Birçok küçük işletme sahibi hâlâ fidye yazılımı saldırılarının yalnızca hastanelerin, küresel markaların veya kamu altyapılarının başına geldiğini düşünüyor. Gerçekte ise küçük işletmelerin fidye yazılımı riski, saldırganların değerli verilere, sınırlı zamana ve daha zayıf savunmalara sahip kuruluşları nasıl sürekli olarak hedef aldığının en temizle örneklerinden biridir.
Proton’un Veri İhlali Gözlemevi’nden elde edilen son bulgular, KOBİ’lerin sıklıkla ele geçirilme mağduru olduğunu görüntüle. Ayrıca yüksek riskli verileri ve büyük kayıt ifşalarını içeren ihlaller de dâhil olmak üzere en büyük zarara yol açan olaylarda orantısız bir şekilde temsil ediliyorlar.
Fidye yazılımı bir iş sürekliliği, kimlik doğrulama bilgileri güvenliği ve veri koruma sorunudur. Birleşik Krallık hükümetinin Siber Güvenlik İhlalleri Anketi, Birleşik Krallık’taki işletmelerin yüzde 1’inin son 12 ay içinde fidye yazılımı olayları tespit ettiğini ortaya koymuştur; bu oran 2024’te yüzde 0,5’ten azdı. Ulusal ölçekte bu, tahminen 19.000 işletmeye tekabül etmektedir.
Fidye yazılımındaki artışa rağmen, kimlik avı girişimi hâlâ en yaygın siber saldırı türüdür. Saldırganlar işletme ağlarına büyük ölçekli siber saldırılardan ziyade çoğunlukla insanlar, kimlik doğrulama bilgileri ve rutin iş akışları aracılığıyla erişim sağlarlar. Daha büyük bir ödeme alacaklarını hissederlerse, daha büyük bir fidye yazılımı saldırısı başlatmak için esasen bir kimlik avı girişimi saldırısını kullanabilirler.
Küçük bir işletme için fidye yazılımından kaynaklanan hasar, iş sürekliliğinde önemli kesintilere neden olabilir. Ekip üyeleri dosyalara erişimi kaybeder ve çalışmalarına devam edemez, operasyonlar yavaşlar veya durur ve müşteriler yeterli hizmeti alamazlar. Kişisel veriler ödün, uzlaşma durumuna düşerse raporlama yükümlülükleri doğacaktır. KOBİ’ler için pratik bir fidye yazılımı stratejisinin bir saldırının her iki yönünü de kapsaması gerekir: önleme ve kurtarmak.
Fidye yazılımı nasıl çalışır?
Fidye yazılımı, genellikle dosyaları şifreleyerek aygıtlara veya verilere erişim sağlamanızı engelleyen ve ardından şifre çözme karşılığında bir ödeme talep eden bir kötü amaçlı yazılım türüdür. Pek çok vakada saldırganlar artık dosyaları kilitlemekten daha fazlasını yapıyor. Ayrıca verileri çalıyorlar ve fidyenin ödenmemesi durumunda bunları sızdırmakla tehdit ediyorlar; bu da etkinliği hem bir kullanılabilirlik krizine hem de potansiyel bir veri ele geçirilme olayına dönüştürüyor.
Mağdurlara genellikle anonim e-posta veya site sayfaları aracılığıyla iletişim kurmaları ve kripto para ile ödeme yapmaları talimatı verilir. Küçük işletmeler için bu ayrım önemlidir çünkü kripto para anonimdir, merkeziyetsizdir ve geleneksel finans kuruluşları tarafından denetlenmez: ödemeleri takip etmek neredeyse imkansızdır.
Bir fidye yazılımı etkinliği her zaman dosyalara erişim kaybıyla sınırlı değildir. Bu aynı zamanda müşteri bilgilerinin, çalışan verilerinin, mali kayıtların, sözleşmelerin veya oturum aç kimlik doğrulama bilgileri bilgilerinin halihazırda dışarı sızdırılmış olduğu anlamına da gelebilir. Fidye yazılımı, kişisel verilere zamanında erişim kaybına ve yedeklerin uygun veya mevcut olmadığı durumlarda kalıcı kayba yol açabilir.
Saldırı zinciri genellikle beklediğinizden daha sıradandır. Fidye yazılımı saldırısına yol açabilecek, gözden kaçması kolay olaylar şunları içerir:
- Takip edilen kimlik avı girişimi bağlantıları.
- Bir veri ele geçirilme olayında ifşa edilen, tekrar kullanılan parolalar.
- Maruz bırakılan uzaktan erişim hizmeti.
- Yama uygulanmamış bilinen güvenlik açıkları
Saldırgan bir işletme ağına erişim sağladıktan sonra yatay olarak hareket eder, yetkileri yükseltir, mümkün olan yerlerde kurtarmak yollarını kapatır ve en çok zarar vereceği yerlerde şifreleme veya haraç yöntemlerini dağıtır. Hiçbir tekil araç veya çözüm fidye yazılımı saldırılarını engelleyemez. Bunun yerine kuruluşlar, ağlarına giren kolay yolların sayısını azaltmaya odaklanmalıdır.
Küçük işletmeler neden orantısız bir şekilde hedef alınıyor?
Small businesses are attractive ransomware targets for a simple reason: they hold valuable data that isn’t as well-protected as it should be. Proton’s latest observatory findings show that SMBs account for 63% of breaches tracked since January 2025 and more than 352 million leaked records.
Ayrıca yüksek riskli verileri içeren ihlallerin yüzde 61’ini oluştururken, bu kritik olayların yüzde 48’ini tek başına küçük işletmeler temsil ediyor. 100.000’den fazla kaydı ifşa eden ihlaller arasında KOBİ’ler yüzde 60’lık bir paya sahipken, küçük işletmeler yüzde 42’yi temsil ediyor.
Küçük işletmeler dikkatsiz değildir. Aslında Proton’un 2026 KOBİ Siber Güvenlik Raporu, küçük işletmelerin siber güvenliklerini geliştirmeye çalıştıklarını kanıtlıyor. Sorun şu ki savunmaları gerçek dünya koşullarında kırılıyor. Tutarsız uygulama, insan hatası, paylaşılan erişim alışkanlıkları ve sınırlı dâhilî güvenlik kapasitesi, küçük işletmeleri cazip hedefler hâline getiren unsurlardır.
Proton’un 250’den az çalışanı olan şirketlerdeki 3.000 liderle yaptığı ankette, yüzde 39’u olayların insan hatası kaynaklı olduğunu, yüzde 48’i ise bir parola yöneticisi kullanmadıklarını belirtmiştir.
Daha büyük şirketlerin özel müdahale ekipleri, bölümlere ayrılmış ortamları, test edilmiş yedek tarifeleri ve hâlihazırda mevcut olan haricî olay desteği olabilir. Daha küçük olanlar ise genellikle tek bir yalın BT işlevine, dış kaynaklı desteğe sahiptir veya özel bir güvenlik uzmanı bulundurmazlar. Saldırı gerçekleştiğinde, işletme operasyonel baskı altındayken riskli kararlar almaya zorlanır. Bu baskı, tam da fidye yazılımı operatörlerinin güvendiği şeydir.
KOBİ’lerde fidye yazılımı için en yaygın giriş noktaları
Birleşik Krallık’ta yürütülen çalışmaları inceledikten sonra, kimlik avı girişimi yönteminin işletmeler için hâlâ baskın siber suç vektörü olduğunu biliyoruz. Peki ama neden? Çünkü kimlik avı girişimi genellikle kimlik doğrulama bilgileri hırsızlığına, hesap ödün, uzlaşma durumuna, kötü amaçlı yazılım teslimine veya uzaktan erişim suistimaline giden ilk adımdır.
Zayıf veya yeniden kullanılan kimlik doğrulama bilgileri bir diğer büyük sorundur. Küçük işletmelerde genellikle paylaşılan oturum açma bilgileri, birden fazla hizmette yeniden kullanılan parolalar veya birisi rol değiştirdiğinde ya da ayrıldığında aktif kalan eski hesaplar bulunur. Saldırganlar çalışan bir oturum açma bilgisi elde ettiklerinde, hesaplara sızmalarına gerek kalmaz. Sadece oturum açabilirler.
Buradan itibaren kötü korunan bir yönetici hesabı, açıkta kalan bir bulut konsolu veya iki adımlı doğrulama (2FA) bulunmayan bir uzaktan erişim noktası, daha geniş bir fidye yazılımı olayına giden köprü hâline gelebilir. Gerçekçi olmak gerekirse kuruluşların, çalınan kimlik doğrulama bilgileri bilgilerinin ne kadar kolay yeniden kullanılabileceğini ve kötü amaçlı yazılımın ne kadar uzağa yayılabileceğini azaltmak için 2FA, en az ayrıcalıklı erişim ve düzenli izin incelemelerini dağıtması gerekir.
Yaması yapılmamış yazılımlar bir başka yinelenen giriş noktasıdır. NCSC, fidye yazılımlarının giderek daha fazla RDP gibi açık hizmetler veya yaması yapılmamış uzaktan erişim aygıtları aracılığıyla dağıtıldığını belirtmekte ve uzaktan erişim ile internete bağlı sistemlerdeki güvenlik açıklarının kullanıma sunulur sunulmaz yamalanmasını önermektedir. KOBİ’ler için kaçırılan bir olay sessizce bir saldırı yüzeyine bu noktada dönüşür.
Fidye yazılımına karşı nasıl korunulur: Katmanlı bir yaklaşım
Fidye yazılımını önleyebilecek tek bir kontrol yoktur. En etkili yaklaşım katmanlı ve pratik olandır.
Kimlik yönetimi ile başlayın
Ekip üyelerinin hesaplarındaki verilerin, fidye yazılımı saldırılarını püskürtmek için kapsamlı bir korumaya ihtiyacı vardır. İş açısından kritik hesaplarda, özellikle e-posta, yönetici araçları, bulut depolama alanı, finans platformları, uzaktan erişim noktaları ve müşterilerin kişisel verilerini veya diğer hassas kimliği tanımlayabilecek bilgilerini (PII) depolayan tüm sistemlerde mümkün olduğunca iki adımlı doğrulamayı zorunlu kılın.
Parola hijyenini iyileştirin
Saldırganlar her zaman hesaplara zorla girmezler. Genellikle çalınan veya yeniden kullanılan kimlik doğrulama bilgileri ile oturum açarlar. Her iş hesabının benzersiz ve güçlü bir parolası olmalı ve paylaşılan erişimin yerini hesap tabloları, sohbetler veya e-posta yerine kurumsal bir parola yöneticisi aracılığıyla yönetilen, güvenli kimlik doğrulama bilgisi paylaşımı almalıdır.
Proton’un kendi KOBİ raporu, araçları olan işletmelerin bile hala güvensiz parola paylaşma alışkanlıklarına geri döndüğünü vurguluyor. İşte tam da burada Proton Pass for Business gibi güvenli bir kurumsal parola yöneticisi riski azaltabilir: Ekiplerin güçlü ve benzersiz kimlik doğrulama bilgileri oluşturmasına, bunları güvenli bir şekilde depolamasına ve erişimi kontrollü ve güvenli bir şekilde paylaşmasına yardımcı olur.
Yama yönetimi disiplinli olmalıdır
İşletim sistemleri, uygulamalar, VPN’ler, uzaktan erişim araçları ve sınır aygıtları için güvenlik güncellemeleri isteğe bağlı bakım olarak değil, operasyonel gereklilikler olarak görülmelidir. Güvenlik güncellemelerini mümkün olan en kısa sürede kurun ve mümkünse otomatik güncellemeleri açın.
Güçlü posta ve web koruması
Posta filtreleme, ek dosya kontrolleri, bilinen kötü amaçlı sitelerin engellenmesi ve güvenli tarama korumalarının tümü, fidye yazılımının ilk etapta bulaşma olasılığını azaltır. Kimlik avı girişimleri çok yaygın olduğundan, bu kontroller temel öneme sahiptir.
İnsan hatasını ele alın
Güvenlik önlemlerini ve bir parola ilkesini uygulamış olsanız bile, Güvenlik farkındalık eğitimi hala gereklidir. Eğitim, personelin şüpheli e-postaları ve sosyal mühendislik girişimlerini fark etmesine yardımcı olur ancak insanlar yine de hata yapacaktır.
Daha güçlü araçlar, özellikler ve erişim kontrolleri bu durumu varsaymalıdır. NCSC farkındalık eğitimini açıkça önermektedir ancak Proton’un araştırması da tek başına eğitimin her hatayı yakalayamayacağına işaret etmektedir. İyi bir güvenlik tasarımı; iki adımlı doğrulama, en az yetkiyle erişim, daha güçlü e-posta korumaları, bölümlere ayrılmış erişim veya kurtarmayı destekleyen test edilmiş yedekler aracılığıyla bir hatanın tam ölçekli bir olaya dönüşme olasılığını azaltarak birisi tıkladığında oluşacak hasarı azaltır.
İhtiyacınız olmadan önce kurtarma sürecini koruma altına alın
Yedeklerin düzenli, izole ve test edilmiş olması gerekir. ICO, 3-2-1 yaklaşımını benimsemenizi önerir: Biri tesis dışında saklanan, iki farklı aygıtta olmak üzere üç kopya. NCSC önemli bir operasyonel uyarı ekliyor: Fidye yazılımı keşfedilmeden önce ortamınıza sızmış olabilir, bu nedenle yedekler geri yüklemeden önce taranmalı ve yedekleme sistemlerinin kendisi korunmalıdır.
Kimlik doğrulama bilgisi bağlantısı: Parolalar fidye yazılımı savunmasında neden hala önemli?
Fidye yazılımını bir kötü amaçlı yazılım olarak düşünüp parolaların başarılı bir saldırıda oynadığı rolü unutmak kolaydır. Ancak birçok fidye yazılımı olayı oturum açma bilgilerinin çalınması, yeniden kullanılması veya kötüye kullanılmasıyla başlar.
Bu durum, bir personelin başka bir hizmetteki parolasını yeniden kullanması, eski bir yüklenici hesabının aktif kalması, bir yönetici kimlik doğrulama bilgisinin birkaç kişi arasında paylaşılması veya açıkta kalan bir uzaktan erişim noktasının yalnızca bir parola ile korunması anlamına gelebilir. Bu kestirme yolların her biri saldırı yüzeyini genişletir.
Güçlü kimlik doğrulama bilgisi yönetiminin her türlü fidye yazılımı kurtarma tarifesi ve önleme çerçevesi içinde yer almasının bir nedeni de budur. Hizmet başına benzersiz parolalar, çalınan bir oturum açma bilgisinin etki alanını azaltır. MFA, çalınan parolanın tek başına daha az kullanışlı olmasını sağlarken merkezi kimlik doğrulama bilgisi depolama alanı güvensiz geçici çözümlere olan ihtiyacı ortadan kaldırır.
Güvenli paylaşım, çalışanların ihtiyaç duydukları erişimi resmi olmayan parola paylaşımı yerine kontrollü, izlenebilir yöntemlerle elde etmeleri anlamına gelir. Kimin neye erişimi olduğunun düzenli olarak gözden geçirilmesi, NCSC’nin yanal hareketi ve yayılmayı sınırlamanın bir parçası olarak önerdiği en az yetki ilkesini de destekler.
KOBİ’lerin karşılaştığı fidye yazılımı tehditleri hakkında kapsamlı yazılar yazdık. Tekrar tekrar aynı şeyi görüyoruz: Saldırganlar giderek daha fazla sadece en büyük isimlere sahip işletmeleri değil, sızılması daha kolay olan işletmeleri arıyorlar.
Küçük işletmeniz saldırıya uğrarsa ne yapmalısınız?
1. Olayı kontrol altına alın
İşletmeniz saldırıya uğrarsa ilk önceliğiniz sınırlandırma olmalıdır. Virüs bulaşmış aygıtların ağ bağlantısını kesin, tespit edebiliyorsanız güvenliği ihlal edilmiş hesapları kullanımdan dışı bırakın, uzaktan erişim yollarını izole edin, kanıtları koruyun ve daha sonra adli desteğe ihtiyaç duyabileceğiniz ihtimaline karşı sistemleri çok hızlı bir şekilde temizlemekten kaçının.
2. Olayı bildirin
NCSC, Birleşik Krallık’taki kuruluşlara olayları bildirmelerini tavsiye eder; müdahale ve kurtarma için özel fidye yazılımı rehberliği sağlar. Proton’un olay müdahalesi kılavuzu da sınırlandırma, inceleme, iletişim ve kurtarma süreçlerindeki daha kapsamlı karar verme sürecini yapılandırmak için yararlı bir referanstır.
3. Fidyeyi ödemeyin
NCSC ve Birleşik Krallık kolluk kuvvetleri, fidye taleplerinin ödenmesini teşvik etmez, desteklemez veya onaylamaz. Erişimi yeniden kazanacağınızın garantisi olmadığını, sistemlerinize hâlâ virüs bulaşmış olabileceğini, suç gruplarını finanse edeceğinizi ve tekrar hedef alınma olasılığınızın daha yüksek olabileceğini belirtmektedirler.
ICO da benzer şekilde fidye ödemenin kişiler üzerindeki riski azaltmadığını ve bilgileri korumadığını açıkça belirtmektedir. Bir şifre çözme anahtarı teklif edilse bile, bunun çalışacağının veya çalınan verilerin yine de sızdırılmayacağının garantisi yoktur.
4. Kurtarma işlemini başlatın
Kurtarma süreci, yavaş ve güvenli bir geri yüklemeye odaklanmalıdır. Bu da temiz yedeklerden yeniden oluşturma, saldırı yolunun kapatıldığını doğrulama, etkilenen kimlik doğrulama bilgilerini yenileme, erişimi dikkatli bir şekilde yeniden etkinleştirme ve olanları belgeleme anlamına gelir. Yedekler canlı sistemlere bağlıysa veya test edilmemişse işletmeler genellikle ilk hatadan sonra ikinci bir hatayı burada keşfederler. İyi bir fidye yazılımı kurtarma tarifi, aslında bir olay meydana gelmeden çok önce başlar.
Birleşik Krallık bildirim yükümlülükleri: ICO’nun ne zaman dahil olması gerekebilir?
Bir fidye yazılımı olayı kişisel verileri etkiliyorsa bu durum Birleşik Krallık GDPR kapsamında bir kişisel veri ihlali olabilir. ICO, kişisel verilere erişim kaybının kişiler için risk oluşturduğu durumlarda başlı başına bir ihlal olabileceğini ve ihlalin insanların hak ve özgürlükleri için risk oluşturma ihtimali varsa ICO’yu gereksiz gecikme olmaksızın ve mümkünse 72 saat içinde bilgilendirmeniz gerektiğini açıklar. Risk yüksekse etkilenen kişilerin de gereksiz gecikme olmaksızın bilgilendirilmesi gerekebilir.
Bazı kuruluşlar hâlâ sistemleri hızlı bir şekilde geri yüklemeleri veya bariz bir genel sızıntı olmaması durumunda raporlamanın gereksiz olduğunu varsaymaktadır. Bu güvenli bir varsayım değildir. ICO’nun fidye yazılımı rehberliği, ihlal bildirimi senaryolarını açıkça ele alır ve değerlendirmenin sadece çalınan dosyaların çevrim içi ortamda görünüp görünmediğine değil, kişiler için oluşturduğu riske dayandığını netleştirir.
Fidye yazılımı artık KOBİ’lerin sorunu
Küçük işletmeler giderek daha sık fidye saldırılarına maruz kalıyor ve saldırıya uğradıklarında saldırganlar zayıf noktalarından yararlandığı için bunun etkisi ağır olabiliyor. Proton’un en son ele geçirilme verileri bunu görünür kılıyor: Tehdit ölçülebilir, büyüyor ve operasyonel olarak yıkıcı.
İyi haber şu ki temel önlemler her KOBİ için yükün büyük bir kısmını üstlenebilir. İki adımlı doğrulamayı dağıtmak ve benzersiz kimlik doğrulama bilgileri oluşturmak için bir işletme parola yöneticisi kullanmak, yamalama, e-posta filtreleme, personel farkındalığı, izin incelemesi, test edilmiş yedekler ve olay müdahale planlaması gibi önlemler tek başlarına gösterişli görünmeyebilir ancak birlikte anlamlı bir fark yaratırlar. Çalınan tek bir parolanın, bir kimlik avı e-postasının veya açığa çıkan bir uzak hizmetin işletme çapında bir kesintiye dönüşme olasılığını azaltırlar.
