Capita’ya, 2023’te gerçekleşen bir siber saldırının 6,6 milyon kişinin kişisel verilerini açığa çıkarması sonrasında Bilgi Komiserliği Ofisi (ICO) tarafından 14 milyon £ tutarında rekor bir fidye yazılımı cezası verildi. Capita fidye yazılımı cezası, fidye yazılımıyla ilgili bir ihlal için ICO tarafından şimdiye kadar verilen en büyük cezayı işaret ediyor ve şirketin siber güvenlik savunmasındaki ciddi eksiklikleri vurguluyor.
ICO soruşturması, Capita’nın 2023’teki veri ihlalinin, İngiltere’nin en büyük dış kaynak firmasının sistemlerini saldırılara açık bırakan yetersiz güvenlik önlemlerinden kaynaklandığını ortaya çıkardı. Bilgisayar korsanları emeklilik verileri, çalışan ayrıntıları ve hassas mali kayıtlar dahil olmak üzere yaklaşık bir terabaytlık bilgiyi çaldı.
Düzenleyici, Capita plc’ye 8 milyon £ ve emeklilik kolu Capita Pension Solutions Limited’e 6 milyon £ para cezası vererek toplam cezayı 14 milyon £’a çıkardı. Her ne kadar bu, ICO tarafından önerilen ilk 45 milyon £ tutarındaki para cezasından daha az olsa da, Birleşik Krallık’ın fidye yazılımı ve veri koruma uygulamalarına yaklaşımında dönüm noktası niteliğinde bir karar olmaya devam ediyor.
Fidye Yazılımı Saldırısı Nasıl Ortaya Çıktı?
Capita’ya yönelik Birleşik Krallık fidye yazılımı saldırısı, Mart 2023’te bir çalışanın yanlışlıkla kötü amaçlı bir dosya indirmesiyle başladı. Dakikalar içinde yüksek öncelikli bir güvenlik uyarısı tetiklenmesine rağmen Capita, virüslü cihazı iki günden fazla karantinaya alamadı.
Bu gecikme, saldırganların 29-30 Mart 2023 tarihleri arasında Capita’nın ağında hareket etmesine, yönetici erişimi elde etmesine ve büyük miktarda veri çalmasına olanak tanıdı. Ertesi gün fidye yazılımı konuşlandırılarak Capita’nın kendi sistemlerine erişimi engellendi.
Capita’ya verilen ICO cezası, olaya müdahalede birçok başarısızlık tespit eden kapsamlı bir soruşturmanın ardından geldi. Sistemdeki güvenlik açıklarıyla ilgili defalarca yapılan dahili uyarılara rağmen şirket, bilgisayar korsanlarının ayrıcalıkları artırmasına ve kritik sistemlere erişmesine olanak tanıyan daha güçlü idari kontroller uygulama konusunda başarısız oldu.
ICO’nun Bulguları ve Düzenleyici Yanıtlar
göre Bilgi Komiserliği OfisiCapita, kişisel verileri korumaya yönelik yeterli teknik ve organizasyonel güvencelerden yoksundu. Temel başarısızlıklar şunları içeriyordu:
- Saldırganların yanal hareket etmesine olanak tanıyan idari hesaplar için uygun katmanlamanın olmaması.
- Kritik uyarılara gecikmeli yanıt: Güvenliği ihlal edilen cihaz, tespit edildikten 58 saat sonra izole edildi.
- Yüksek riskli sistemlerin düzenli olarak yeniden değerlendirilmediği seyrek penetrasyon testleri.
- Risk bulgularının departmanlar arasında yeterince paylaşılmaması, güvenlik açıklarının ele alınmadan bırakılması.
Birleşik Krallık Bilgi Komiseri John Edwards, Capita siber güvenlik başarısızlıklarının büyük bir güven ihlali anlamına geldiğini söyledi.
“Capita, milyonlarca insanın kendisine emanet ettiği verileri koruma görevini yerine getirmedi. Yeterli güvenlik önlemleri alınmış olsaydı, bu ihlalin boyutu ve etkisi önlenebilirdi” dedi.
Edwards, işletmelerin kayıtsız kalmayı göze alamayacağı konusunda uyardı. “Manşetlerde bu kadar çok siber saldırı varken mesajımız açık: Ne kadar büyük olursa olsun her kuruluş insanların verilerini güvende tutmak için proaktif adımlar atmalı. Siber suçlular beklemez, işletmeler de beklememeli.”
Capita Fidye Yazılımı Cezasından Sonra Müdahale ve Çözüm
Capita veri ihlali 2023’ün ardından şirket, etkilenen kişilere Experian aracılığıyla 12 ay ücretsiz kredi izleme olanağı sundu ve özel bir çağrı merkezi kurdu. İzleme hizmetini 260.000’den fazla kişi etkinleştirdi.
ICO, Capita’nın soruşturma sırasında tam işbirliği yaptığını ve saldırı sonrasında siber güvenlik duruşunda iyileştirmeler yaptığını kabul etti. Bu eylemler toplam cezanın 45 milyon £’dan 14 milyon £’a düşmesine katkıda bulundu.
Capita ihlalin sorumluluğunu kabul etti ve karara itiraz etmemeyi kabul ederek Capita fidye yazılımı cezasını ICO ile gönüllü bir anlaşmayla sonuçlandırdı.
İşletmeler için Dersler
Capita’ya uygulanan ICO cezası, köklü firmaların bile siber tehditlere karşı bağışık olmadığının güçlü bir hatırlatıcısıdır. Düzenleyici, tüm kuruluşları Ulusal Siber Güvenlik Merkezi’nin (NCSC) rehberliğini takip etmeye, en az ayrıcalık ilkesini uygulamaya ve uyarılara zamanında yanıt verilmesini sağlamaya çağırdı.
Capita vakası, siber güvenlik başarısızlıklarının yalnızca itibar kaybına değil, aynı zamanda rekor kıran mali cezalara da yol açabileceğini güçlendiriyor. Fidye yazılımı saldırıları artmaya devam ederken, düzenleyici kurumların mesajı açık: Bugün güvenliğe yatırım yapmak, yarınki ciddi sonuçları önleyebilir.