İhlal Bildirimi, Siber Suçlar, Uç Nokta Güvenliği
Scotland Yard, Şüpheli Hack Saldırısının Hizmet Sağlayıcıya Etkisini Araştırıyor
Mathew J. Schwartz (euroinfosec) •
28 Ağustos 2023
Londra Metropolitan Polis Teşkilatı, potansiyel olarak 47.000 personelin tamamının isimlerini, rütbelerini ve fotoğraflarını açığa çıkarabilecek ciddi bir veri ihlalini araştırıyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Polis, personele “Met tedarikçisinin BT sistemine izinsiz erişimi” hâlâ araştırdığını ve bunun ne zaman ve nasıl meydana geldiğinin ya da kaç kişinin etkilenebileceğinin henüz belli olmadığını söyledi.
Met, yaptığı açıklamada, “Metropolitan Polisi verileriyle ilgili herhangi bir güvenlik ihlali olup olmadığını anlamak için şirketle birlikte çalışıyoruz.” dedi. “Şirketin memur ve personelin isimlerine, rütbelerine, fotoğraflarına, inceleme seviyelerine ve maaş numaralarına erişimi vardı. Şirket adresler, telefon numaraları veya mali ayrıntılar gibi kişisel bilgileri elinde tutmuyordu.”
Met Polisi, 8,6 milyon sakinin yaşadığı Londra Şehri finans bölgesi hariç, Londra’nın büyük bölümünde polisin kontrolünden sorumludur. İhlalle ilgili endişelerden biri, gizli görevdeki polis memurlarının kimliklerinin açığa çıkmış olabileceğidir.
Met, olayı hem Birleşik Krallık Ulusal Suç Dairesi’ne hem de ülkenin veri koruma kurallarını uygulayan Bilgi Komiserliği Ofisine havale etti. Bir NCA sözcüsü BBC’ye, kurumun “siber olaydan haberdar olduğunu” ve “etkiyi anlamak için kolluk kuvvetleri ortaklarıyla birlikte çalıştığını” söyledi.
Sun’ın haberine göre, ihlali gerçekleştiren yüklenici, memurların kendilerini tanıtmak için kullandıkları resmi izin kartlarının yanı sıra personel geçiş kartlarını da sağlamaktan sorumlu. Yüklenicinin kimliği belirlenmedi.
Polis teşkilatındaki 30.000’den fazla memuru temsil eden Metropolitan Polis Federasyonu, olayı “hiç yaşanmaması gereken sarsıcı bir güvenlik ihlali” olarak nitelendirdi.
MPF başkan yardımcısı Rick Prior yaptığı açıklamada, “Büyükşehir Polis memurları -biz konuşurken- Londra sokaklarında suçluları yakalamak ve halkın güvenliğini sağlamak için akla gelebilecek en zor ve tehlikeli rollerden bazılarını üstleniyorlar” dedi. “Kişisel ayrıntılarının potansiyel olarak bu şekilde kamuya sızdırılması – muhtemelen herkesin görebileceği şekilde – meslektaşlarımızda inanılmaz bir endişe ve öfkeye neden olacaktır.”
Birleşik Krallık Polis İhlalleri Dizisi
Met Police güvenlik olayı, Birleşik Krallık polis güçlerinden gelen bir dizi veri ihlali uyarısının ardından geldi. Bu ayın başlarında, Kuzey İrlanda Polis Teşkilatı, bilgi edinme özgürlüğü talebinde bulunurken “insan hatası” nedeniyle, teşkilatın 9.276 görev yapan polis memuru ve personelin tamamının kişisel bilgilerini istemeden ifşa ettiği konusunda uyardı.
İhlal, her bireyin adının baş harflerini, soyadlarını, rollerini ve konumlarını açığa çıkardı. PSNI, kişisel veya aile güvenliğinin yüksek risk altında olduğu personeli tespit ettiğini ve onlara bu riski en iyi şekilde nasıl azaltabilecekleri konusunda tavsiyelerde bulunduğunu söyledi.
Aşırılıkçılar ciddi bir tehdit olmaya devam ediyor ve PSNI, verilerin kopyalarını elde ettiklerine inandıkları konusunda uyardı. Mart ayında, Birleşik Krallık hükümeti, Omagh, County Tyrone’da görevde olmayan bir polis memuruna düzenlenen suikast girişiminin ardından, Mart ayında Kuzey İrlanda’daki terör tehdidi seviyesini “ciddi”ye yükseltti.
Veri ihlalinden bu yana PSNI dedektifleri, bilgiyi edinmiş olabilecek kişilerle bağlantılı olarak Terörizm Yasası kapsamında iki tutuklama gerçekleştirdi.
Bu ihlalin gerçekleşmesinden günler sonra PSNI, Temmuz ayında Belfast’ın kuzeyindeki M2 otoyolunda bir memurun hareket halindeki aracından bir dizüstü bilgisayar ve dizüstü bilgisayarın düşmesinin ardından başka bir ihlale uğradığını açıkladı. Polis, “dizüstü bilgisayarın derhal devre dışı bırakıldığını ve daha sonra kurtarıldığını” belirtirken, doğrudan bilgi verilen “42 memur ve personelin” kişisel bilgilerini içeren sayfalar da dahil olmak üzere dizüstü bilgisayarın bazı kısımlarının hala kayıp olduğunu söyledi.
Yine bu ay, İngiltere’deki Norfolk ve Suffolk polis teşkilatları, çok sayıda bilgi edinme özgürlüğü talebine yanıt verirken kendilerinin de yanlışlıkla bilgileri açığa çıkardıkları konusunda uyardı. 1.230 kişiye ilişkin açığa çıkan bilgiler suç ihbarlarına ilişkindir.
Polis teşkilatı, “Veriler mağdurlar, tanıklar ve şüpheliler hakkındaki kişisel bilgilerin yanı sıra suçların tanımlarını da içeriyor” dedi. “Bu, aile içi olaylar, cinsel suçlar, saldırılar, hırsızlıklar ve nefret suçları da dahil olmak üzere bir dizi suçla ilgiliydi.”
Geçen hafta bir polis ihlali daha ortaya çıktı. Çarşamba günü İngiltere’nin Güney Yorkshire Polisi, “polisin sistemlerinde depolanan verilerde önemli ve açıklanamayan bir azalma fark etmesinden sonra” kendisini ICO’ya yönlendirdiğini bildirdi. Kuvvet, dijital adli tıp uzmanlarının, bir olaya katılan veya halkla etkileşime giren memurların Temmuz 2020’den Mayıs ayına kadar kaydedilen yaklaşık iki yıllık polis vücut kamerası görüntülerini kurtarmaya çalıştığını söyledi.
Polis, “Veri kaybından potansiyel olarak etkilenen yaklaşık 69 vaka tespit edildi ve mağdurlar ve Kraliyet Savcılık Servisi ile yakın işbirliği içinde çalışıyoruz” dedi.
Güney Yorkshire Polisi ve Suç Komiseri Alan Billings, yaptığı açıklamada, “Bu görüntülerin bir kısmı yaklaşan davalarda delil olabileceği için mağdurlar, tanıklar ve daha geniş ceza adaleti sistemi açısından sonuçları olabilir” dedi. “Güç, olası sonuçlar üzerinde çalışıyor ve etkilenenlerle doğrudan temas kuruluyor.”