Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), 2023’te 6,6 milyon kişinin kişisel verilerinin açığa çıkmasına neden olan büyük bir siber saldırının ardından dev Capita’yı dış kaynak olarak kullananlara 14 milyon £ para cezası verdi.
Capita plc’ye 8 milyon £ ve Capita Pension Solutions Limited’e 6 milyon £ olarak bölünen bu ceza, Birleşik Krallık’ın yakın tarihindeki en büyük veri koruma cezalarından birine işaret ediyor.
İhlal, yüzlerce kuruluştaki emeklilik planlarını ve hassas kişisel bilgileri etkileyen kurumsal siber güvenlikteki kritik eksiklikleri vurguladı.
Olay, 22 Mart 2023’te bir çalışanın farkında olmadan kötü amaçlı bir dosyayı şirket cihazına indirmesiyle ortaya çıktı ve bilgisayar korsanlarına Capita’nın ağına ilk erişim izni verdi.
10 dakika içinde tetiklenen yüksek öncelikli bir güvenlik uyarısına ve bazı otomatik yanıtların etkinleştirilmesine rağmen Capita, virüslü cihazı 58 saat boyunca izole edemedi; bu, bir saatlik hedef yanıt süresini çok aştı.
Bu gecikme, saldırganların kötü amaçlı yazılım dağıtmasına, ayrıcalıkları artırmasına ve sistemler arasında yanal olarak hareket ederek 29 ve 30 Mart tarihleri arasında neredeyse bir terabaytlık veri sızdırmasına olanak tanıdı.
31 Mart itibarıyla fidye yazılımı devreye girerek kullanıcı şifrelerini sıfırladı ve Capita personelini sistemlerinden kilitledi; bu da yerel konseyler, NHS ve emeklilik sağlayıcıları da dahil olmak üzere müşterilere yönelik hizmetleri kesintiye uğrattı.
kişi Veri İhlali Hassas Verileri Açığa Çıkarıyor
Çalınan veriler, 325 emeklilik planının doğrudan etkilendiği 600’den fazla kuruluşun emeklilik kayıtlarını, personel ayrıntılarını ve müşteri bilgilerini kapsıyordu.
Hassas unsurlar arasında mali veriler, sabıka kayıtları ve bazı mağdurlara ilişkin sağlık veya etnik ayrıntılar gibi özel kategori bilgileri yer alıyordu.
ICO, etkilenen kişilerden potansiyel kimlik hırsızlığı ve dolandırıcılık konusunda endişe ve stres bildiren en az 93 şikayet aldı.
ICO’nun araştırması, Capita’nın veri koruma uygulamalarındaki, Birleşik Krallık GDPR’nin güvenli işleme gerekliliklerini ihlal eden çok sayıda başarısızlığı ortaya çıkardı.
Capita’nın, ayrıcalıkların kolayca yükseltilmesine ve önceki değerlendirmelerde işaretlenen ancak giderilmeyen yetkisiz ağ geçişi güvenlik açıklarına olanak tanıyan katmanlı bir idari hesap modelinden yoksun olması dikkat çekicidir.
Güvenlik Operasyonları Merkezleri sürekli olarak yetersiz personele sahipti ve saldırıdan önceki aylarda uyarılara yönelik yanıt hedeflerini sürekli olarak kaçırıyordu.
Ek olarak, milyonlarca kaydı işleyen kritik sistemler, herhangi bir takip olmaksızın, yalnızca devreye alma sırasında sızma testine tabi tutuldu ve bulgular, kuruluş çapında değil, iş birimlerinde saklandı.
Bu hatalar büyük miktarda kişisel veriyi önemli risklere maruz bırakarak ihlalin boyutunu artırdı.
Bilgi Komiseri John Edwards, “Capita’nın milyonlarca insanın kendisine emanet ettiği verileri koruma görevini yerine getirmediğini” vurguladı ve olayın en az ayrıcalık ilkesi ve zamanında uyarı yanıtları gibi temel önlemlerle önlenebilir doğasının altını çizdi.
Başlangıçta 45 milyon sterlinlik geçici para cezasıyla karşı karşıya olan Capita, gönüllü uzlaşma yoluyla bu cezayı 14 milyon sterline düşürdü ve itirazsız sorumluluğu kabul etti.
Capita, etkilenen kişilere Experian aracılığıyla 260.000’den fazla aktivasyonla 12 ay boyunca ücretsiz kredi izleme olanağı sundu ve özel bir destek hattı kurdu.
CEO Adolfo Hernandez, olayı Birleşik Krallık firmalarına yönelik bir saldırı dalgasının parçası olarak kabul ederek kamu ve özel sektör müşterileri için veri güvenliğine yönelik taahhütleri yeniden doğruladı.
ICO, kuruluşları yanal hareketi önleme konusunda NCSC rehberliğini takip etmeye, düzenli risk değerlendirmeleri yapmaya ve güvenlik personeline öncelik vermeye çağırdı.
Kurbanların devam eden yasal işlemleri nedeniyle Capita’nın toplam maliyeti artabilir; bu da fidye yazılımı tehditlerinin arttığı bir çağda hesap verebilirliği vurguluyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
