Bu hafta, siber suçluların maaş bordrosu şirketi Zellis’in sistemlerine sızmak için Progress Software’in MOVEit dosya aktarım uygulamasında devam eden bir güvenlik açığından yararlandıkları keşfedildi. Web sitesine göre, FTSE 100’ün %42’si Zellis müşterisidir ve Yönetilen Hizmetleri aracılığıyla her yıl 28 milyar sterlinin üzerinde ödeme yapılmaktadır.
Bu, sonunda BBC, British Airways, Aer Lingus ve Boots dahil olmak üzere en az sekiz müşteriyi etkileyen yaygın bir fidye yazılımı saldırısına yol açtı; hepsine 14’ten önce fidye müzakerelerine başlamaları için bir ültimatom verildi.inci veya çalışanlarının yüzbinlerce çevrimiçi yayınlanan verilerini görün. Çalınan veriler, ulusal sigorta numaralarını, ev adreslerini ve hatta banka bilgilerini içerir.
Rus fidye yazılımı çetesi Clop, saldırının sorumluluğunu üstlendi ve yüzlerce şirket hakkında bilgileri olduğunu öne sürdü.
Haberi yorumlayan, Simon Newman, International Cyber Expo Danışma Konseyi üyesi söz konusu:
“Birçok büyük kuruluş son birkaç yılda kendi siber güvenliklerini artırmak için büyük yatırımlar yaptı ve bu da siber suçluların içeri girmesini zorlaştırdı. uzun ve karmaşık.
Bir tedarikçinin güvenliğini tehlikeye atma yeteneği, yalnızca daha büyük kuruluşlara potansiyel bir arka kapı sağlamakla kalmaz, aynı zamanda üçüncü taraf diğer şirketlere de ürün veya hizmet sağlama olasılığı olduğundan, bu, saldırının ölçeğinin ve kapsamının belirsiz olduğu anlamına gelir. çok daha büyük.
Buna rağmen Siber İhlaller Araştırması 2023’e göre işletmelerin yalnızca %13’ü birincil tedarikçilerinin oluşturduğu riskleri düzenli olarak gözden geçiriyor. Ulusal Siber Güvenlik Merkezi (NCSC), farkındalığı artırmak ve iyi uygulamaların benimsenmesini teşvik etmek için yakın zamanda tedarik zinciri güvenliğine ilişkin yeni bir kılavuz yayınladı.”
Ray Kelly, Üye Synopsys Yazılım Bütünlüğü Grubu katma:
“Bu, veri gizliliği söz konusu olduğunda yazılım tedarik zincirinin önemini gösteren önemli bir ihlaldir. Bu olayda, bir üçüncü taraf satıcı tarafından çalıştırılan bir yazılım parçasındaki tek bir güvenlik açığı, satıcının hizmet verdiği birden çok kuruluşta kişisel çalışan verilerinin açığa çıkmasına ve açığa çıkmasına neden oldu. Bu ihlalin derinliği hâlâ araştırılıyor, ancak yazılım tedarik zinciri yönü kesinlikle işleri karmaşıklaştırdığından, GDPR’nin bu olaya karışan çeşitli kuruluşlar için para cezalarını nasıl değerlendireceğini görmek ilginç olacak.”
Bu nedenle, kuruluşlara tavsiyelerde bulunur. “çok katmanlı siber güvenlik savunmaları, çalışan siber güvenlik farkındalık eğitimi ve test edilmiş bir olay müdahale planı içeren sağlam güvenlik önlemleri uygulayın. Ana mesaj açık: Verilerimize öncelik vermeli ve korunmasına yeterince yatırım yapmalıyız.”
Dahası, Yeni adam etkilenen şirketleri fidye ödememeleri konusunda uyarıyor ve şu sonuca varıyor:
“Siber suçlulara fidye ödemek, tüm verilerin iade edileceğini garanti etmez. Aslında, çoğu durumda, son derece nadirdir ve sizi gelecekte daha fazla fidye yazılımı saldırısına maruz bırakabilir.”