Futbolda siber güvenlik sorunu: Sektörün yenilikçi teknoloji ve veri kullanımı, yönetilmesi gereken birinci dereceden siber riskler yaratıyor. İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC)’nin “Spor Organizasyonlarına Yönelik Siber Tehdit” raporuna göre; spor kuruluşlarının en az %70’i, her 12 ayda bir İngiltere’deki işletmelerin ortalamasının iki katından fazla bir siber olay yaşamaktadır. Rapordaki olayların yaklaşık %30’u doğrudan maddi zarara neden olduğu ve her seferinde ortalama 10.000 sterlin kaybedildiği ve en büyük tek kaybın 4 milyon sterlin olduğu vurgulanmaktadır.
Futbolda siber güvenlik sorunu: Tehditler ve önlemler
Siber güvenlik nedir?
Siber güvenlik, donanım, yazılım ve veriler gibi internete bağlı sistemlerin siber tehditlerden korunmasıdır. Uygulama, bireyler ve kuruluşlar tarafından veri merkezlerine ve diğer bilgisayarlı sistemlere yetkisiz erişime karşı koruma sağlamak için kullanılmaktadır.
Siber güvenlik, sistemleri, ağları ve programları dijital saldırılardan koruma uygulamasıdır. Bunlar siber saldırılar genellikle hassas bilgilere erişmeyi, bunları değiştirmeyi veya yok etmeyi amaçlar; kullanıcılardan gasp etmek veya normal iş süreçlerini kesintiye uğratmak. Etkili siber güvenlik önlemlerinin uygulanması, günümüzde özellikle zordur çünkü insanlardan daha fazla cihaz vardır ve saldırganlar daha yenilikçi hale gelmektedir (1).
On yıl önce; 21 Aralık 2010’da “Sibernetik Futbol” isimli makalemde; teknolojideki son gelişmeler futbolu şekil olarak değiştirmekte, geliştirmekte ve yenilemektedir. Gün geçtikçe futbol organizasyonları daha fazla insanlara ulaşmaktadır ki, bunu en önemli nedeni uydu yayınları, internet ağlarının gelişimi ve fiber optik kablolu iletişimin kullanılmasının artmasıdır. Her gün insanlar dünyanın neresinde oynanırsa oynansın saniyelerce ifade edilen zaman diliminde, birçok futbol organizasyonuna ulaşmanın mutluluğunu yaşamaktadırlar.
Bu gelişmeler artık futbol organizasyonlarının şeklini değiştireceği gibi, futbola özgü birçok kurallar ve alışkanlıklar yerini başka sistemlere ve uygulamalara terk edecektir. Kablolu yayın sistemlerinin gelişimi Televizyon ve uydu, internet ve telefon yayınları futbolda ayrı bir sektörel yaklaşımı da beraberinde getirmiştir.
Futbol sahası olarak biline geleneksel stadyumlar, bilgisayar ve elektronik sistemlerin gelişimi ile birlikte, akıllı stadyumlara dönüşmektedirler. Antrenman bilimciler yeni teknolojinin araç ve gereçlerini kullanarak, futbol laboratuvarlarında geleceğin futbolcularını oluştururlarken yeni futbol sistemlerini bilgisayar ortamlarında maç analizi yaparak geliştirmeye çalışmaktadırlar.
Bilgisayar oyunlarında futbol
Futbolun içinde yer alan kontrol sistemleri, hakemler, yöneticiler, bilgi sistemlerinden yararlanmanın yollarını aramaktadırlar. Futbolun bilgisayar oyunları artık gerçeklerini aratmayacak şekilde milyonlarca insanın kullanımına sunulmaktadır. Robotlar birer futbolcu gibi tasarlanarak yarıştırılmaktadırlar. Antrenörlerin futbolcuların, hakemlerin kullandıkları malzemeler ve forma, futbol topu gibi birçok araç ve gereç teknolojik olarak sürekli gelişmektedir. Vurgusu yaparak siber alandaki gelişmelerin futbola olan önemli katkılarından bahsetmiştim (2).
Son yıllardaki bilgi ve teknolojideki gelişmelerin olumlu yönleri ile birlikte, siber tehditler şeklinde güvenlik problemleri de ortaya çıkmaya başlamıştır. Bu gelişmeler diğer alanlarda olduğu gibi spor özelliklede futbol kurum ve organizasyonlarını da yakından ilgilendirmektedir.
Spor liglerinin ve takımların güvende olma önceliği, geleneksel olarak fiziksel varlıkların, taraftarların, sporcuların ve salonların, güvenliğini ve refahını korumaya odaklanmıştır. Bununla birlikte, endüstrinin dijital teknolojiyi, analitiği ve çevrimiçi varlığını artan şekilde benimsemesi, fiziksel alanın çok ötesine geçen siber uzaya uzanan yeni bir varlık ve güvenlik açıkları sınıfını ortaya çıkardı. Soru artık saldırıya uğrayıp uğramayacağınız değil, bir siber saldırı ile karşılaştığınızda cevabınızın ne olacağıdır.
Ligler ve takımlar tarafından kamuoyuna duyurulan son siber olaylar, kötü niyetli aktörlerin endüstriler arasında bildirilen en yaygın saldırı modellerinden bazılarını kullanarak spor organizasyonlarına saldırmada başarılı olabileceği teorisine güven vermiştir.
Bir örnekte, oyuncu finansal bilgilerini sızdıran bir e-posta kimlik avı dolandırıcılığının kurbanı olduğudur. Diğer bir ihlal, bir takımın teknik direktörünün çalıntı kimlik bilgilerini kullanarak başka bir takımın veri tabanına girip, rekabet avantajı elde etmek için kulübün oyuncu notlarına erişmesini içeriyordu. Spor organizasyonları, organizasyonel paradigmayı güvenli olmaya kaydırmaktan ve temel bilgi güvenliği uygulamalarına hakim olmaktan yararlanabilmelidirler.
Ayrıca, daha kapsamlı ve risk temelli bir yaklaşımdan izole edilmiş geleneksel güvenlik disiplininin, siber olayların sürekli değişen manzarasını önlemek için yeterli olmadığını biliyoruz. Sektöre özgü tehditlerle ilgili daha fazla iç görü kazanmak ve etkilerini azaltmak için daha etkili bir şekilde yanıt vermek için daha fazla odaklanılması gerekmektedir.
Futbol sektörünün yenilikçi teknoloji ve veri kullanımı, yönetilmesi gereken birinci dereceden siber riskler yaratacaktır. Yararlanılacak çekici hedefler ve kanallar arasında ligler ve takımlar tarafından taraftar deneyimini dönüştürmek için kullanılan birbirine bağlı teknoloji, performansı ölçmek için gelişmiş analitik fikri mülkiyet ve hatta oyun içi strateji uygulamasıyla oyunculara ve takımlara yardımcı olan teknolojinin kullanılabilirliği yer almaktadır.
Spor organizasyonları güvenli, tedbirli ve dirençli hale gelmeye yönelik devam eden bir program aracılığıyla, daha bütünsel bir dizi stratejik ve gelişen varlıklar için değeri koruma becerilerine daha fazla güvenebilirler (3).
Spor organizasyonları da, iç işlevlerden güvenlik sistemlerine, spor bahislerine ve taraftar etkileşimlerine kadar şovu canlı tutmak için büyük ölçüde BT ve teknoloji hizmetlerine güvenmektedir. Spor organizasyonları (büyük ve küçük), sahada ve saha dışında performansı oluşturmak, ölçmek ve iyileştirmek için büyük miktarda veri toplayarak (ve kullanarak) giderek daha fazla ‘veri bakımından zengin’ hale gelmektedir.
Bununla birlikte, veri güveni ve finansal gücün birleşimi, spor sektörünü siber suçlar için birincil hedef haline getirmektedir. Spor organizasyonlarına yönelik siber saldırılar gün geçtikçe artmaktadır. Ne yazık ki çoğu spor kurumu, bir siber güvenlik olayını belirlemek, yönetmek, araştırmak ve kurtarmak için yeterli donanıma sahip değildir (4).
İngiltere’de yapılan araştırma raporu
Spor endüstrisinin bilgisayar korsanları için ne kadar kazançlı olduğu İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC)‘nin “Spor Organizasyonlarına Yönelik Siber Tehdit” raporunda birçok örnekler ile yer almaktadır (5). Rapora göre, spor kurumlarının en az %70’i, her 12 ayda bir İngiltere’deki işletmelerin ortalamasının iki katından fazla bir siber olay yaşamaktadır. Rapordaki olayların yaklaşık %30’u doğrudan maddi zarara neden olduğu ve her seferinde ortalama 10.000 sterlin kaybedildiği ve en büyük tek kaybın 4 milyon sterlin olduğu vurgulanmaktadır.
Bir Premier Lig futbol kulübünün genel müdürü, e-posta hesapları bilgisayar korsanları tarafından hedeflendikten sonra transfer döneminde 1 milyon sterlin kaybetmekten kıl payı kurtulmuştur. Bu olay, spor endüstrisinde bilgisayar korsanları için özellikle kazançlı olabilecek daha fazla siber güvenlik bilinci için çalışmaları hızlandırmıştır (6).
Lazio Futbol Kulübü de kimlik avı dolandırıcılığı kurbanlarından, bir futbolcunun bir dolandırıcının banka hesabına transferinin son taksitini yapan İtalyan Serie A futbol takımı için 2 milyon Euro’luk bir kayıpla sonuçlanmıştı (7).
Manchester United‘ın keşif sistemi, bilgisayar korsanlarının Ocak transfer penceresi açılana kadar beş haftadan daha kısa bir sürede devam eden siber saldırı sırasında ‘hedefler ve keşif görevleri hakkındaki gizli bilgilere’ erişmesiyle kaosa sürüklendi (8).
İngiltere milli futbol takımına 2018 Dünya Kupası sırasında Milli takımlarının Rus bilgisayar korsanlarından korunmalarına yardımcı olmak için brifing vermişti. Siber güvenlik organizasyonu, Rus siber saldırısına yönelik İngiltere Futbol Federasyonu’na (FA) kendi güvenlik sistemlerini mümkün olduğunca sağlam tutması konusunda bir takım önlemler almıştı (9).
2018 Dünya Kupası kimlik avı dolandırıcılıkları tüm dünyadaki futbol taraftarlarını hedef almıştı. Futbol taraftarları son dakika biletleri, uçuşlar ve konaklama rezervasyonu yapmak için çevrimiçi olurken etkinlik döneminde ortaya çıkacak kimlik avı dolandırıcılığının kurbanı olmamak için izlenmesi gereken yollara ilişkin bilgiler paylaşılmıştı (10).
Görünüşe göre Siber Güvenlik günümüzde nadiren haberlerin dışında kalmaktadır. İster Facebook hack’leri, British Airways bilet ihlalleri, Rus casusları veya Çin siber casusluk suçlamaları olsun ve spor dünyası siber güvenliğe karşı bağışık olmaktan uzaktır.
Bir dizi uluslararası anti-doping ajansının yanı sıra, futbolun yönetim organını ve hatta bireysel sporcuları hedef alan siber saldırılara Rusya’nın karıştığı iddiası, hepimizi düşünmek için duraklatması ve bir takım önlemler alınması gerektiği vurgulanmaktadır (11).
Mishcon de Reya (MDR) isimli siber güvenlik ve soruşturma kuruluşu, Dünya Kupası’na yönelik mevcut siber riskler hakkında bir rapor hazırlamıştı. “Rusya’daki FIFA 2018 Dünya Kupası’na Yönelik Siber Tehditler” raporu, büyük spor etkinliklerinin ev sahiplerine ve taraftarlar, sporcular ve işletmeler gibi etkinliklere katılanlara yönelik potansiyel siber tehditleri ve güvenlik risklerini vurgulamaktadır. Raporda; şike, maçlara seyahat eden hayranları dolandırmak için sosyal mühendislik ve herhangi bir dijital yolla bir olayı bozmak isteyen bilgisayar korsanları gruplarından bahsederek, Bu risklerin, gelecekteki futbol maçları için de eşit derecede ilgili olduğunu ve tüm görevliler, oyuncular ve taraftarlar tarafından dikkate alınması gerektiği ifade edilmişti (12).
FIFA Veri Koruma Politikası
Veri korumanın modern toplumun temel kaygısı haline gelmesiyle FIFA, futbol dünyasında bu önemli konu hakkında farkındalık yaratmak için bir dizi önemli adımlar atmaya başladı.
2020 Aralık’ta FIFA, üye derneklerin, konfederasyonların, kulüplerin, liglerin ve oyuncuların temsilcilerinin yanı sıra veri koruma uzmanları ve diğer spor kuruluşlarıyla en iyi uygulamaları paylaşmak ve en son gelişmeler hakkında görüş alışverişinde bulunmak amacıyla ikinci “Veri Koruma Zirvesi”ni düzenledi. Ana tartışma konuları arasında sağlık verilerinin yönetimi, yeni teknolojilerin tanıtımı ve bunların veri koruma üzerindeki etkileri, sınır ötesi veri kullanımı ve oyuncuların verilerinin korunması yer aldı.
Zirve, FIFA’ya veri koruma alanındaki en son araçlarını, özellikle de FIFA’nın tüm potansiyel muadilleri için “FIFA Veri Koruma Portalı” nı ve FIFA’nın “Veri Koruma Cep Kılavuzu” nu sunma fırsatı sağladı (13).
FIFA futbolda oynadığınız rol ne olursa olsun, verileriniz ve kişisel bilgilerinizle tam olarak ne yaptığımızı ortaya çıkarmak için. Veri oyun planımız hakkında daha fazla bilgi edinmek için FIFA “Veri Koruma Politikası” geliştirerek futbolun tüm paydaşlarına yönelik Siber Güvenlik tedbirlerini kendi portalın da açık erişime sundu (14)
2018 yılında yayınlanan “Büyük Veri Goalpost’ları Harekete Geçiriyor: Futbolun Yeni Siber Tehdidi” isimli makale de;
“Futbol, verilere dayalı ve büyük veri sorunlarıyla karşı karşıya olan bir büyük veri işi Futbolun dijital alanı kucaklamasıyla aynı zamanda spor endüstrisi, ulus devletlerden siber suçlulara ve bilgisayar korsanlarına kadar bir dizi olumsuz grubun hedefi haline gelmiştir. Sporla ilgili kuruluşlar artık yalnızca finansal kazanç için değil, aynı zamanda oyuncuları veya milli takımları itibarsızlaştırma girişimleri gibi daha kişisel saldırılar için de hedeflenebilecekleri bir ortamda faaliyet göstermektedirler.
Oyuncu analizi ve takım istatistikleri, futbolda veri varlıklarının önemli bir önem kazandığı bir diğer alandır. Hemen hemen tüm Premier lig ekipleri, kendilerini ve rakiplerini analiz etmek için spor odaklı dijital araçlar tarafından sağlanan ayrıntılı analizleri kullanmaktadırlar. Kötü niyetli bir taraf, bir takımın oyuncularını nasıl idare ettiğini veya oyuncuların sahadaki bir rakibe nasıl yaklaştığını etkileyerek bu verileri değiştirebilmesi bir çok probleme yol açabilmektedir. Bir kulüp stratejiye yön verecek sistemlere güvendiğinde, bu sistemlere güvenebileceğini bilmeleri gerekmektedir.
Gizlilik
Kulüpler; personel, bilet sahipleri, çevrimiçi müşteriler ve etkileşimde bulunduğu diğer kişilerle ilgili verilere değer vermektedir. Ancak saldırganlar da ilgilenmek durumundadır: Kimlik hırsızlığı ve dolandırıcılık için yapılacak fırsatlar bulunmaktadır. Kişisel veriler ve finansal veriler, başarılı bir kimlik hırsızlığının anahtarıdır ve kulüpler bu verilerin önemli bir kısmını gizli tutmaktadır.
Kulüplerin yalnızca güvenliği artırmak için önlemler alması değil, aynı zamanda ortaya çıkan çeşitli krizlere müdahale etmek için prosedürler ve personel oluşturmaları da gerekir. Kulüpler, ilgili tehditlerin anlaşılmasını, bu tehditleri ele almak için kontrollerdeki boşlukları belirleyen, eksik kontrolleri uygulayan ve ardından kulübü güvende tutmak için kontrolü sürekli olarak sürdüren uçtan uca bir yaklaşım benimsemelidir (15). Önerilerinde bulunulmuştur.
Spor endüstrisine karşı gittikçe karmaşık hale gelen siber saldırıların futbol sektöründeki sayısındaki artışla nedeniyle, futbol kurum ve organizasyonları yeni saldırıları ve saldırganları dinamik olarak ele alabilecek kaynaklara yatırım yapmalı, Siber Güvenlik konusunda yeni teknik ve stratejiler geliştirmeli ve önlemler almalıdır.
Kaynaklar:
- (1). https://www.cisco.com/c/en/us/products/security/what-is-cybersecurity.html
- (2).http://www.futbolekonomi.com/index.php/haberler-makaleler/genel/125-sebahattin-devecioglu/1134-sibernetik-futbol.html
- (3). https://www2.deloitte.com/pt/en/pages/transportation-infrastructure/articles/pt-sports-business-trends-disruption.html
- (4). https://www.lawinsport.com/topics/item/cyber-threats-to-sports-organisations-and-key-steps-to-reduce-exposure
- (5). https://www.ncsc.gov.uk/files/Cyber-threat-to-sports-organisations.pdf
- (6). https://www.itpro.co.uk/security/phishing/356548/premier-league-club-almost-lost-ps1m-in-spear-phishing-scam
- (7). https://www.spamtitan.com/blog/lazio-phishing-scam-nets-cybercriminals-e2-million/
- (8). https://www.dailymail.co.uk/sport/sportsnews/article-8997935/Manchester-Uniteds-scouting-chaos-hackers-access-confidential-information-targets.html
- (9). https://www.itpro.co.uk/security/phishing/356548/premier-league-club-almost-lost-ps1m-in-spear-phishing-scam
- (10). https://www.metacompliance.com/blog/world-cup-phishing-scams-target-football-fans-across-the-globe/
- (11). https://fcbusiness.co.uk/news/practical-steps-towards-cyber-security-for-football-clubs/
- (12). https://www.mondaq.com/uk/security/723390/big-data-moves-the-goalposts-football39s-new-cyber-threat
- (13). https://www.fifa.com/who-we-are/news/fifa-holds-data-protection-summit-to-share-best-practices-with-global-football-c
- (14). https://www.fifa.com/legal/data-protection-portal/
- (15). https://www.mondaq.com/uk/security/723390/big-data-moves-the-goalposts-football39s-new-cyber-threat