Yazılım tedarikçisi Advanced Computer Software Group, Ağustos 2022’de sistemlerine yapılan bir saldırının ardından LockBit fidye yazılımı çetesinin çaldığı 82.946 kişinin hassas kişisel verilerini korumak için uygun siber güvenlik önlemlerini uygulamadaki başarısızlığı iddiasıyla 6,09 milyon sterlinlik potansiyel bir para cezasıyla karşı karşıya.
Advanced’e yapılan siber saldırı, Caresys bakım evi yönetimi, Staffplan bakım çizelgeleme ve Adastra klinik hasta yönetim hizmetlerini kullanan NHS vakıfları ve diğer sosyal bakım kuruluşlarında kapsamlı kesintilere neden oldu. Görülen en büyük ani etki, NHS’nin 111 tavsiye hizmetinin temelini oluşturan Adastra hizmetinin kullanıcıları üzerindeydi.
2024’ün başlarında İngiltere Ulusal Suç Ajansı (NCA) tarafından kapatılan LockBit’in, daha sonra çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmemiş üçüncü taraf bir hesaptaki meşru kimlik bilgilerini kullanarak Advanced’ın ağına eriştiği tespit edildi.
Bu hesap, Staffplan Citrix sunucusunda uzak masaüstü protokolü (RDP) oturumu kurmak için kullanıldı ve buradan Advanced ortamında yatay olarak hareket ederek ayrıcalıklarını yükseltebildiler, hasta tıbbi kayıtları ve telefon numaraları gibi hassas verileri sızdırabildiler ve fidye yazılımı kilitleyicilerini çalıştırabildiler.
“Bu olay, bilgi güvenliğine öncelik vermenin ne kadar önemli olduğunu gösteriyor. Hassas kişisel bilgilerin kontrolünü kaybetmek, sağlık ve bakım kuruluşlarına güvenmekten başka seçeneği olmayan insanlar için üzücü olmuştur,” dedi bilgi komiseri John Edwards.
“Sadece kişisel bilgiler tehlikeye atılmadı, aynı zamanda bu olayın bazı sağlık hizmetlerinde aksamalara yol açtığına ve hasta bakımını sağlama yeteneklerini bozduğuna dair raporlar da gördük. Zaten baskı altında olan bir sektör bu olay nedeniyle daha da zorlandı.
Edwards, “Hassas ve özel kategori verilerinin önemli bir miktarını işleme yetkisine sahip bir kuruluş olarak, bu olaydan önce bilgi güvenliğine yönelik yaklaşımında geçici olarak ciddi eksiklikler tespit ettik” diye devam etti.
“Kurumsal sistemlerine önlemler yüklemesine rağmen, geçici bulgumuz Advanced’in sağlık sistemlerini güvenli tutmada başarısız olduğudur. Tüm kuruluşların sistemlerini güvence altına almak için temel adımlar atmasını bekliyoruz; örneğin, güvenlik açıklarını düzenli olarak kontrol etmek, çok faktörlü kimlik doğrulamayı uygulamak ve sistemleri en son güvenlik yamalarıyla güncel tutmak gibi.”
Edwards, ICO’nun bulgularının bu aşamada geçici olduğunu ve veri koruma yasasının ihlal edilip edilmediği veya hatta para cezası verilip verilmeyeceği konusunda bir sonuca varılmaması gerektiğini vurguladı. Soruşturma sürecinin bir parçası olarak, Advanced nihai bir karar alınmadan önce düşünülmüş beyanlarda bulunma hakkına sahiptir. Kuruluş sonunda para cezasına çarptırılırsa, miktar değişebilir.
Edwards, diğer kuruluşların sistemlerini güvence altına almalarını ve gelecekte benzer olaylardan kaçınmalarını sağlayacak uygun bilgilere sahip olmalarını sağlama görevi olduğu için geçici ICO kararını duyurmayı seçtiğini söyledi. Tüm kuruluşlardan, özellikle hassas sağlık verilerini işleyenlerden, acilen dış bağlantıları güvence altına almalarını ve genel olarak MFA politikaları uygulamalarını istedi.
ICO, Advanced gibi veri işlemcilerinin müşterilerinin talimatları doğrultusunda hareket etmesine rağmen, veri denetleyicilerinin (bu durumda NHS) verilerin nasıl kullanıldığı konusunda genel kontrole sahip olmasına rağmen, işlemcilerin hala verileri güvende tutmak için uygun güvenlik önlemlerini uygulamak için yasal bir yükümlülüğü olduğunu belirtti. Buna, riski değerlendirmek ve azaltmak için adımlar atmak, BT mülklerinde güvenlik açığı taraması yapmak, MFA uygulamak ve sistemleri güncel tutmak dahildir.
Artık OneAdvanced olarak işlem gören Advanced’in bir sözcüsü, Computer Weekly’ye kuruluşun Ağustos 2022’de ICO’ya bir fidye yazılımı saldırısının hedefi olduğunu bildirdiğini ve son iki yıldır soruşturmasında tam olarak işbirliği yaptığını söyledi. Düzenleyicinin geçici bulgularını ortaya koyan ve bunu takiben temsilde bulunmaya davet eden Niyet Bildirimi’ni (NoI) kabul ettiler ve bunu yapmayı amaçlıyor.
“Olay boyunca müşterilerimize destek olduk ve hiçbir verinin kamuya açıklanmadığını teyit edebiliriz. NHS Trusts tarafından kontrol edilen hasta verileri etkilenmedi ve devam eden izlemelerimiz dolandırıcılık veya kötüye kullanım kanıtı olmadığını teyit ediyor. Advanced’ın diğer müşteri hizmetleri sistemlerinden hiçbirinde bir etki olmadı.”
“Müşterilerimizden özür dileriz. Tehdit aktörlerinin bu olayda hizmetlerimizi aksatmış olması tamamen üzücüdür. Sağlık sektöründeki müşterilerimize değer veriyoruz ve onlara, hastalarına ve topluluklarına karşı sorumluluğumuzu çok ciddiye alıyoruz. Siber güvenlik, işimiz boyunca birincil yatırım olmaya devam ediyor, sürekli değişen siber güvenlik tehditlerine ve zorluklarına yanıtımızı uyarlamaya ve geliştirmeye devam ediyoruz.