Category: Security

INC Ransomware: Sağlık Sektörünü Hedef Alan Tehdidin Anatomisi

Siber güvenlik dünyasının en tehlikeli aktörlerinden biri haline gelen INC Ransomware grubu, son dönemde Okyanusya bölgesinde — özellikle Avustralya, Yeni Zelanda ve Tonga’da — sağlık kuruluşlarına, devlet kurumlarına ve acil servis kliniklerine yönelik son derece hedefli ve yıkıcı saldırılar gerçekleştirmektedir. Dark Reading’in haberine göre bu saldırılar yalnızca sistemleri kilitlemekle kalmayıp, hastane operasyonlarını fiilen durma noktasına getirmiş, acil servis hizmetlerini sekteye uğratmış ve hassas hasta verilerini tehlikeye atmıştır. INC grubunun bu faaliyetleri, Ransomware ekosisteminin nasıl evrildiğini ve sağlık sektörünün neden bu kadar cazip bir hedef haline geldiğini gözler önüne sermektedir.

INC Ransomware ilk olarak 2023 yılının ortasında radar ekranlara girmiş; kısa süre içinde çift gasp (double extortion) modelini benimseyerek hem sistemleri şifrelemeye hem de çalınan verileri kamuoyuyla paylaşmakla tehdit etmeye başlamıştır. Grup, özellikle kritik altyapı sektörlerini — sağlık, eğitim ve kamu kurumları — birincil hedef olarak seçmesiyle dikkat çekmektedir. Bu tercih tesadüfi değildir: söz konusu kurumlar genellikle eski (legacy) sistemler üzerinde çalışmakta, yetersiz Endpoint koruma mekanizmalarına sahip olmakta ve fidye ödeme konusunda daha az dirençli bir yapıya sahip bulunmaktadır; zira alternatif, insan hayatını doğrudan tehdit edebilir.

Okyanusya Saldırılarının Teknik Profili ve Saldırı Vektörleri

INC grubunun Okyanusya’daki saldırılarını analiz ettiğimizde, grubun birden fazla saldırı vektörünü ustalıkla birleştirdiği görülmektedir. İlk erişim aşamasında çoğunlukla VPN altyapısındaki güvenlik açıkları, kimlik avı (phishing) kampanyaları ve yamalanmamış Firewall açıkları kullanılmaktadır. Özellikle Citrix Bleed (CVE-2023-4966) gibi kritik güvenlik açıklarının sağlık sektöründe hâlâ patch uygulanmadan bırakıldığı görülmektedir. Bu durum, Compliance ve Patch Management süreçlerinin ne kadar hayati önem taşıdığını bir kez daha kanıtlamaktadır.

Saldırının ilerleme sürecinde grup, yanal hareket (lateral movement) tekniklerini son derece sofistike biçimde kullanmaktadır. Ağa sızdıktan sonra Active Directory ortamlarında privilege escalation gerçekleştiren grup, özellikle vCenter ve ESXi Hypervisor katmanlarını hedef almaktadır. Bir saldırıda ESXi sunucularına doğrudan erişim sağlayan grubun tüm sanal makine dosyalarını (VMDK) şifrelediği tespit edilmiştir. Bu, geleneksel agent tabanlı Endpoint koruma araçlarının Hypervisor katmanında neden yetersiz kaldığını açıkça ortaya koymaktadır. Avustralya’daki bir sağlık kurumuna yapılan saldırıda grup, 200’den fazla sanal sunucuyu yalnızca birkaç saat içinde şifrelemeyi başarmış; bu durum kurumun Disaster Recovery süreçlerini devreye almak zorunda kalmasına yol açmıştır.

Tonga gibi küçük ada devletlerinde ise durum daha da kritik bir boyut kazanmaktadır. Sınırlı IT bütçeleri, yetersiz siber güvenlik uzman kadrosu ve izole coğrafi konum, bu ülkelerin saldırılara karşı son derece savunmasız kalmasına neden olmaktadır. Tonga’daki saldırıda ulusal sağlık bilgi sistemi tamamen devre dışı kalmış, acil servis personeli kağıt bazlı manuel prosedürlere dönmek zorunda kalmıştır. Bu tablo, dijital dönüşümün getirdiği bağımlılıkların beraberinde ne denli büyük riskler taşıdığını çarpıcı biçimde gözler önüne sermektedir.

Sağlık Sektörü Neden Bu Kadar Cazip Bir Hedef?

Ransomware gruplarının sağlık sektörünü tercih etmesinin ardında birden fazla yapısal neden yatmaktadır. Her şeyden önce, sağlık verilerinin karaborsa değeri kredi kartı verilerinden yaklaşık 10 ila 40 kat daha yüksektir. Bir hasta kaydı, sosyal güvenlik numarası, ilaç bilgileri, sigorta detayları ve kişisel kimlik bilgilerini bir arada barındırmaktadır; bu da onu kimlik hırsızlığı, sigorta dolandırıcılığı ve hedefli phishing saldırıları için son derece değerli kılmaktadır.

İkinci kritik faktör ise sağlık sektörünün operasyonel dayanıklılık gereksiniminin son derece yüksek olmasıdır. Bir finans kurumu veya e-ticaret platformu, sistemleri birkaç gün boyunca offline kaldığında ciddi mali kayıplar yaşar; ancak bir hastane bu süre zarfında hasta hayatlarını riske atar. Bu asimetrik baskı, sağlık kurumlarını fidye ödeme konusunda çok daha esnek bir tutum sergilemeye zorlamaktadır. Nitekim araştırmalar, sağlık kuruluşlarının diğer sektörlere kıyasla yaklaşık %60 daha yüksek fidye ödeme oranına sahip olduğunu ortaya koymaktadır.

Üçüncü etken, sağlık sektörünün teknolojik olarak heterojen yapısıdır. Modern hastaneler; tıbbi görüntüleme cihazları, infüzyon pompaları, hasta monitörleri gibi IoT/OT cihazlarının yanı sıra onlarca yıllık legacy sistemleri, modern Cloud Native uygulamalar ve Kubernetes üzerinde çalışan Microservices mimarilerini bir arada barındırmaktadır. Bu heterojen ortam, tutarlı bir güvenlik politikası oluşturmayı son derece zorlaştırmaktadır.

Zero Trust ve Modern Güvenlik Mimarisi: Çözüm Nerede?

INC grubu gibi sofistike Ransomware aktörlerine karşı etkin bir savunma, artık geleneksel Firewall ve Endpoint koruma araçlarının çok ötesine geçen bir yaklaşım gerektirmektedir. Bu noktada Zero Trust mimarisi tartışmasız en kritik stratejik çerçeve olarak öne çıkmaktadır. Zero Trust’ın temel ilkesi olan “asla güvenme, her zaman doğrula” prensibi, özellikle yanal hareket saldırılarına karşı son derece etkili bir bariyer oluşturmaktadır.

VMware NSX’in mikro-segmentasyon (micro-segmentation) yetenekleri bu bağlamda devreye girmektedir. NSX tabanlı bir ağ mimarisinde, saldırgan ağa ilk erişimi sağlasa bile yanal hareket gerçekleştirme kapasitesi dramatik biçimde kısıtlanmaktadır. Her Workload ve her servis, diğerlerinden izole edilmiş güvenlik politikalarıyla çevrilmekte; bu sayede bir segmentteki ihlal tüm kurumsal ağa yayılamamaktadır. Broadcom’un VMware Cloud Foundation üzerinde sunduğu entegre NSX çözümü, bu mikro-segmentasyonu otomatik biçimde uygulama ve merkezi Governance sağlama imkânı sunmaktadır.

Carbon Black’in EDR (Endpoint Detection and Response) yetenekleri de sağlık sektörü güvenliği açısından kritik bir rol oynamaktadır. Carbon Black’in davranışsal analiz motoru, bilinen Malware imzalarına dayanmak yerine anormal davranış kalıplarını tespit etmektedir. Bu, INC gibi grupların kullandığı “living-off-the-land” tekniklerine — yani mevcut sistem araçlarını kötü amaçlı biçimde kullanan saldırı yöntemlerine — karşı çok daha etkili bir koruma sağlamaktadır. Ayrıca Carbon Black’in vSphere entegrasyonu sayesinde Hypervisor katmanındaki anormallikler de gerçek zamanlı olarak izlenebilmektedir.

Ransomware saldırılarına karşı savunmanın bir diğer kritik bileşeni ise sağlam bir Disaster Recovery ve Business Continuity planıdır. RTO ve RPO hedeflerinin gerçekçi biçimde tanımlandığı, düzenli olarak test edildiği ve otomatize edildiği bir DR stratejisi, saldırı gerçekleştiğinde fidye ödeme baskısını önemli ölçüde azaltmaktadır. VMware Cloud Foundation üzerinde çalışan Site Recovery Manager (SRM) ve vSAN stretched cluster çözümleri, sağlık kurumlarına dakikalar içinde failover gerçekleştirme imkânı tanımaktadır. Tonga’daki saldırıda yaşanan felaketin önemli ölçüde önlenebileceği düşünüldüğünde, bu yatırımın geri dönüşü tartışmaya yer bırakmamaktadır.

Sovereign Cloud ve Data Sovereignty: Sağlık Verilerinin Korunmasında Yeni Paradigma

Okyanusya’daki saldırılar, yalnızca operasyonel aksaklık değil, aynı zamanda derin bir Data Sovereignty krizi de yaratmıştır. Saldırganların elde ettiği hasta verileri, hem ulusal Compliance gereklilikleri hem de uluslararası düzenlemeler açısından ciddi yükümlülükler doğurmaktadır. Bu tablo, Sovereign Cloud kavramının neden bu kadar stratejik önem kazandığını açıkça ortaya koymaktadır.

Sovereign Cloud, bir ülkenin veya kurumun verilerinin yalnızca belirli coğrafi sınırlar içinde işlenmesini, depolanmasını ve yönetilmesini garanti eden özel bir Cloud altyapısı modelidir. Özellikle kamu kurumları ve sağlık hizmet sağlayıcıları için Digital Sovereignty bir tercih değil, yasal bir zorunluluk haline gelmektedir. Avustralya’nın Privacy Act gereklilikleri, Yeni Zelanda’nın Health Information Privacy Code standartları ve AB’nin GDPR çerçevesi, sağlık verilerinin nerede ve nasıl depolandığına dair son derece katı kurallar öngörmektedir. Broadcom’un VCF tabanlı Sovereign Cloud çözümleri, bu gereklilikleri karşılayacak şekilde tasarlanmış, on-premises veya private data center ortamlarında tam kontrol ve şeffaflık sunmaktadır.

Bu modelde Compliance ve Governance süreçleri de otomatize edilebilmektedir. VMware Aria Suite üzerinden gerçekleştirilen sürekli Compliance kontrolleri, güvenlik politikası ihlallerini gerçek zamanlı olarak tespit edip raporlayabilmekte; bu sayede Audit hazırlık süreçleri dramatik biçimde kısalmaktadır. INC grubunun hedef aldığı kurumların büyük çoğunluğunda bu tür otomatik Compliance kontrol mekanizmalarının bulunmadığı ya da yetersiz kaldığı görülmektedir.

Türkiye ve EMEA Bölgesi İçin Stratejik Çıkarımlar

Okyanusya’da yaşanan bu saldırıların Türkiye ve EMEA bölgesi için son derece kritik dersler barındırdığı açıktır. Türkiye, son yıllarda dijital sağlık dönüşümünde önemli adımlar atmış; e-Nabız, Merkezi Hastane Randevu Sistemi (MHRS) ve dijital hasta kayıt sistemleri gibi kritik altyapılar hayata geçirilmiştir. Bu dijitalleşme, aynı zamanda saldırı yüzeyini de genişletmekte ve sağlık sektörünü Ransomware grupları için giderek daha cazip bir hedef haline getirmektedir.

Türkiye’deki hastane ve sağlık kuruluşlarının büyük bölümünün henüz Zero Trust mimarisine geçiş yapmadığı, yanal hareket saldırılarına karşı yeterli NSX tabanlı mikro-segmentasyon önlemlerinin alınmadığı ve DR/BC planlarının gerçek saldırı senaryolarında test edilmediği bilinmektedir. Bu boşlukları kapatmak artık bir maliyet kalemi değil, kritik bir stratejik yatırım olarak ele alınmalıdır. Sağlık Bakanlığı’nın Siber Güvenlik Merkezi ve USOM ile koordineli biçimde yürütülecek bir Sovereign Cloud stratejisi, hem veri egemenliğini hem de operasyonel dayanıklılığı aynı anda güvence altına alabilir.

EMEA bölgesindeki diğer ülkeler için de tablo benzer kaygıları paylaşmaktadır. Orta Doğu’daki hızlı dijitalleşme, Doğu Avrupa’daki geçiş ekonomilerinin yetersiz siber güvenlik bütçeleri ve Afrika’daki kritik altyapı açıkları, INC benzeri grupların önümüzdeki dönemde bu coğrafyaları da yoğun biçimde hedef alacağına işaret etmektedir. Broadcom’un VCF ekosistemi ve entegre güvenlik portföyü — NSX, Carbon Black ve Aria Suite’in birleşik gücü — bu tehditlere karşı bütünleşik ve ölçeklenebilir bir savunma katmanı oluşturmaktadır.

Sonuç olarak, INC Ransomware grubunun Okyanusya’daki saldırıları bize şunu çok net biçimde göstermektedir: Sağlık sektörü artık yalnızca tıbbi mükemmeliyeti değil, siber dayanıklılığı da misyonunun merkezine almak zorundadır. Zero Trust, Sovereign Cloud, mikro-segmentasyon ve otomatize DR süreçleri; artık birer “nice-to-have” değil, hasta güvenliğinin ve kurumsal sürekliliğin vazgeçilmez bileşenleridir. Türkiye’deki sağlık kurumlarının ve kamu altyapılarının bu dönüşümü bir an önce hızlandırması, hem ulusal güvenlik hem de dijital egemenlik perspektifinden kritik bir zorunluluk haline gelmiştir.

Herhangi bir devlet kurumu için öngörülemeyen durumlar, merkezi bir zorluk kaynağı oluşturmaktadır. Artık bu durumun en çarpıcı biçimde hissedildiği alanın AI Infrastructure (yapay zeka altyapısı) inşası ve güvenliğinin sağlanması olduğunu keşfediyoruz. Federal kurumların IT Architecture yapılarındaki olağanüstü karmaşıklık ve bu mimarilere yönelik dış tehditler, Security Modernization çalışmalarında benzersiz güçlükler ortaya çıkarmaktadır.

Private Cloud altyapısı, federal sektördeki kurumlar için Zero Trust Architecture (ZTA) geçişinin temel taşlarından biri haline gelmektedir. Broadcom‘un VMware tabanlı çözümleri, kurumların kendi On-premise Data Center‘larında tam Control sağlarken modern güvenlik standartlarını (Compliance) karşılamalarına olanak tanımaktadır. Bu yaklaşım, Sensitive Government Data‘nın korunmasında hem Agility hem de Regulatory Compliance açısından kritik avantajlar sunmaktadır.

Inherent Trust (doğal güven) modeli, Network içindeki her cihaz ve kullanıcının otomatik olarak güvenilir kabul edildiği geleneksel yaklaşımların ötesine geçmektedir. Bunun yerine, Identity & Access Management (IAM) ve erişim kontrolünün her katmanda uygulandığı, Micro-segmentation ve NSX tabanlı Network Security ile desteklenen bir yapı önerilmektedir. Federal kurumlar bu sayede Threat Detection süreçlerini hızlandırabilmekte ve Incident Response (müdahale) sürelerini önemli ölçüde kısaltabilmektedir.

VMware Cloud Foundation (VCF) ve ilgili güvenlik araçları, federal kurumların mevcut yatırımlarını (Legacy Investments) korurken Security Posture‘larını (güvenlik duruşu) güçlendirmelerine imkân tanımaktadır. Broadcom‘un bu alandaki Roadmap‘i, AI Workloads da dahil olmak üzere tüm Mission-Critical altyapının güvenli, uyumlu ve yönetilebilir biçimde işletilmesini hedeflemektedir.

ABD federal hükümeti, BT altyapısını modernize etmek, yapay zeka benimsemesini desteklemek ve Sıfır Güven (Zero Trust) uygulamalarını hızlandırmak için önemli adımlar atmaktadır. Bu hedeflere daha hızlı ve daha uygun maliyetli ulaşmalarına yardımcı olmak amacıyla ABD Genel Hizmetler İdaresi (GSA) ile Broadcom, yapay zeka hazır yazılımlara erişim sağlayan yeni bir OneGov anlaşması imzaladığını duyurdu.

Broadcom’un yazılım çözümleri, federal kurumların mevcut altyapılarından daha fazla verim elde etmesine, güvenlik açıklarını kapatmasına ve yapay zeka iş yüklerini güvenli bir şekilde çalıştırmasına olanak tanımaktadır. OneGov anlaşması kapsamında kurumlar, VMware tabanlı altyapı ve güvenlik çözümlerine daha kolay ve merkezi bir satın alma süreciyle erişebilecek.

Bu anlaşma; VMware Cloud Foundation, NSX tabanlı ağ güvenliği ve Sıfır Güven mimarisi bileşenlerini kapsayarak federal kurumların siber güvenlik olgunluğunu artırmayı ve yapay zeka destekli iş yüklerini hızla devreye almayı mümkün kılmaktadır. GSA’nın merkezi tedarik çerçevesi sayesinde kurumlar, lisanslama ve uyumluluk süreçlerinde de önemli avantajlar elde edecek.

Broadcom’un federal sektöre yönelik bu stratejik hamlesi, kamu kurumlarının dijital dönüşüm yolculuğunda güvenilir ve ölçeklenebilir bir teknoloji ortağı olma vizyonunu güçlendirmektedir. Anlaşma, ABD genelindeki federal kurumların yapay zeka ve güvenlik alanındaki ulusal önceliklerle uyumlu projelerini daha etkin biçimde hayata geçirmesinin önünü açmaktadır.

Mainframe (Anabilgisayar), kurumsal IT Infrastructure yapısının en köklü ve güvenilir bileşenlerinden biri olarak bilinse de bu durum onu siber tehditlere karşı bağışık kılmaz. Tıpkı diğer platformlar gibi, Mainframe güvenliği de büyük ölçüde onu kullanan insanlara ve uygulanan süreçlere bağlıdır. Dolayısıyla Security Strategy’leri tasarlanırken Mainframe’in de bu denklemin dışında tutulmaması gerekir.

Zero Trust (Sıfır Güven) mimarisi, “Assume Breach” (ihlal gerçekleşecektir) varsayımı üzerine kurulmuştur. Bu yaklaşımda hiçbir kullanıcıya, cihaza veya sisteme önceden güven tanınmaz; her Access Request (erişim talebi), ağın içinden veya dışından geldiğine bakılmaksızın sürekli olarak Verify edilir (doğrulanır) ve denetlenir. Mainframe ortamları için de bu ilke geçerliliğini korumaktadır.

Mainframe sistemleri, Mission-Critical Workloads ve Sensitive Data barındırmaları nedeniyle siber saldırganlar için son derece cazip hedefler haline gelmektedir. Bu nedenle Mainframe Security yapısının yeniden değerlendirilmesi ve Zero Trust prensiplerinin bu platforma nasıl uygulanabileceğinin incelenmesi büyük önem taşımaktadır.

“Never Trust, Always Verify” (Asla güvenme, her zaman doğrula) ilkesi yalnızca modern Cloud ortamları için değil, Mainframe gibi geleneksel (Legacy) platformlar için de temel bir güvenlik prensibi olmalıdır. Her aşamada Authentication (kimlik doğrulama) ve Authorization (yetkilendirme) yapılması, olası bir ihlalin etkisini (Blast Radius) en aza indirmenin en etkili yollarından biridir.

Günümüzün siber tehdit ortamında hiçbir şeyi varsaymak (Assumption) artık lüks değil, bir risk haline gelmiştir. Saldırganlar giderek daha Sophisticated (gelişmiş) yöntemler kullanırken, Regulatory kurumlar da Data Security ve Compliance konusundaki gereksinimlerini sürekli olarak sıkılaştırmaktadır. Bu ortamda Zero Trust Architecture (ZTA), kurumsal güvenlik stratejilerinin vazgeçilmez bir parçası olmaktadır.

Zero Trust yaklaşımının temel ilkesi olan “Never Trust, Always Verify” prensibi, yalnızca Cloud veya Endpoint güvenliğiyle sınırlı kalmamalıdır. Kurumların en Mission-Critical Workloads (kritik iş yüklerini) barındıran Mainframe sistemleri de bu güvenlik paradigmasının kapsamına alınması gereken öncelikli Infrastructure’lar arasında yer almaktadır.

Broadcom‘un bu Deep Dive (derinlemesine inceleme) çalışmasında, Mainframe sistemlerini Zero Trust Strategy’sine entegre etmenin teknik ve operasyonel boyutları ele alınmaktadır. Authentication (kimlik doğrulama), Access Control, Micro-segmentation ve Continuous Monitoring (sürekli izleme) gibi Zero Trust bileşenlerinin Mainframe ortamlarında nasıl hayata geçirileceği detaylı biçimde açıklanmaktadır.

Kurumların Zero Trust Journey’lerinde (yolculuklarında) başarılı olabilmesi için Mainframe sistemlerini göz ardı etmemesi büyük önem taşımaktadır. Broadcom Mainframe Security çözümleri, mevcut altyapıyı Modernize ederek Zero Trust ilkelerini tüm IT Ecosystem genelinde tutarlı bir şekilde uygulamaya imkân tanımaktadır.