Capita’daki iki ayrı siber güvenlik olayının etkisi, yüzbinlerce (potansiyel olarak milyonlarca) özel kişinin verilerinin etkilenmesiyle birlikte, kuruluşların müşterilerinin giderek daha fazla alt veri ihlallerini bildirmesiyle yayılmaya devam ediyor.
Bilgi Komiserliği Ofisi’nden (ICO) güncellenmiş rakamlara atıfta bulunan BBC’ye göre, 90 kadar kuruluş şu anda bir miktar etki gördüklerini söylüyor.
Bunların arasında, insanların emekli maaşlarını yönetmelerine olanak tanıyan, sözde güvenli bir web sitesi olan şirketin Hartlink hizmetini kullanan çok sayıda emeklilik fonu var. Bunlar arasında Diageo, Marks and Spencer, Royal Mail ve Unilever gibi firmalar yer alıyor.
Capita’nın sistemleri Mart ayı sonunda saldırıya uğradı ve kuruluşun kamu sektörü müşterilerinin çoğu için birkaç günlük bir hizmet kesintisine neden oldu. O sırada Capita’nın kriz iletişimi operasyonu, müşteri verilerinin tehlikeye atıldığına dair hiçbir kanıt olmadığını iddia etti, ancak şimdi bunun doğru olmadığı kanıtlandı.
Ayrıca daha sonra Capita’nın bir Amazon Web Services (AWS) S3 depolama kovasını doğru şekilde yapılandıramadığı için gizli verileri birkaç yıl boyunca halka açık internete açık bıraktığı ortaya çıktı.
“Mart ayındaki bir siber saldırı ve halka açık depolamanın kullanımıyla ilgili olarak Capita ile ilgili iki olayın farkındayız. ICO yaptığı açıklamada, bu olaylardan doğrudan etkilenen kuruluşlardan çok sayıda rapor alıyoruz ve şu anda soruşturma yapıyoruz” dedi.
Düzenleyici, Capita müşterilerini bu olaylara maruz kalma durumlarını kontrol etmeye ve gerekirse ihlalleri bildirmeye teşvik etmeye devam ettiğini söyledi.
Kuruluşlar, kişilerin hak veya özgürlüklerine yönelik bir risk teşkil etmedikçe, kişisel veri ihlallerini öğrendikten sonra 72 saat içinde ICO’ya bildirmekle yükümlüdür.
Bir kuruluş raporlamamayı seçse bile, ihlalin kayıtlarını tutmalı ve koşullar değişirse bunu neden yapmadığını açıklayabilmeli ve buna hazırlıklı olmalıdır.
ESET küresel siber güvenlik danışmanı Jake Moore, kişisel verilerin tehlikeye atılmasının ihlalleri çok daha etkili hale getirdiğini söyledi ve Capita’da tam olarak ne olduğunun netleşmesinin yıllar alabileceği konusunda uyardı.
Moore, “Bu saldırının zincirleme etkileri acımasızdı ve tipik bir modern zaman siber saldırısının tüm boyutlarını ortaya koyuyor” dedi. “Hassas verilerin açığa çıkması, çalınan bilgilerinin tam sonucunun çoğu zaman bilinmediği müşteriler için sorun yaratabilir.
“İnsanlar uyarılmış olsun ya da olmasın, insanlar tehditlere karşı belirgin takip konusunda tetikte kalmalıdır. Dolandırıcılık ve kimlik hırsızlığı olasılıkları nedeniyle ilgili verilerle doğrulanmış ve makul görünse bile insanlar potansiyel kötü amaçlı iletişimlere karşı tetikte kalmalıdır.”
CyberSmart’ın CEO’su ve kurucu ortağı Jamie Akhtar şunları ekledi: “Bu hikaye, tedarik zincirlerinin oluşturduğu siber güvenlik risklerinin en iyi örneklerinden biri olabilir… Bir tedarik zincirinin parçasıysanız, siber suçlular sizi daha erken hedef almaya çalışır. veya daha sonra – kesintiye neden olma veya önemli verileri çalma fırsatı kaçırılmayacak kadar iyidir.
“Bu nedenle, her büyüklükteki işletmeyi tedarik zincirleri ve içindeki riskler hakkında düşünmeye çağırıyoruz. Nereden başlayacağınızdan emin değilseniz, NCSC’nin ‘tedarik zincirinizin haritasını çıkarma’ kılavuzu harika bir başlangıç noktasıdır.”