2022 Yılında Yayınlanan 1.802 İhlal Bildirimi; 440 Milyondan Fazla Kişi Etkilendi
Mathew J. Schwartz (euroinfosec) •
25 Ocak 2023
En azından bilgisayar korsanları mutlu: Geçen yıl, Amerika Birleşik Devletleri’ndeki veri ihlalleri için bir başka tampon yıldı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Kimlik Hırsızlığı Kaynak Merkezi’nin bildirdiğine göre, 2022’de ABD kuruluşları 400 milyondan fazla kişiyi etkileyen kayıtların veya kişisel bilgilerin ifşa edildiğini bildiren 1.802 veri ihlali bildirimi yayınladı.
Bu rakam, ITRC’nin 2021’de ABD’de saydığı 1.862 ihlalden yalnızca 60 eksik.
ITRC’nin başkanı ve CEO’su Eva Velasquez, “Geçen yıl ABD’de veri gizliliği ihlali rekoru kırmamış olsak da, rekora yaklaştık” diyor.
Bu ramak kala, 2022’nin ilk yarısında veri ihlali hacimlerinde kayda değer bir düşüşe rağmen gerçekleşti. Velasquez, Rusya merkezli suçluların muhtemelen o zamanlar ülkelerinin Ukrayna’yı işgal etmesi ve kripto para piyasasındaki oynaklık nedeniyle dikkatlerinin çok dağıldığını veya meşgul olduğunu söylüyor. Yılın ikinci yarısında ihlal hacmi yeniden yükselmeye başladı.
Bilinen en büyük 2022 ihlallerini gerçekleştiren kuruluşlar arasında 222 milyon kaydın açığa çıktığı Twitter; 69 milyon kurbanla neopetler; AT&T Data, 23 milyon mağdurla; ve 8,2 milyon kurbanla Cash App Investing.
İhlal raporlarına göre, en sık açığa çıkan özellikler kurbanların isimleri, ardından Sosyal Güvenlik numaraları, doğum tarihleri, mevcut ev adresleri, ehliyet veya eyalet kimlik numaraları, tıbbi ayrıntılar ve banka hesap numaraları geldi.
Başlıca İhlal Vektörü: Çevrimiçi Saldırılar
İhlal edilen kuruluşlar, “çevrimiçi saldırı” kategorisinin 2022’deki veri ihlallerinin önde gelen suçlusu olduğunu, ardından kimlik avı veya iş e-postası gizliliğinin ihlal edilmesinin ve ardından fidye yazılımlarının ve kötü amaçlı yazılımların geldiğini bildirdi. Tüm bunlar, ITRC’nin kayıp kağıt kayıtların veya yedek bantların ve kayıp veya çalınan dizüstü bilgisayarların başlıca suçlular olduğunu bildirdiği 2005 yılından çok farklı.
Şeffaflık ve eksik raporlama, veri ihlali salgınının gerçek boyutunu ölçmek için ciddi sorunlar olmaya devam ediyor. Geçen yıl, kuruluşlar toplu olarak 422 milyon kişinin bir ihlalden etkilendiğini kaydetti. Ancak tüm ihlal bildirimlerinin %68’i kaç kişinin etkilendiğini veya nasıl etkilendiklerini içermiyordu. Ayrıca %42’si saldırı ayrıntılarını içermiyordu.
ITRC’nin COO’su James Lee, “Bu iki istatistiği bir araya getirdiğinizde veri ihlali bildirimlerinin yalnızca %34’ünün eyleme geçirilebilir bilgiler içerdiğini gördük” diyor.
Velasquez, “Bu, tüketicileri, işletmeleri ve devlet kurumlarını bir verinin tehlikeye girme riski ve bundan etkilenmesi halinde alınacak önlemler hakkında bilinçli kararlar vermesini engelleyen daha az güvenilir verilerle sonuçlandı” diyor.
Özellikle kurban bir kuruluşa benzer sektörlerde veya benzer bir BT altyapısına sahip olan diğer kuruluşlar, kendilerini daha iyi korumak için tehditlerle ilgili en son istihbaratı toplamak için genellikle ihlal raporlarını kullanır.
Bilgi eksikliği, tüketici mağdurlarının hangi risklerle karşı karşıya olduklarını bilmelerini de zorlaştırıyor. Bu, eyaletlerin veri ihlali bildirim yasalarının bir amacıdır: tüketicilere, kişisel bilgilerini elinde bulunduran kuruluşlar kişisel bilgilerini ifşa ettikten sonra kendilerini korumak için kullanabilecekleri eyleme geçirilebilir bilgiler vermek (bkz.: Veri İhlali Bildirimleri: En Uygun Zamanlama Nedir?).
Lee, özellikle veri ihlali yorgunluğunun artık olağan hale geldiği bir çağda, tüketicileri yetkilendirememenin onları daha büyük risk altına soktuğunu söylüyor.
Onlara bu tür ayrıntılar vermek, “kendilerini korumak için hemen almaları gereken bir şey mi, yoksa bir veya iki gün bekleyebilecek bir şey mi, yoksa belki de fazla bir şey yapmaları gerekmiyor mu” anlamalarını sağlıyor. “Bu veri ihlali bildirimlerinde bu tür bilgiler paylaşılmadan, kimse ne yapacağını bilemez ve bu riski artırır ve bu çok, çok rahatsız edici bir eğilim.”