Birleşik Krallık, Amerika Birleşik Devletleri, Avustralya ve Kanada gibi ülkeler, fidye yazılımı saldırılarından etkilenen kuruluşların bu olayları belirli bir zaman dilimi içinde bildirmelerini gerektiren siber yasalar oluşturmuştur. Bu zorunlu raporlama pencereleri, ülkenin düzenleyici çerçevesine bağlı olarak genellikle 48 ila 72 saat arasında değişmektedir. Amaç şeffaflığı sağlamak, zamanında yanıtları kolaylaştırmak ve paydaşları daha fazla zarardan korumaktır.
Ancak, ComputeTech tarafından yapılan yeni bir çalışma, ABD eğitim sektöründe rahatsız edici bir eğilim ortaya koymaktadır. Ortalama olarak, Amerika’daki eğitim kurumlarının fidye yazılımı saldırılarından kaynaklanan veri ihlallerini kamuya açıklamak yaklaşık 4,8 ay sürer. Bazı aşırı durumlarda, okullar ihlali bildirmeden veya etkilenen bireyleri kişisel verilerinden ödün vermeleri hakkında bilgilendirmeden önce altı ay kadar bekledi.
Daha endişe verici olan şey, bu olayların çoğunun sadece çalınan veriler karanlık web’de satışa çıktığında ortaya çıkmasıdır. Başka bir deyişle, proaktif olmak yerine, birçok kurum dış taraflar ihlali ortaya çıkarana kadar sessiz kalır.
Bunun dikkate değer bir örneği geçen yılın sonunda, önemli bir fidye yazılımı saldırısının, okul bölgeleri tarafından öğrenci bilgilerini yönetmek için kullandığı Powerschool yazılımını hedeflediği zaman gerçekleşti. Hackerlar kritik sunuculara sızmayı ve şifrelemeyi başardığı için saldırı 100’den fazla okul bölgesini etkiledi. Yine de, ihlal edilen veriler yeraltı siber suç pazarlarında dolaşmaya başladığında, ihlalin ayrıntıları kamuya açık bir şekilde ortaya çıktı.
Bu gecikmeli açıklama modeli sadece ciddi etik ve yasal soruları gündeme getirmekle kalmaz, aynı zamanda öğrencileri, ebeveynleri ve eğitimcileri daha yüksek kimlik hırsızlığı, sahtekarlık ve siber ile ilgili zarar riskine sokar.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!