmazdı, sadece zamanı değişebilirdi hissine kapılıyoruz.
Güvenli bir sistem mümkün olamaz mı?
Bu soruya en güvenli sistem fişi çekilmiş olandır tarzında geleneksel bir yanıt vermek istemiyorum. Elbette güvenli bir sistem geliştirilmesi teknik olarak mümkündür ancak teknik olarak mümkün olması, pratikte yapılabileceği anlamını taşımamaktadır. Ayrıca tam bu noktada Linus Torvalds'ın bir sözünü de yinelemek isterim:Theory and practice sometimes clash. And when that happens, theory loses. Every single time.
Güvenli bir sisteme giden yolu tıkayan onlarca ana madde sayabiliriz, birkaçına değinmeye çalışalım.
En önemli neden, güvenli yazılım / sistem geliştirmenin çok ama çok pahalı olmasıdır. Bu konuda kullanabileceğiniz insan kaynağı sınırlıdır, dolayısıyla pahalıdır. Güvenli yazılım geliştirme, en yetenekli insan kaynağına sahip olsanız dahi çok daha uzun zaman alan bir süreçtir. Burada %5-%10 gibi bir farktan değil duruma göre onlarca kata varabilecek ciddi bir maliyet artışından söz ediyoruz. Hiç bir karar verici, böyle bir farka rağmen o yoldan gitmez. Üstelik tüm bu maliyet sonucu elde edilecek çıktının garantisi gene yoktur.
Bir diğer neden, sibergüvenliğin herhangi bir organizasyonun temel odaklanması gereken alanlardan biri olarak görülmeyişidir. Bunun yerine sibergüvenlik, Bilgi Teknolojileri departmanının halletmesi gereken detaylardan biri olarak değerlendirilmektedir.
Bir başka neden, saldırganın kurum personelinden hemen her zaman çok daha fazla birikimli, konusuna hakim ve motivasyonunun yüksek olmasıdır. Bu saldırılara karşı konulabilmesi için gereken tecrübeye sahip kişilerin, örneğin bir kamu kurumu yada büyük bir şirkette sürekli maaşlı pozisyonda çalışması beklenemez; eğer çalışıyorsa zaten burada konu edilen birikime sahip değil demektir. Dolayısıyla bazı kısa zaman dilimlerinde yetkin bir kadroya sahip olunsa dahi, hem sürekliliği sağlanamayacak hem de kurum içi bürokrasi bu kişilerin en azından zamanında karar almasını engelleyecektir.
İnsanlar güvenlik sorunlarını görece çabuk unutmaktadırlar hatta bu süre ortalama 3 ay olarak değerlendirilmektedir. Bir problem oluştuktan sonra kullanıcılar en basitinden parolalarına özen göstermeye başlamakla birlikte, aradan 3 ay geçtikten sonra tekrar eski alışkanlıklarına geri dönmektedirler. Singapur'da yaşanan bu olayın duyulmasından sonra, Avustralya'daki benzeri bir sistemden başlangıçta bireysel olarak çok sayıda çıkış gerçekleşmiş (oradaki sistem bizdeki otomatik katılımlı BES gibi işliyor, dileyen sistemden çıkabiliyor [3]) fakat zamanla çıkış oranları eski trendine dönmüştür.
Liste bu şekilde uzayıp gitmektedir, ancak kullandığımız yazılımların güvensiz olmasının altında aslında çok daha temel bir neden yatmaktadır.
Buradan hareketle baştaki sorumuza genel bir çerçevede yanıt vermiş olduğumuzu düşünüyorum. İlgili kurumların bu ve benzeri olayları da takip ederek, sibergüvenlik konusunu dikkatle ele aldıklarını umalım.
Kaynaklar