Birleşik Krallık’taki Bilgi Komiserliği Ofisi (ICO), veri odaklı iş süreci hizmetleri sağlayıcısı Capita’ya, 2023 yılında 6,6 milyon kişinin kişisel bilgilerinin açığa çıkmasına neden olan bir veri ihlali olayı nedeniyle 14 milyon £ (18,7 milyon $) para cezası verdi.
Capita, yerel konseylere, NHS’ye, Savunma Bakanlığı’na ve bankacılık, kamu hizmetleri ve telekomünikasyon sektörlerindeki kuruluşlara danışmanlık, dijital ve yazılım hizmetleri sağlayan, İngiltere merkezli büyük bir dış kaynak ve profesyonel hizmetler şirketidir.
Yaklaşık 34.000 çalışanı ve yıllık 3 milyar £ geliriyle Capita’nın müşterileri çoğunlukla İngiltere ve Avrupa’dadır.
Yüzlerce emeklilik planı sağlayıcısı etkilendi
ICO başlangıçta cezayı 45 milyon £’dan çok daha büyük bir tutar olarak belirlemişti, ancak şirket, şirketin sorumluluğu kabul etmesi, önemli güvenlik iyileştirmeleri uygulaması ve açığa çıkan kişilere veri koruma hizmetleri sunmasının ardından cezayı düşürmeye karar verdi.
Veri koruma yetkilisi Capita plc’ye 8 milyon £ para cezası verdi ve Capita Pension Solutions Limited ise 6 milyon £ ceza aldı.
ICO’nun araştırması, çalınan verilerin 6,6 milyon kişiyi ve Birleşik Krallık’taki 325 emeklilik planı sağlayıcısı da dahil olmak üzere yüzlerce Capita müşterisini etkilediğini doğruladı.
Nisan 2023’te şirket, dahili Microsoft 365 ortamına erişmeye çalışan bilgisayar korsanları tarafından hedef alındığını ve buna yanıt olarak bazı sistemleri çevrimdışı duruma getirmeye zorlandığını duyurdu.
Üç hafta sonra yapılan bir güncelleme, bilgisayar korsanlarının Capita’nın dahili BT altyapısının %4’üne eriştiğini ve ihlal edilen sistemlerde barındırılan özel dosyalara sızdığını doğruladı.
Black Basta fidye yazılımı çetesi saldırıyı üstlendi ve şirket fidye ödemediği takdirde çalınan tüm dosyaları sızdırmakla tehdit etti.
Bilgisayar korsanları 58 saat boyunca erişime sahip oldu
Siber saldırı, 22 Mart 2023’te bir Capita çalışanının, bilgisayar korsanlarının şirketin iç ağına erişmesine olanak tanıyan kötü amaçlı bir dosyayı indirmesiyle gerçekleşti.
ICO, ihlalin 10 dakika içinde tespit edilmesine rağmen Capita’nın virüslü cihazı 58 saat daha izole edemediğini, bunun da saldırganlara yatay olarak hareket etmeleri, ağa yayılmaları ve hassas veritabanlarına erişmeleri için yeterli zaman tanıdığını belirtiyor.
Information Commissioner’s Office, “Bu dosya, kötü amaçlı yazılımın Capita ağına yayılmasını sağlayarak bilgisayar korsanının sistemde kalmasına, yönetici izinleri almasına ve ağın diğer alanlarına erişmesine olanak sağladı” dedi.
Birleşik Krallık’ın veri koruma yetkilisi, “29 ve 30 Mart 2023 tarihleri arasında neredeyse bir terabaytlık veri sızdırıldı. 31 Mart 2023’te Capita sistemlerine fidye yazılımı yerleştirildi ve bilgisayar korsanı tüm kullanıcı şifrelerini sıfırlayarak Capita personelinin sistemlerine ve ağlarına erişmesini engelledi” dedi.
Capita artık zayıf erişim kontrolleri (kademeli yönetici hesabı modelinin olmaması), güvenlik uyarılarına gecikmiş yanıt, yetersiz personele sahip bir Güvenlik Operasyon Merkezi işletmesi ve düzenli sızma testleri ve risk yönetimi egzersizleri yapmaması nedeniyle para cezasına çarptırıldı.
Capita’nın CEO’su Adolfo Hernandez, olaydan bu yana firmanın siber güvenlik duruşunu güçlendirmek için harcanan çaba ve yatırımın altını çizerek ICO ile anlaşmaya varıldığını duyurdu.
Yönetici ayrıca, cezanın ödenmesinin daha önce yayınlanmış yatırımcı rehberini etkilemesini beklemediklerini de belirtti.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın