Bulut bilişim sağlayıcısı Blackbaud, Mayıs 2020’de gerçekleşen fidye yazılımı saldırısına ve bunun sonucunda ortaya çıkan veri ihlaline ilişkin çok eyaletli bir soruşturmayı sonuçlandırmak için ABD’nin 49 eyaletinin başsavcılarıyla 49,5 milyon dolarlık bir anlaşmaya vardı.
Blackbaud, hayır kurumları, okullar ve sağlık kuruluşları gibi kar amacı gütmeyen kuruluşlara hizmet veren lider bir yazılım çözümleri sağlayıcısıdır ve bağışçı katılımı ve seçim bölgesi verilerinin yönetimi konusunda uzmanlaşmıştır.
Bu veriler, demografik ayrıntılar, Sosyal Güvenlik numaraları, sürücü belgesi numaraları, mali kayıtlar, istihdam verileri, servet bilgileri, bağış geçmişleri ve korunan sağlık bilgileri gibi çok çeşitli hassas bilgileri içerir.
Blackbaud tarafından Temmuz 2020’de açıklanan ihlalde, 13.000’den fazla Blackbaud ticari müşterisine ve onların ABD, Kanada, İngiltere ve Hollanda’daki müşterilerine ait son derece hassas veriler tehlikeye atılarak milyonlarca kişiyi etkiledi.
Saldırganlar müşterilerin şifrelenmemiş banka bilgilerini, oturum açma bilgilerini ve sosyal güvenlik numaralarını çaldı. Blackbaud, çalınan tüm verilerin yok edildiği söylendikten sonra saldırganların fidye talebini yerine getirdi.
Bu haftaki 49,5 milyon dolarlık anlaşma, Blackbaud’un eyalet tüketici koruma yasalarını, ihlal bildirimi düzenlemelerini ve Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasasını (HIPAA) ihlal ettiği yönündeki iddiaları ele alıyor.
Ohio Başsavcısı Dave Yost, “Dikkatsizlik, tüketici verilerinin tehlikeye atılmasını haklı gösteremez. Şirketler kişisel bilgileri korumaya, tüketicilerin veri gizliliği ve korunmasına ilişkin haklı beklentilerini karşılamaya kararlı olmalıdır” dedi.
Anlaşmanın bir parçası olarak Blackbaud’un şunları da yapması gerekiyor:
- Bir ihlal müdahale planının uygulanması ve sürdürülmesi
- Bir ihlal durumunda müşterilerine uygun yardımı sağlayın
- Güvenlik olaylarını CEO’ya ve yönetim kuruluna rapor edin ve çalışanlara gelişmiş eğitim sağlayın
- Toplam veritabanı şifrelemesi ve karanlık web izlemeyi gerektiren kişisel bilgi korumalarını ve kontrollerini uygulayın
- Ağ bölümleme, yama yönetimi, izinsiz giriş tespiti, güvenlik duvarları, erişim kontrolleri, günlük kaydı ve izleme ve sızma testleri yoluyla savunmaları iyileştirin
- Yedi yıl boyunca anlaşmaya uygunluğunun üçüncü taraflarca değerlendirilmesine izin ver
Fidye yazılımı saldırısının sonuçları
Şirket, 2020 3. Çeyrek Raporunda üç yıl önce en az 43 eyalet başsavcısının ve Columbia Bölgesi’nin olayı araştırdığını açıklamıştı.
Kasım 2020 itibarıyla Blackbaud, ABD ve Kanada’da Mayıs 2020’de yaşanan güvenlik ihlaliyle ilgili olarak önerilen 23 toplu dava davasında dava edilmişti.
Mart ayında şirket, 2020 fidye yazılımı saldırısının tam etkisini açıklamadığını iddia ederek Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından getirilen suçlamaları karşılamak için 3 milyon dolar ödemeyi de kabul etti.
SEC’e göre Blackbaud’un teknoloji ve müşteri ilişkileri personeli, saldırganların bağışçının banka hesap bilgilerini ve sosyal güvenlik numaralarını çaldığını keşfetti. Ancak şirketin uygun açıklama kontrolleri ve prosedürlerinin bulunmaması nedeniyle konuyu yönetime iletmediler.
Ardından Blackbaud, ihlalin tüm kapsamıyla ilgili önemli ayrıntıları atlayan bir SEC raporu sundu. Ayrıca rapor, saldırganların eriştiği hassas bağışçı bilgileriyle ilişkili potansiyel riski de önemsiz göstererek bunun varsayımsal olduğunu belirtti.