3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
Birden fazla sektörde çalışan gösterimleri sağlayan satıcı, siber olayı bildiriyor
Marianne Kolbasuk McGee (Healthinfosec) •
26 Şubat 2025
Bir yıl önce bir veri hırsızlığı olayının 3,3 milyondan fazla kişiyi etkilediğini bildirdi.
Ayrıca bakınız: Netskope Ferpa Haritalama Kılavuzu
Maine Başsavcısı Pazartesi günü açılan bir ihlal raporunda DISA, 22 Nisan 2024’te ağının bir kısmını etkileyen bir siber olayı keşfettiğini söyledi.
Olayla ilgili bir soruşturma, yetkisiz bir üçüncü tarafın 9 Şubat 2024 ve 22 Nisan 2024 arasında DISA’nın ortamına eriştiğini ve bazı bilgileri aldığını buldu.
“Adli tıp araştırmamız temin edilen belirli verileri kesin olarak sonuçlandıramasa da, DISA dosyalarda yer alan kişisel bilgileri tanımlamak için etkilenen dosyaların ayrıntılı ve zamanla yoğun bir şekilde gözden geçirilmiştir.”
DISA Web sitesinde yayınlanan bir ihlal bildirisinde etkilenen bilgilerin bireylerin adı, sosyal güvenlik numarası, ehliyet numarası, diğer hükümet kimlik numaraları, finansal hesap bilgileri ve diğer veri öğelerini içerdiğini söyledi.
Disa, her insanın aynı veri öğelerini tehlikeye atmadığını söyledi. Etkilenen dosyalar “işverenlere ve potansiyel işverenlere sağladığımız istihdam tarama hizmetleri nedeniyle sahip olduğumuza” geldi. Diyerek şöyle devam etti: “Şu anda, bu olayda yer alan herhangi bir bilginin herhangi bir girişiminden veya gerçek kötüye kullanımından habersiziz.”
DataBreaches.net, DISA’nın web’den kaldırılan ihlal bildiriminin önceki bir versiyonunun, “tehdit oyuncusunu, edinilen verileri kamuya açıklamaktan ve verilerin silinmesinin onaylanmasını sağlamak için caydırmak için” önlemler alarak başvurduğunu bildirdi.
DISA’yı Maine Başsavcısı’na ihlal raporunda temsil eden bir avukat, DISA’nın siber suçlular tarafından şirketin çalınan verilerini yok etme sözü karşılığında bir fidye ödeyip ödemediği de dahil olmak üzere, bilgi güvenliği medya grubunun olayla ilgili ek ayrıntı talebine hemen yanıt vermedi.
DISA’nın web sitesi, şirketin Fortune 500 firmasının% 30’u da dahil olmak üzere bir düzineden fazla sektörde 55.000’den fazla müşteriye sahip olduğunu söylüyor. DISA tarafından sunulan endüstriler arasında sağlık, finansal ve mesleki hizmetler, perakende misafirperverliği ve ulaşım bulunmaktadır.
Hassas veriler
Bazı uzmanlar, DISA’nın işinin doğası ve gerçekleştirdiği veri türünün olayı özellikle endişe verici hale getirdiğini söyledi.
Güvenlik firması Lumifi Cyber Field Ciso, “Bu ihlal ile ilgilidir, çünkü elde edilen veri türünün, mali sahtekarlığın sürdürülmesindeki değerinden daha fazla, rakipler için stratejik bir değeri vardır.” Dedi.
Hamilton, şirketin arka plan kontrollerini ve müşterilerinin çalışanlarını ve perspektif çalışanlarını taramak için uyuşturucu ve alkol testi içerdiğinden, bilgisayar korsanları potansiyel olarak “kimin yaptı ve geçmedi” ile ilgili ayrıntıları elde etti.
Disa’dan çalınan ilaç testi bilgileri ve diğer verilerin potansiyel olarak kurbanları zorlamak veya şantaj yapmak için kullanabileceğini söyledi. “Ve bu mağdurlardan bazıları federal pozisyonlara başvurmuş olabileceğinden, mali sorunları olanları belirleyerek varlıkları federal ajanslar içindeki casuslara dönüştürmek için kullanılabilir.” Dedi.
DISA ihlalinde uyuşturucu ve alkol testi sonuçları gerçekten ortaya çıkarsa, “o zaman bireylerin yaşamları ve geçim kaynakları, istihdam durumu, sigorta kapsamı, itibar hasarı ve çok daha fazlası da dahil olmak üzere etkilenebilir” dedi.
Ne yazık ki, birçok şirketin veri ekosisteminin tam kapsamı üzerinde çok az görünürlüğe sahip oldukları, üçüncü tarafların erişimi olduğu veya hassas bilgileri kullandığı da dahil.
Dava açıldı
Çarşamba itibariyle, veri ihlalini içeren DISA’ya şimdiye kadar en az yarım düzine önerilen federal sınıf eylem davası açıldı.
Finansal zararlar ve ilgili yardım arayan davalar, bireylerin hassas kişisel olarak tanımlanabilir bilgilerini güvence altına almamadaki ihmal de dahil olmak üzere DISA’ya karşı benzer iddialarda bulunur.
“Sanık, davacının ve sınıf üyelerinin PII’sini yeterince koruyamadı – ve bu son derece hassas bilgileri şifrelemedi veya düzeltemedi.”
Dava, “Bu şifrelenmemiş, yeniden düzenlenmemiş PII, sanığın ihmalkar ve/veya dikkatsiz eylemleri ve ihmalleri ve müşterilerinin çalışanlarının ve iş başvuru sahiplerinin hassas verilerini koruyamaması nedeniyle tehlikeye atıldı.”
“Hackerlar, davacı ve sınıf üyelerinin kimliklerini sömürme ve çalma değeri nedeniyle davacı ve sınıf üyelerinin PII’lerini hedef aldı ve elde etti. Veri ihlalinin kurbanlarına olan şimdiki ve sürekli kimlik hırsızlığı ve sahtekarlık riski kendi yaşamları için kalacaktır.”
Satıcı riski
Bu arada, son DISA verilerinin ihlali, üçüncü taraf risk firması Black Kite Ciso, Bob Maley, üçüncü taraf ağların kırılganlığı olan siber güvenlik eğiliminde devam eden bir vurgu.
“Bu ‘sessiz ihlaller’ sömürülene kadar tespit edilmez ve birbirine bağlı sistemlerde önemli hasara neden olur.” Dedi. Yakın tarihli bir Siyah Uçurtma araştırma çalışması, üçüncü taraf ihlallerinin 2024’te siber olayların önemli bir kısmını oluşturduğunu ve sağlık, finans ve üretim gibi endüstrilerin özellikle savunmasız olduğunu söyledi.
Sağlık hizmetinde çalışan ve hassas hasta bilgileri ile etkileşime giren kuruluşlar, HIPAA altındaki düzenleyici sorumluluklarına bakılmaksızın hassas bilgileri korumak için güçlü kontrollere ihtiyaç duyarlar, Clearwater danışmanlığı gizlilik ve uyum hizmetleri başkan yardımcısı Andrew Mahler.
DISA olayı “hassas veriler alan üçüncü tarafların geniş ağına ve endüstrinin bu evrende daha fazla hesap verebilirlik sağlama ihtiyacı” dedi.
Üçüncü taraf satıcıları içeren hackler ve güvenlik siber olayları devam ettikçe, uzmanlar bu firmaların siber güvenlik için çok katmanlı bir yaklaşım almak da dahil olmak üzere müşterilerinin hassas bilgilerini korumalarını geliştirmelerini önermektedir.
Maley, saldırı tespit sistemleri ve güvenlik bilgileri ve etkinlik yönetimi, çok faktörlü kimlik doğrulama ve güçlü şifreleme uygulamaları gibi araçlarla sürekli izlemeyi içeriyor.
Kuruluşlar “müşterilerle net iletişim kanalları, güvenlik bilgilerinin paylaşılmasını sağlar ve koordineli olay müdahale çabalarını kolaylaştırır” dedi.
Bu arada, hassas bilgileri işleyen üçüncü taraf sağlayıcılara bağımlı kuruluşların, güvenlik kontrolleri konusunda güvence kazanmak için yapabilecekleriyle sınırlı olduğunu söyledi.
“Seçenekler, denetlenmiş kontroller hakkında belgeler elde etmektir – ‘denetlenmiş’ için bir vurgu yaparak, üçüncü tarafın tanınmış bir düzenleyici çerçeveye karşı bir değerlendirmesini ödemek ve gerçekleştirmek veya korunma yönetimi ve koruyucu eylemler üzerindeki ilerlemeleri gözden geçirmek için üçüncü tarafı sürekli olarak izlemek için üçüncü tarafı izlemektir.”
“Hangi kuruluşlar olmalı Olumsuz DO, sırasıyla istekli ve geçici olduğu için öz değerlendirmeleri veya zamanında penetrasyon testi raporlarını kabul etmektir. “
Mahler, firmasının müşterileri satıcılarının düzenli güvenlik riski değerlendirmelerini yapmaya teşvik ettiğini söyledi.
Bu, bulgulara dayalı risk seviyelerinin atanmasını, risk yönetimi planlarının uygulanmasını ve risklerin sürekli olarak izlenmesini – ortamların nasıl hızlı değiştiğini ve yeni güvenlik açıklarının ortaya çıkabileceğini fark etmeyi içerir.
“2024 yılında ihlal edilen kayıtların% 77’sini oluşturan iş ortakları ile güçlü satıcı risk yönetimi programlarının yürürlüğe girmesi ve düzenli olarak değerlendirilmesi, izlenmesi ve güncellenmesi gerekir.”