Dolandırıcılık Yönetimi ve Siber Suçlar, Olaylar ve İhlallere Müdahale, Mevzuat ve Davalar
2020 Fidye Yazılımı Olayı 13.000 Müşteriyi ve Milyonlarca Kişiyi Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
5 Ekim 2023
Bağış toplama yazılım devi Blackbaud, şirketin veri güvenliği uygulamaları ve 2020 fidye yazılımı saldırısına verdiği yanıtla ilgili çok eyaletli bir soruşturmayı sonuçlandırmak için 49,5 milyon dolar ödeyecek.
Ayrıca bakınız: İsteğe Bağlı | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
Anlaşmaya göre, Charleston, Güney Carolina şirketinin ayrıca, bir bilgi güvenliği programının sürdürülmesi ve ihlal müdahalesine hazırlıklı olup olmadığını belirlemek için iki yılda bir yapılan tatbikatlar da dahil olmak üzere, şirkete uygulanan koşullara uygunluğunu izlemek için yedi yıl boyunca üçüncü taraf değerlendirmelerine tabi tutulması gerekiyor.
Saldırı, 13.000 müşteriyle ilgili 1 milyondan fazla dosyayı, yani şirketin müşterilerinin yaklaşık dörtte birini etkiledi. Indiana Başsavcısı Todd Rokita, “Harika işler yapan kar amacı gütmeyen kuruluşlar, hassas ve özel bilgileri korumak için Blackbaud gibi satıcılara güveniyor ve güveniyorlar” dedi. Rokita ve Vermont başsavcısı, fidye yazılımı olayını araştırmak için 49 eyalet ve Columbia Bölgesi’nden oluşan bir koalisyona liderlik etti. California eyalet savcısının Blackbaud ihlaline ilişkin ayrı bir soruşturması var; eyalet temsilcileri, statüsüne ilişkin yorum talebine hemen yanıt vermedi.
Blackbaud, Perşembe günü yaptığı düzenleyici başvuruda, 30 Haziran itibarıyla 49 eyaletlik uzlaşma tutarını ödemek için yeterli nakit biriktirdiğini söyledi. Bir sözcü, Bilgi Güvenliği Medya Grubu’na şirketin ek bir yorumu olmadığını söyledi.
Blackbaud’un yazılımı, hayır kurumları, eğitim kurumları ve sağlık kuruluşları da dahil olmak üzere kar amacı gütmeyen kuruluşlar tarafından, bağışçılar ve potansiyel katkıda bulunanlarla bağlantıda kalmalarını sağlamak için kullanılır.
Anlaşma aynı zamanda başsavcı tarafından Blackbaud’un eyalet tüketici koruma yasalarını, bildirim yasalarını ve HIPAA’yı ihlal ettiği, zira ihlalin federal tıbbi gizlilik yasası kapsamındaki en az 6 milyon kişiyi etkilediği yönündeki iddialarını da çözüme kavuşturuyor. Etkilenen kuruluşlar arasında 1,05 milyon hasta ve bağışçının siber olaya yakalandığını söyleyen Washington DC’nin Inova Sağlık Sistemi de vardı (bkz: Blackbaud Fidye Yazılımı İhlalinin Kurbanları, Davalar Birikiyor).
Blackbaud, fidye yazılımı saldırısını aylar önce Mayıs ayında tespit ettikten sonra ilk olarak Temmuz 2020’nin ortasında açıkladı. Bilgisayar korsanları şirketin bulut ortamına ilk olarak Şubat ayında sızmıştı. Şirket, kötü amaçlı şifrelemeyi önlediğini ancak bilgisayar korsanlarının veri sızdırmasını engelleyemediğini söyledi. Şirket, verileri yok etme sözü karşılığında bilgisayar korsanlarına 230.000 dolar ödedi; ancak şirkete dava açan özel davacılar, şirketin hiçbir zaman veri silindiğine dair herhangi bir video kanıtı almadığını söyledi.
Şirketin ilk ihlal açıklaması, saldırganın herhangi bir bağışçının banka hesap bilgilerine veya Sosyal Güvenlik numarasına erişmediğini gösterdi. Bu açıklamalardan birkaç gün sonra, şirketin teknoloji ve müşteri ilişkileri personeli, Mart ayında Menkul Kıymetler ve Borsa Komisyonu ile varılan ayrı bir şirket anlaşmasına göre, banka hesap bilgileri ve Sosyal Güvenlik numaralarıyla ilgili bu iddiaların hatalı olduğunu öğrendi.
Düzenleyici, yine de şirketin “bu tür hassas bağışçı bilgilerinin sızma riskini varsayımsal olarak yanıltıcı bir şekilde nitelendirdiğini” söyledi. Blackbaud, SEC soruşturmasını çözmek için 3 milyon dolar ödedi (bkz: Blackbaud ‘Hatalı’ İhlal Ayrıntıları Nedeniyle 3 Milyon Dolar Ödeyecek).
Blackbaud, bilgisayar korsanlarının şifrelenmemiş bağışçı banka hesap bilgilerine ve Sosyal Güvenlik numaralarına eriştiğini ilk kez Eylül 2020’nin sonlarına doğru açıkladı.
Çok eyaletli anlaşmanın gerektirdiği güvenlik önlemleri arasında ağ bölümlendirme, şifreleme, yama yönetimi, güvenlik olaylarını CEO’ya ve yönetim kuruluna raporlama ve veri güvenliği uygulamalarının ayrıntılarını yanlış beyan etmekten kaçınma sözü yer alıyor.
Blackbaud hâlâ kısmen şirketin güvenlik programının ne yazık ki yetersiz olduğu iddiasıyla toplu bir toplu davayla karşı karşıya. Mahkemenin bazı iddiaları reddetmesine rağmen şirketin davanın düşürülmesi yönündeki girişimleri başarısızlıkla sonuçlandı. Davacılar Aralık ayında sınıf sertifikasyonu için bir dilekçe sundular. Önergeyle ilgili ve hangi tanıkların jüri önünde ifade verebileceği üç günlük duruşma 6 Mart 2024’te ABD Güney Carolina Bölgesi Bölge Mahkemesinde başlayacak.