Fidye yazılımı: Ödemeli mi ödememeli mi? Yasal mı yasadışı mı? Aklımıza takılan sorular...

Sonraki hikaye
Tony Anscombe

Köşeye sıkışan birçok fidye yazılımı kurbanı, şantajlara boyun eğmek zorunda kalıyor. Bu yazımızda, bu durumu değiştirmek için yapabileceklerinize yer veriyoruz.

Siber güvenlik bütçelerinin, şirket anaparasının ya da sigorta fonlarının fidye yazılımı nedeniyle yüklü ödemeler yapmak için kullanılmasını kimse istemez. Bu durumda şirketler neden bu ödemeleri yapıyor ve bu gidişatı nasıl durdurabiliriz?

Neden birçok fidye yazılımı kurbanı talep edilen parayı ödüyor?

Basit bir şekilde ifade etmek gerekirse, ödememenin yol açacağı zarar daha maliyetli olabileceğinden bu ödemeleri yapıyorlar. Şu anda insanların fidyeyi ödeme eğiliminde olmasının nedeni, büyük ihtimalle daha önce ödemeyi reddedip etik açıdan cesur davranan kuruluşların yaşadıklarıdır. WannaCryptor (WannaCry olarak da biliniyor) kötü amaçlı fidye yazılımını 2017 yılında piyasaya sürdüğünde İngiltere Ulusal Sağlık Hizmeti altyapı açısından önemli bir darbe aldı. Bu kadar büyük bir darbe almalarının nedenleri ayrıntılı olacak belgelendi ve bu altyapıyı yeniden oluşturmanın maliyeti 120 milyon ABD doları olarak açıklandı. Ayrıca onkoloji dahil olmak üzere 19.000’den fazla hastanın randevularının iptal edilmesi de bu saldırının ne kadar büyük bir etkisi olduğunu gözler önünde seriyor.

Daha sonrasında 2018 yılında Atlanta şehrinde SamSam fidye yazılımı, akıllı şehir sunucu altyapısına saldırdı ve siber suçlular 51.000 ABD doları talep etti. Saldırıdan sonra sistemleri yeniden oluşturulması birkaç yıl sürdü ve bunun maliyeti ise 11 milyon ila 17 milyon ABD doları civarındadır. Yeniden oluşturma esnasında yapılan iyileştirmeler ve geliştirmeler de bu maliyetin artmasına neden oldu. Eminim ki Atlanta’da yaşayan birçok kişi talep edilen fidyeyi ödemeyi tercih ederdi.

Kamu tarafından bilinen buna benzer olaylarda hasarı telafi etmenin maliyeti fidyeye oranla ciddi anlamda yüksek olduğundan, ödeyip ödememe ikileminde maliyet, etik davranıştan daha ağır basıyor. Yerel veya merkezi devlet kuruluşlarını etkileyen yukarıdaki iki örnekten yola çıkarak bu kurbanların ahlaki değerlerine göre siber suçlulara fon sağlamayı uygun bulmadığını söyleyebiliriz. Ancak yalnızca bir sene sonra Florida’daki Lake City ve Riviera Beach belediyeleri, fidye yazılımı talepleri üzerine sırasıyla 500.000 ve 600.000 ABD doları ödeme yaptı.

Bu saldırının tekrarlanmayacağına veya verilen fidyenin işe yarayacağına dair hiç bir garanti yok. Cybereason tarafından geçtiğimiz günlerde yapılan bir araştırmaya göre fidyeyi ödeyen şirketlerin neredeyse yarısı deşifre anahtarını aldıktan sonra bile kritik verilerinin hepsine yeniden erişim sağlayamıyor. Bu durumda neden ödeme yapılsın ki? Her iki taraf açısından da fidye yazılımı işi gittikçe daha ticari ve karmaşık hale geliyor. Siber suçlular, yeniden oluşturma maliyetlerinin halka açık biçimde duyurulmasıyla suçlarına dahil olan verilerin değerinin farkına vardı ve bunun sonucunda sektörde fidye yazılımı arabuluculuğu ve siber sigorta gibi tamamen yeni segmentler oluştu. Yeni bir iş segmenti doğdu: şirketler ve bireyler fidye taleplerinin ödemesine aracı olarak bundan kâr sağlamaya başladı.

Ayrıca, uzman kaynaklara erişim imkanı daha kısıtlı olan küçük şirketler için fidye yazılımının yıkıcı etkilerini de göz ardı etmemeliyiz. Fidyeyi ödemek, bu şirketlerin ayakta kalmasını sağlayabilir veya 300 kişinin işsiz kaldığı The Heritage Company örneğinde olduğu gibi şirketin kapanmasını ve önleyebilir. Gizlilik konusunda yasal düzenlemelerinin bulunduğu ülkelerde fidyeyi ödemek, yetkilileri bilgilendirme ihtiyacını da ortadan kaldırabilir. Ancak benim fikrimce, çalınan bilgilerin silinmesi koşuluyla fidye ödemesi yapılıp yapılmaması fark etmeksizin, her zaman yetkili kurumlara sızıntıyla ilgili bilgi verilmelidir.

Fidyeyi ödemek genellikle yasadışı değildir

2020 yılının Ekim ayında ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi (OFAC), bazı durumlarda fidye amaçlı yazılım dolayısıyla ödeme yapmanın yasadışı olduğunu açıkladı. Bunu açıklığa kavuşturmak gerekirse, yaptırımlar listesinde yer alan kişilere, kuruluşlara, rejimlere ve bazı durumlarda tüm ülkeye ödeme yapmak yasadışıdır. Burada önemli olan bazı siber suç gruplarının yaptırımlar listesinde bulunmasıdır. Yaptırımlar listesinde bulunmayan birine para göndermek veya para gönderilmesini sağlamak da yasadışı mıdır? Ben öyle olabileceğini düşünüyorum. Peki bu durumda bu açıklama ne anlama geliyor? Tabii ki bu politik bir açıklamadır. Hükümetler, kendilerine oy veren kişilerin hükümetin siber suçlularla mücadele etmek amacıyla bir şey yaptığını düşünmesini istiyor. Avrupa Birliği, resmi yaptırımlar listesinde bulunan taraflara fon sağlamayı yasaklayan bir yaptırımlar rejiminin bulunduğu benzer bir sistem uyguluyor.

OFAC’nin hükümlerinin yanı sıra ABD’de fidye yazılımı dolayısıyla ödeme yapmayla ilgili net bir kural yoktur, hatta uzmanlara göre bu ödemeler vergiden bile düşülebilir. Bu durum, bir şirketin bu ödemeyi yapıp yapmama kararını verme sürecinde rol oynayabilir.

Siber suçun arkasındaki kişileri veya bu kişilerin yerini belirlemek zordur. Teknolojik olanaklar, bu gruplardan birçoğunun kısmen de olsa anonim ve hareket halinde olmasını sağlar. Ancak ödeme yapıp yapmama söz konusu olduğunda, yaptırımlar listesinde yer alan birine veya bir gruba farkında olmadan ödeme yapmak sizi yasalar karşısında haksız duruma düşürebileceğinden kime ödeme yaptığınızı bilmek önemli bir etkendir. Listedeki bazı kişilerin, bir grubun içinde gizlice pay alma fırsatından faydalanabileceğini ve bu durumda ödeme yapmanın yasadışı olabileceğini unutmayın.

Şekil 1. DarkSide tarafından oluşturulan masaüstü duvar kağıdı

 

Colonial Pipeline tarafından yapılan 75 biltcoin’lik (o tarihteki değeriyle 4,4 milyon ABD doları) ödeme, bu yaptırımlar listesiyle ödemeyi yasaklamanın etkisiz olduğunu gösteriyor. FBI bu ödemenin 63,7 bitcoin’lik kısmını geri almıştır. (Bu tutar geri alındığında neredeyse 2,3 milyon ABD doları ediyordu, ancak fidye ödendiği sırada 3,7 milyon ABD doları ediyordu.) Saldırının arkasında olan ve Rusya’da bulunduğu düşünülen Darkside isimli grup, listeden kaçınmak için dikkatli davrandı. Örneğin, bu amaçla veri depolarını İran’da bulundurmayarak “işini” yaptırımlar listesinde bulunmayan bölgelerde sürdürdü.

Hizmet olarak fidye yazılımı iş modeli

Siber suç grubu Darkside, Colonial Pipeline olayının ardından çok dikkat çektiği için dağıldı. Bu grup yaptırımlar listesinde yer alıyor muydu? Dağılmış olması grubun saldırılarının sona ereceği anlamına mı geliyor? İkisinin de cevabı “hayır”. Bilinen tüm siber suç gruplarının neden yaptırımlar listesinde olmadığını anlamıyorum ancak belki de fazla mantıklı olduğu için böyledir. Bu gruplar genellikle hizmet sağlayıcı olarak faaliyet gösteriyor ve “iş olanakları” sunan gerçek saldırganlar kendileri değil. Bunun yerine saldırganlara altyapı ve hizmet sunan, daha sonrasında da elde edilen geliri paylaşan gruplardır. Bu duruma genellikle “hizmet olarak fidye yazılımı” veya RaaS deniyor ve gerçek saldırganlar RaaS gruplarıyla ticari ilişkiler içerisinde oluyor.

Saldırganlar hedefi belirleyip bir şekilde kurbanların ağına sızıyor ve hassas bilgilerin olduğu dosyaları kopyalıyor. Ardından Darkside gibi bir RaaS sağlayıcısından edinilen kötü amaçlı kodu kurbanla paylaşıyor. RaaS sağlayıcıları, arka uç hizmetleri sağlayıp süreci yürüterek saldırıyı kolaylaştırıyor. Kurban ödeme yaptıktan sonra ise genellikle 75/25 oranla ödemeden pay alıyor. Darkside işi bıraktığında büyük ihtimalle diğer fidye yazılımı hizmet sağlayıcıları bu durumdan yararlandı ve hiçbir çabaya girmeden şirketin bu durumundan faydalanan yeni iş ortakları belirdi.

Bu durumda şu soru akıllara geliyor: Saldırının asıl sorumlusu iş ortakları mı yoksa hizmet sağlayıcısı mı? Genellikle medyaya yansıyan bilgiler, siber suçlarla mücadele ekipleri tarafından sağlanıyor ve bu ekipler kötü amaçlı kodun türüne, ödeme bilgilerine veya imza gibi saldırganlar hakkında ipucu verebilecek bilgilere göre saldırının sahibi olan hizmet sağlayıcıyı belirliyor. Ancak olayın kimin başlattığı, iş ortağının kim olduğu, bu işin arkasında kimler olduğuyla ilgili bilgileri nadiren duyuyoruz. Ayrıca saldırı yamalanmamış güvenlik açıklarından faydalanan, bilgili bir bilgisayar korsanının işi veya hedefe yönelik bir kimlik avı dolandırıcılığı olabilir. Ölçeklendirilebilir bir şekilde ve iyi donanımlı bir siber suç işi olabilir.

Günümüzde verileri sızdırmanın yanı sıra verileri şifreleyerek erişimin önlenmesi de yaygın olarak görülüyor. Bu nedenle genellikle saldırılar veri ihlali unsurlarını da içeriyor.

Verilerin yayınlanmasını veya satılmasını engellemek üzere ödeme yapmak yasadışı mı?

Kişisel veya hassas bilgilerin ifşa edilmesine veya karanlık ağda satılmasına yönelik tehditler, şantajın başka bir türü olarak düşünülebilir ve bu şekilde bir yarar sağlamak birçok yasaya göre suç unsurudur. Son zamanlarda fidye taleplerinde artış görülen ABD’de şantaj, hem bir mülkiyeti ele geçirilmesini ve şantajcının taleplerine uyulmadığı takdirde kurbanın başına bir şey geleceğine dair yazılı veya sözlü olarak korku yaratılmasını kapsıyor. Verilerin şifrelenmesi, sistemlere erişimin sınırlandırılması fidye yazılımı durumlarında görülen bir durumdur, ancak ele geçirilen verilerin karanlık ağda satılması veya yayınlanması kurbanda korku yaratır.

Şekil 2. Kurbanları köşeye sıkıştırmak

 

Ben bir avukat değilim ancak bu şekilde bir talepte bulunmanın yasadışı olduğunu düşünüyorum. Ancak kurban durumundaysanız ödemeyi yapmak yasadışı görünmüyor. Dolayısıyla siber suçlulara ödeme yapmanın yasadışı olmaması da başka bir senaryodur.

Arabulucular ve siber sigorta sorunu çözüyor mu, büyütüyor mu?

Şu an yaygın olarak görüldüğü üzere fidyeyi ödemek ve “iş yaparken karşılaşan maliyetlerden biri” olarak olaya bakmak sağlıklı bir tutum değildir. Şirketler, mümkün olan her önlemin alınmasına ve kuruluşun siber güvenliğinin mümkün olan en iyi şekilde sağlanmasına odaklanmalıdır. Sigortacının belirlediği gerekliliklere uyarak “her zaman olduğu” üzere işe devam etmek ve bir talihsizlik yaşanması durumunda sigortacının bunu halledeceğini bilmek bir çeşit rahatlık sunar. Riviera Beach ve Lake City şehirlerini etkileyen iki olayın maliyeti sigortacılar tarafından karşılandı ve Utah Üniversitesi tarafından 475.000 ABD doları ödeme yapıldı. Colonial Pipeline olayında da ödemenin bir kısmının siber sigorta tarafından karşılandığı bildirilse de ne kadar gerçek olduğunu bilmiyoruz.

Siber sigorta fidye ödemeleri gerçekleştirerek, fidyenin verdiği zararları azaltmak üzere görüşmeler yapması daha önce bahsettiğimiz üzere bu durumun yol açtığı başka zararlara da neden olabilir. Norsk Hydro şirketinin sigortacıları, şirket 2019 yılında saldırıya uğradığında 20,2 milyon ABD doları ödeme yaptı. Genel maliyetin ise 58 ile 70 milyon ABD doları arasında olduğu hesaplandı, ayrıca ek maliyetin bir kısmı da sigorta tarafından karşılanmış olabilir. Yaşananlardan edinilen deneyim büyük bir artıdır. Eminim Norsk Hydro veya kurban durumuna düşen diğer şirketler, ortalama 38-50 milyon ABD doları fidyeyi ödemek ve saldırı sonrası masrafları telafi etmek yerine saldırıları önlemek üzere siber güvenliğe yatırım yapmayı tercih ederdi.

Siber suçlu olsaydım, ödeme yapma olasılığı yüksek şirketleri belirleyip hedef listemi daraltırdım ve siber sigortası olan şirketleri bulurdum. Para kendi bütçelerinden çıkmayacağı için neden ödemesinler ki? CNA Financial şirketinin hedef alınmasının ve sistemlerine yeniden erişim sağlayabilmek ve büyük ihtimalle çalınan bilgileri geri almak için 40 milyon ABD doları ödendiğinin bildirilmesinin nedeni bu olabilir. Siber sigorta sunan bir şirket olarak, bu şekilde bir ödeme CNA müşterilerine saldırıları önlemek amacıyla yapılabilir. Çünkü müşterilere yapılan her saldırıda sigortacı ödeme yapmak durumunda kalacaktı. Bu durumda siber suçlunun müşteri listesine erişim sağladığı düşünülebilir ancak bu bilgi kesin değildir. Diğer taraftan sigortacı ödeme yaparsa, sigortaladıkları başka bir müşteri saldırıya uğradığında da ödeme yapmak durumunda kalır. Bu şekilde bir ödeme yapmak yanlış mesaj verir.

Siber sigorta geçerliliğini korusa da sigorta koşulları siber güvenlik çerçevesi açısından yeniden ele alınmalıdır. Yüksek standartlara sahip, sağlam bir kurtarma planı belirlenmelidir. Bu sayede başka taleplerin olması ihtimali azaltılabilir. Sigorta, bir önlem olarak düşünülmemelidir. Saldırıya mı uğradık? Kötü olmuş ancak önemli değil... Sigortamız var.

Fidye yazılımı ödemelerini yasaklamanın vakti geldi mi?

Conti fidye yazılımı grubunun Mayıs ayında İrlanda sağlık hizmetine karşı düzenlediği fidye yazılımı saldırısı, siber suçluya ele geçirdikleri verileri yayınlamamaları için ödeme yapmayı yasaklamamanın neden gerekli olduğunun altını çiziyor. Colonial Pipeline’a yönelik saldırıda da olduğu üzere hiç bir hükümet petrol boru hatlarını etkileyecek ve vatandaşlarına sunduğu hizmeti aksatacak bir olay yaşanmasını istemez. Bu durum politik açıdan zarar verebilir. Altyapıya karşı yapılan bir saldırı durumunda ödeme yapmak ve bu ödemenin gelecekteki siber saldırılara kaynak sağlamak üzere kullanılacağını bilmek, özellikle sağlık hizmetleri söz konusu olduğunda ahlaki açıdan zorlu bir ikilemdir.

Ayrıca fidye yazılımı talebi dolayısıyla ödeme yapmak, siber suçlular için ikinci bir şansın doğmasına da neden oluyor. Yukarıda belirttiğimiz üzere Cybereason tarafından yapılan bir araştırmaya göre, fidyeyi ödeyen şirketlerin %80’i daha sonrasında başka bir saldırıya daha uğruyor ve şirketlerin %46’sı bu saldırının aynı kişi tarafından düzenlendiğine inanıyor. Veriler fidyeyi ödemenin başka saldırılara neden olduğunu gösteriyorsa, ilk ödemeyi yasaklamak siber suçluların para kazanma fırsatlarını önemli ölçüde sekteye uğratacaktır.

İnsan hayatına verebileceği olası zararlardan ve risklerden dolayı fidye yazılımı ödemelerini yasaklamama düşüncesine katılıyorum ancak bu düşünce şu anki yasalarla çelişiyor. Yaptırımlar listesinde bulunan bir grup büyük bir sağlık hizmetine bir saldırıda bulunursa, ödeme yapmak yasadışıdır. Bu durum kuruluşların bazı siber suçlulara ödeme yapabiliyorken, bazılarına yapamayacağı anlamına geliyor. Vatandaşları koruma söz konusuysa bir hastanenin, saldırganın listede olup olmaması fark etmeksizin fidye yazılımı dolayısıyla ödeme yapmasının yasal olması da düşünülmesi gereken bir konudur.

Yaptırımlar listesiyle hükümetlerin ödeme yapılabilecek ve yapılamayacak siber suçluları belirlemesi bence doğru bir hareket değildir.

Kriptopara ikilemi

Beni tanıyanların bileceği üzere kriptopara sıklıkla değindiğim bir konudur. Düzenlemelerin yetersizliği ve işlemleri yürütmek için kullanılan aşırı enerji tüketimi beni rahatsız eden konular arasındadır. Bir çok finansal kurum düzenlemelere tabidir ve para aklamayı yani suç etkinliğiyle kazanılan parayı önlemek ve tespit etmek üzere belli standartları yerine getirir. Yeni bir finansal kuruluşta banka hesabı açmak veya bu kuruluş aracılığıyla yatırım yapmak için hiçbir şüpheye mahal vermeden kimliğinizi kanıtlamak amacıyla kimlik belgesi, fatura gibi birçok kişisel bilginizi beyan etmeniz gerekir. Bu gereklilikler bazı ülkelerde bir avukata, emlak işlemine veya diğer hizmet türlerine ya da işlemlere dair belgeleri ibraz etmeye kadar varabilir. Tam da bu noktada kriptopara gündeme geliyor. Kriptopara dünyası cesur yatırımcıların ve siber suçluların ellerini kollarını sallayarak gezebilecekleri bir yerdir.

Şekil 3. Sırasıyla (yukarıdan aşağıya) Maze, NetWalker ve Sodinokibi gruplarının 2020 yılının ilk aylarındaki fidye notları
 

 

Kriptopara bir ölçüde anonim olma imkanı sunuyor. Bu sayede siber suçlular talepleri anonim bir biçimde iletebiliyor ve ödemeyi alan kişiyi ifşa etmeden kurbanlardan ödemeleri alabiliyor. Ayrıca bu açıdan baktığımızda tüm kriptoparaların eşit olmadığını da belirtmekte fayda var. Bazı kriptoparalar ödemeyi alan cüzdanın sahibiyle ilgili değil de yalnızca cüzdanla ilgili birkaç bilgi paylaşırken, bazıları ise cüzdanın kendisinin tamamen gizli kalmasını ister.

Geçtiğimiz ay, politikacıların kriptoparayla ilgili nasıl düzenlemeler getireceği konusundaki kararsızlıkları net bir şekilde görüldü. El Salvador, açıklanmasından sonraki üç ay içerisinde bitcoin’i yasal olarak geçerli kabul etme düşüncesinde olduğunu duyurdu. Bu durumda şu an yasal para birimi olan ABD doları ile aynı konumda olacaktır. Ancak Dünya Bankası ülkenin uygulamaya yardımcı olmasıyla ilgili teklifini şeffaflık ve çevresel sorunlar nedeniyle reddetti. Kripto madenciliği önemli ölçüde enerji tüketimine yol açıyor ve çevre hakkında daha duyarlı davranmamız gereken günümüz dünyasında Bitcoin’in enerji tüketimi Arjantin'in enerji tüketimine denk düşüyor. 

Çin’in Sihuan eyaleti de enerji tüketimi sorunlarına değinerek bölgesindeki bitcoin madenciliğini sonlandırmaya karar verdiğini açıkladı. Bu açıklamanın ardından Çin Hükümeti de bankaların ve ödeme platformlarının dijital para işlemlerini desteklemeyi bırakmalarını talep etti. Şüphesiz ki hükümetlerin yaşadığı bu kararsızlık, ülkelerin yeni dijital para dünyası karşısında tek taraflı kararlar almasıyla devam edecektir. 

Kriptopara, siber suçluların yaşadığı büyük bir soruna çözüm sunuyor. Kriptopara sayesinde siber suçlular kimliklerini açıklamadan ödeme alabiliyor. Bu durum kriptoparaya olan talebi de artırıyor. Ödeme yapan tüm kurbanlar, ödemeyi yapmak üzere para almak için talep oluşturuyor. Böylece paranın değeri artıyor ve piyasa bunun farkına varıyor. FBI, kripto cüzdanı ele geçirdiğini ve Colonial Pipeline’ın 63,7 bitcoin’ini (2,3 milyon ABD doları) geri almayı başardığını açıkladığında genel kriptopara piyasası hızlı bir şekilde düşüşe geçti. Belki bu yalnızca ilginç bir tesadüftür.

Kriptopara yatırımcısıysanız ve siber suçlular tarafından oluşturulan paralara yönelik talebi (karşılığında bu paraların değerinin artmasını) kabul ediyorsanız, dolaylı olarak suç etkinliğinden finansal olarak kar sağlıyorsunuz. Geçenlerde bu konudaki fikrimi kanun uygulayıcıların bulunduğu bir yerde paylaştım. Bu kişilerden bazıları kriptoparaya yatırım yaptığını belirtti... Bu görüşümü açıklamamın ardından odada bir sessizlik oldu.  

Sonuç

Etik kurallara uygun bir şekilde davranarak ve fidye talepleri karşısında ödeme yapmayarak siber suçluları desteklememeye yönelik tutumu tamamen göz ardı etmek, suç etkinliğine fon sağlamanın kabul edilebilir olduğu anlamına gelir. Kabul edilebilir değil.

Doğru olan siber suçlulara fon sağlamanın yasadışı sayılması ve bu ödemeleri önlemek üzere yasal düzenlemelerin yapılmasıdır. Bu ödemeleri yasaklayan düzenlemeleri ilk uygulayan ülkeler avantajlı durumunda olabilir. Yüksek değere sahip bu saldırıların arkasındaki siber suçlular bu konuya odaklanmıştır, gerekli fona ve kaynaklara sahiptir, kararlıdır. Bir ülkede veya bölgede şirketlerin veya kuruluşların fidye yazılımı dolayısıyla ödeme yapmasını yasaklayan düzenlemeler yapılması durumunda siber suçlular işlerini buna göre uyarlayacak ve kampanyalarını bu düzenlemelerin olmadığı ülkelerde yoğunlaştıracaktır. Bu fikir kulağınıza mantıklı geliyorsa şimdi harekete geçme zamanı. Yasa düzenleyicilerin ve politikacıların bu konuda yavaş hareket ettiği yerlerde siber suçu kendinizden uzaklaştırmak için öncü olun ve bu durumun yasadışı sayılması için lobi yapın.

Ancak ödeme yapmayı düşünen şirketlerin, kolaya kaçmak için bu yolu tercih etmediğinden emin olmak için orta yol bulunabilir. Siber risk sigortası muafiyet, tenzili muafiyet veya olayın maliyetinin %50’sinin sigortalı tarafından ödenmesi gibi maddelere sahipse ve kanun uygulayıcıların veya düzenleyicilerin bilgilendirilmesi ve ödemeyi yapmak konusunda karar verme sürecine dahil edilmesi durumunda geçerliyse, ödemeyi yapıp yapmama konusundaki düşünceler bu durumdan etkilenebilir. Ödeme gerektiren siber olaylar için böyle bir düzenleyicinin bulunması durumunda sorunun büyüklüğünü daha iyi anlayabilir ve tüm olaylar konusunda bilgiye sahip bir kuruma sahip olabiliriz. Ayrıca böyle bir düzenleyici şifre çözücüler için de merkezi bir depo konumunda olabilir. Yaptırımlar listesine olduğu bilinen ve ilgili kanun uygulayıcılarla iletişime geçerek, özel düzenleyicileri bilgilendirerek böyle bir olayın kapsamı ve önceki görüşmelerin sonuçları ile ilgili bilgi edinilebilir.

ABD Adalet Bakanlığı tarafından kısa süre önce yayınlanan uyarı yazısına göre, fidye yazılımı veya dijital şantaj içerene ya da fidye yazılımı veya şantaj planları tarafından kullanılan altyapıyı çalıştıranların bulunduğu olayların ABD Eyalet Savcılığı Suç Bölümü’ndeki Bilgisayar Suçu ve Fikri Mülkiyet bölümüne bildirilmesi gereklidir. Bu durum bilginin merkezileştirilmesini sağlar, ancak yalnızca soruşturma yürütülen olaylar için geçerlidir. Bildiğim kadarıyla bir şirketin fidye yazılımı saldırısını bildirmesine dair bir zorunluluk bulunmamaktadır, ancak bildirmesi tavsiye edilir. Tüm kurbanların böyle bir durumda kanun uygulayıcılarla iletişime geçmesini kesinlikle tavsiye ediyorum. ABD’de bulunuyorsanız, bu sayfayı bir başlama noktası olarak düşünebilirsiniz.

Fidye yazılımı talebi dolayısıyla yapılan ödemelerden ele edilen getirinin suç etkinliğinden kazanılan yasadışı bir gelir olduğunu düşünüyorsanız, kriptopara piyasası para aklamak ve siber suç ile doğrudan ilgili para için güvenli bir liman olabilir mi? İsmine rağmen, hükümetler kriptoparayı bir para birimi olarak kabul etmiyor. Kriptoparayı yatırım yapıp para kazandığınızda sermaye kazancı için vergi ödediğiniz bir yatırım aracı olarak görüyorlar. Doğrudan suç etkinliğinden kazanılan parayı barındıran tüm yatırım şirketleri suça karışıyor. Bu durumda tamamen şeffaf olana ve düzenlemeler getirilene kadar tüm kriptopara piyasası da bu suça ortak olmuyor mu? 

Kısaca özetlemek gerekirse fidye ödemek yasadışıdır veya en azından sigorta piyasasının rolünü kısıtlar ve şirketlerin olayları siber olaylarla ilgilenen yetkililere bildirmeye zorlar. Ayrıca kriptopara piyasası, anonim olma durumuna karşı düzenlemelere sahip olmalıdır. Tüm bunlar siber suçlularla mücadelede önemli bir fark yaratabilir.