Bali ve Jakarta, Endonezya – Geçtiğimiz yılın sonlarında Balili kadın Nih Lu Putu Rustini, atalarının evindeki yenileme projesini tamamlamak için ATM’den para çekmeye çalıştığında hayatının şokunu yaşadı.
Rustini gündüzleri temizlikçi, geceleri dadı olarak çalışıyordu ve Endonezya’nın en büyük bankası Bank Rakyat Indonesia’daki bir hesapta 37 milyon Endonezya rupisi (2.340 $) biriktirmişti.
Ancak ATM neredeyse sıfır bakiye gösterdi.
Yerel BRI şubesini ziyaret ettiğinde bir kasiyer ona parasının kaybolduğunu söyledi.
Rustini Al Jazeera’ye “Bir bilgisayar korsanının paramı çaldığını ve onu bana geri veremeyeceklerini söylediler” dedi.
“Bu adil değil çünkü parayı kazanmam uzun zaman aldı ama bilgisayar korsanları parayı saniyeler içinde aldı. Şok olmuştum.”
Rai Yaptım Dwi Bali’de deri eşya üreticisi olan Ada Diatmika, geçtiğimiz ağustos ayında yıllar sonra ilk kez para çekmeye çalışırken benzer bir deneyim yaşadı.
Bir bilgisayar korsanı, geçen Mayıs ayında 72 milyon rupi (4.650 $) değerindeki birikimini sildi.
Rustini davasında olduğu gibi BRI kaybın sorumluluğunu kabul etmeyi reddetti.
“Üç yıl önce BRI’da hesap açtığımda, uygulamalarını telefonuma indirmemi istediler. Günlük rapor alacağım için daha güvenli olduğunu söylediler. Ancak şifreyi unuttuğum için hiç kullanmadım” dedi Diatmika, Al Jazeera’ye.
“Güvenlik olsun diye paramızı bankaya yatırıyoruz. Ancak bilgisayar korsanları bu kadar kolay içeri girip tüm verilerimizi buluyorsa BRI’nin güvenliği konusunda büyük bir sorunu olmalı.”
Rustini ve Diatmika, tasarrufları bankanın mobil uygulaması aracılığıyla bilgisayar korsanları tarafından çalınan çok sayıda BRI müşterisi arasında yer alıyor.
Güneydoğu Asya’nın en büyük ekonomisi, en fazla dördüncü internet kullanıcısı ve dünyanın en büyük beşinci e-ticaret sektörüyle Endonezya, siber suçlular için cazip bir hedef.
Endonezya Ulusal Siber ve Şifreleme Ajansı tarafından yayınlanan veriler, geçen yıl 1 Ocak ile 26 Ekim tarihleri arasında ülkede 361 milyon çevrimiçi trafik anormalliği yaşandığını gösteriyor.
Hollandalı siber güvenlik firması Surfshark’ın verilerine göre Endonezya’da e-posta hesaplarına yönelik saldırılar 2023’ün üçüncü çeyreğinde yüzde 85 artarken, ABD ve Rusya gibi ülkelerde ihlaller azaldı.
Estonya Ulusal Siber Güvenlik Endeksi’ne göre Endonezya, siber tehditleri önleme ve bunlara yanıt verme konusunda G20 ülkeleri arasında sondan üçüncü sırada yer alıyor.
Avustralya Stratejik Politika Enstitüsü’nün Sidney’deki Siber Politika Merkezi analisti Gatra Priyandita, Al Jazeera’ye şöyle konuştu: “Endonezya’nın dünyanın en büyük siber suç kaynaklarından ve hedeflerinden biri olduğunu öne süren pek çok bilgi var.”
“Endonezyalılar, zayıf dijital hijyen nedeniyle bazı açılardan daha savunmasız durumda. Sorunun giderek daha fazla farkına varıyorlar, ancak 200 milyon insan aniden çevrimiçi olduğunda, giderek daha savunmasız hale geliyorlar.”
Mandiant M-Trends 2023 araştırmasına göre Endonezya’da hükümet web siteleri siber korsanların en büyük hedefi olurken, onu enerji ve finans sektörleri izliyor.
Birçok Endonezyalı gibi tek bir isimle anılan BRI bilgi şefi Muharto, Haziran ayında Jakarta’da düzenlenen bir forumda, “Bankalar hedef çünkü para onların içinde” dedi.
“Siber suçlular artık ortak yeteneklere sahip bir grup olarak işbirliği yapıyor ve faaliyet gösteriyor” dedi ve şunu ekledi: “Bankalar siber suçlarla tek başına mücadele edemez ve sinerji yaratmalıdır.” [their efforts] Hükümet ve düzenleyicilerle birlikteyiz.”
BRI, kaç müşterisinin hesabının saldırıya uğradığına ilişkin kamuya açık verileri paylaşmıyor ve Al Jazeera’nin yorum taleplerine yanıt vermedi.
Ancak banka, polisle yaptığı çalışmalara ve ABD’de Elastic Security gibi şirketler tarafından satılan son teknoloji siber güvenlik yazılımlarına yatırım yaptığına işaret ederek, misyonunun “direği” olarak “siber suçlarla mücadele tedbirlerini” aldığını iddia ediyor.
BRI’nin güvenlik operasyonları departmanı başkanı Tri Danarto’nun geçen yıl bir basın açıklamasında “Özellikleri ve yetenekleri verilerimizi tamamlıyor ve operasyonel ihtiyaçlarımıza mükemmel şekilde uyuyor” dediği aktarıldı.
Geçtiğimiz yılın Şubat ayında BRI, e-bankacılık hizmetlerinin web sitesi versiyonunu kalıcı olarak kapattı ve tüm çevrimiçi işlemleri, “daha güvenli” ve “müşteriler için erişimin daha kolay” olduğunu söyleyerek yeni mobil bankacılık uygulaması BRImo’ya yönlendirdi.
BRI ayrıca müşterileri gizemli uygulamalar yüklemenin ve şüpheli bağlantıları ve e-postaları açmanın tehlikeleri konusunda eğitmeye çalıştığını iddia ediyor.
Temmuz ayında, Doğu Java’nın Malang şehrinde bir BRI müşterisi, hesabından 1,4 milyar rupi (90.330 $) çalındığını bildirdi; banka, WhatsApp’taki sahte bir düğün davetiyesine tıklanarak hesabı etkinleştirdiğini keşfetti.
BRI Malang şube müdürü Sutoyo Akhmad Fajar o dönemde yaptığı bir açıklamada, “Bu olay, kurbanın kişisel ve gizli banka işlem ayrıntılarını sorumsuz taraflara sızdırması nedeniyle meydana geldi” dedi ve bankanın kurbana sempati duysa da bunun yalnızca bir tane olduğunu ekledi. kusurluysanız tazminat ödeyin.
Jakarta’daki Endonezya Siber Güvenlik Forumu başkanı Ardi Sutedja Kartawidjaya, “İhmal ve dolandırıcılık stratejilerinin daha karmaşık hale gelmesi nedeniyle banka hesaplarına yapılan siber saldırıların yüzde 90’ı müşterinin hatasıdır” dedi.
Ancak mağdurun ihlali kolaylaştırmadığı kanıtlanırsa, eksik fonlar Endonezya hükümetinin mevduat sigortası planı kapsamında doldurulabilecek.
“Öncelikle mağdurun, 2022 tarihli Kişisel Verilerin Korunması Yasası kapsamında soruşturma için gerekli olan bir polis raporu sunması gerekiyor. Ancak, karmaşık adli dijital soruşturma becerileri gerektirdiğinden bu sürecin zaman alacağını unutmayın.” Kartawidjaya Al Jazeera’ye söyledi.
ASPI’den Priyandita, Endonezyalı yetkililerin bu tür suçları soruşturma kapasitesinin sınırlı sayıda dijital adli tıp uzmanı nedeniyle sınırlı olduğunu söyledi.
“Ulusal Siber ve Şifreleme Ajansı bütçesi 2 trilyon kesildi [rupiahs] 2019’da 100 milyara [rupiahs] Pandemi sırasında, muhtemelen daha fazla kaynağa ihtiyaç duyulan bir dönem. Bütçe artık 600 milyar [rupiahs]ama yine de yeterli değil” dedi.
Bali’de siber suç mağduru Diatmika, kaynak yetersizliği sorununu ilk elden yaşadı.
“Polise, Java’da paramı çalan kişinin adı ve hesap numarası dahil tüm ayrıntıları verdim. Ancak Java’ya gidip araştırma yapacak bütçelerinin olmadığını ve para iadesi istersem bankayla kavga etmek zorunda kalacağımı söylediler. Ama bunun için bir avukata ihtiyacım vardı. Param bittiği için vazgeçmek zorunda kaldım” dedi.
Diatmika gibi, herhangi bir şüpheli uygulamayı indirmediğini veya herhangi bir şüpheli bağlantıya tıklamadığını iddia eden Rustini’nin de başlangıçta BRI ile mücadele etme planı yoktu çünkü bir avukat tutmanın maliyeti fahişti.
Ancak Balili hukuk firması Malekat Hukum kendisini karşılıksız olarak temsil etmeyi teklif ettikten sonra polise şikayette bulundu.
Malekat Hukum, BRI’ye karşı dava açmanın yanı sıra, konuyu arabuluculuk yoluyla çözme umuduyla Endonezya Alternatif Uyuşmazlık Çözüm Kurumu’na da dava açtı.
BRI tahkim taleplerine henüz yanıt vermedi.
Malekat Hukum’un ortaklarından Ni Luh Arie Ratna Sukasari, Rustini’nin kayıplarının BRI’daki buzdağının görünen kısmı olduğunu söyledi.
“BRI Bank siber saldırılarla ünlüdür. Müşterilerinin her şeyini kaybettiği birçok geçici vakayı duydum ve bu konuda bir şeyler yapmamız gerekiyor” dedi.
“Müşterilerine hizmet etmeleri ve müşterilerinin parasını korumaları gerekiyor. Onların sorumlu olmadığına dair argümanınız kesinlikle geçerli değil. Daha fazla güvenliğe ihtiyaç duyanlar onlar, müşterileri değil. Ve eğer güvenli çevrimiçi bankacılık sunamıyorlarsa, sunmamalılar, nokta.”
Diatmika, benzer şekilde dolandırılan diğer BRI müşterilerini bildiğini söyledi.
“Evimden sadece üç dakika uzakta yaşayan bir adam vardı. 1 milyar rupinin ardından felç geçirdi ve öldü [$64,500] hesabından çalındı. Ailesi evini satmak zorunda kaldı” dedi.
Siber güvenlik uzmanı Kartawidjaya, olayın sadece BRI ile sınırlı olmadığını söyledi.
“Endonezya’daki neredeyse tüm finansal hizmet sağlayıcılar sürekli siber saldırılara maruz kalıyor. Ancak çoğu, itibar yönetimi nedeniyle bu tür olayları bildirmiyor” dedi.
Priyandita, ülkedeki siber güvenliğin iyileşmeden önce daha da kötüleşmesinden korktuğunu söyledi.
“Endonezya, büyümenin temel itici gücü olarak dijital teknolojiye güveniyor ancak siber güvenlik olması gereken öncelik değil” dedi.
“Soruna yanıt vermek için çaba gösteriliyor ancak kaynaklar yine sınırlı.”
