California AG, Blackbaud’a 2020 Hack’i İçin 6,75 Milyon Dolar Ceza Verdi

Kaliforniya başsavcılığıyla yaptığı ve mahkemenin onayına tabi olan anlaşması uyarınca Blackbaud’un mali cezalar ödemesi ve veri güvenliğini güçlendirme ve ihlal bildirimi uygulamalarını güçlendirme gerekliliklerine uyması gerekiyor.

Eyalet başsavcısı, Temmuz 2020’de Blackbaud’un, bir bilgisayar korsanının Mayıs 2020’de şirketin BT ağını ihlal ettiğini ancak tüketicilerin kişisel verilerine erişmediğini açıkladığını söyledi.

Kaliforniya Ofisi, “Ancak kısa bir süre sonra şirket, bilgisayar korsanının Sosyal Güvenlik ve banka hesap numaraları da dahil olmak üzere kişisel verilere eriştiğini fark etti. Bu keşfe rağmen şirket, ihlalden etkilenen kişilere zamanında ve doğru bilgi sağlayamadı.” Başsavcı bir açıklamada şunları söyledi.

Açıklamada, “Bu eylemler Makul Veri Güvenliği Kanunu, Haksız Rekabet Kanunu ve veri güvenliğine ilişkin Sahte Reklam Kanunu’nu ihlal etmiştir” denildi.

Geçtiğimiz sonbaharda Blackbaud, hacklemenin ardından 49 eyaletin başsavcıları ve Columbia Bölgesi tarafından olaya ilişkin bir soruşturmanın sonuçlandırılması için 49,5 milyon dolar ödemeyi ve veri güvenliği uygulamalarını iyileştirmeyi kabul etti (bkz: Blackbaud, Devlet AG’lerinin İhlaliyle Anlaşmak İçin 49,5 Milyon Dolar Ödedi).

Ancak Blackbaud’a para cezaları ve düzeltici eylemler uygulayanlar yalnızca eyalet düzenleyicileri değil. Federal Ticaret Komisyonu ve ABD Menkul Kıymetler ve Borsa Komisyonu da dahil olmak üzere federal düzenleyiciler firmaya karşı yaptırımlar uyguladı.

Şubat ayında FTC, Blackbaud’a artık ihtiyaç duyulmayan kişisel verileri silmesini ve hack sonrasında uzun bir güvenlik iyileştirmeleri listesi uygulamasını emretti. Bu emir komisyon tarafından mayıs ayında kesinleşti.

FTC, firmaya karşı açtığı davada, yanıltıcı ihlal bildirim bildirimleri ve bilgi güvenliği uygulamalarına ilişkin aldatıcı ifadeler de dahil olmak üzere bir dizi FTC Yasası ihlali nedeniyle Blackbaud’a atıfta bulundu (bkz.: FTC, Blackbaud’un Fidye Yazılımı Hacklemesindeki ‘Kalitesiz’ Uygulamalarını Vurdu).

Geçtiğimiz yıl SEC, Blackbaud’a, firmanın kamuya yaptığı açıklamalar da dahil olmak üzere ihlali ele alması nedeniyle 3 milyon dolar para cezası verdi (bkz: Blackbaud, Hatalı İhlal Ayrıntıları Nedeniyle 3 Milyon Dolar Ödeyecek).

Ancak Blackbaud’a karşı harekete geçen tek hükümet kurumu ABD federal ve eyalet düzenleyicileri değil. İngiltere’nin Bilgi Komiserliği Ofisi, Eylül 2021’de şirketi para cezası uygulamadan kınadı. Kınamalar genellikle gizlilik gözlemcisinin bir kuruluşun Birleşik Krallık’ın Genel Veri Koruma Yönetmeliğini ihlal ettiğini düşünme yollarını ayrıntılarıyla anlatır ve bu eksikliklerin giderilmesine yönelik önerilerde bulunur.

Kaliforniya Yerleşimi

Milyonlarca dolarlık mali cezayı ödemenin yanı sıra, Kaliforniya başsavcısı ile yaptığı anlaşma kapsamında Blackbaud’un “gelecekteki ihlalleri önlemek için güçlü veri güvenliği iyileştirmelerine” uyması gerekiyor:

• Kişisel bilgileri içeren veritabanı yedekleme dosyalarını gereken minimum ölçüde saklayın ve veritabanı yedekleme dosyalarının güvenli bir şekilde imha edilmesini sağlayın.
• Çok faktörlü kimlik doğrulama ilkelerini uygulayın.
• Ağ bölümleme gereklilikleri ve şüpheli etkinliklerin izlenmesi ve uyarılması da dahil olmak üzere güvenlik altyapısı politikalarını ve prosedürlerini güçlendirin.

Kaliforniya Başsavcısı Rob Bonta yaptığı açıklamada, “Anlaşma, Blackbaud’un tüketicilerin kişisel bilgilerinin korunmasına öncelik vermesini ve gelecekteki olayları önlemek için güvenlik önlemlerini geliştirmesini sağlayacaktır.” dedi.

“Blackbaud yalnızca tüketicilerin kişisel bilgilerini korumakla kalmadı, aynı zamanda veri ihlalinin tüm etkileri konusunda halkı yanılttı. Bu kesinlikle kabul edilemez.”

Hack Ayrıntıları

Kaliforniya başsavcısı, hack olayını ayrıntılarıyla anlatan mahkeme şikayetinde, 14 Mayıs 2020’de Blackbaud’un BT personelinin şirketin sistemlerine yetkisiz erişim tespit ettiğini söyledi.

Belgede, “Blackbaud’un sistemlerine yetkisiz erişim sağlayan tehdit aktörü, fidye ödenmediği takdirde Blackbaud’un müşterilerinin yüzlerce terabaytlık hassas verilerini yayınlamakla tehdit etti” deniyor. “Blackbaud daha sonra tehdit aktörünün bu verileri yok etme sözü karşılığında tehdit aktörüne fidye ödedi.”

SEC, şikayetinde Blackbaud’un siber suçlulara o sırada değeri 235.000 dolar olan 24 bitcoin ödemeyi kabul ettiğini söyledi.

Blackbaud’un olayla ilgili soruşturmasının ardından şirket, tehdit aktörünün Kaliforniya’daki müşteriler de dahil olmak üzere 13.000’den fazla Blackbaud müşterisine ait kişisel verilere eriştiğini ve bunları sızdırdığını belirledi. Erişilen ve sızdırılan tüketici verileri arasında Sosyal Güvenlik numaraları, banka hesap bilgileri ve tıbbi bilgiler yer alıyordu.

Mahkeme belgelerine göre, tehdit aktörü, bir Blackbaud müşterisinin ele geçirilen kullanıcı adını ve şifresini kullanarak, müşterinin Blackbaud sanal masaüstü ortamına erişim sağlayarak Blackbaud sistemlerine girmeyi başardı.

“Blackbaud, hassas ortamlara erişen tüm müşterilerin şifrelerini döndürmesini zorunlu kılmak ve varsayılan, zayıf veya aynı şifrelerden kaçınmak gibi uygun şifre kontrollerini uygulamadı. Blackbaud ayrıca, sistemini korumak için ayrı bir güvenlik katmanı olarak çok faktörlü kimlik doğrulama gibi kimlik doğrulama protokollerini zorunlu kılmada başarısız oldu. izinsiz girişten.”

Kaliforniya başsavcısı, olaydan önce Blackbaud’un diğer kritik güvenlik kontrolleri ve politikalarından yoksun olduğunu söyledi. Uygun ağ bölümlendirmesini uygulama konusunda başarısız oldu; Kaliforniyalılar da dahil olmak üzere tüketicilerin kişisel bilgilerini şifrelenmemiş alanlarda ve gerekenden uzun yıllar boyunca sakladı; ve uygun tehdit ve izinsiz giriş tespit süreçlerini uygulamada başarısız oldu.

Ne Blackbaud ne de Kaliforniya başsavcılığı, Information Security Media Group’un yorum taleplerine ve anlaşmaya ilişkin ek ayrıntılara hemen yanıt vermedi.