İrlandalı bir kamu hizmeti şirketi olan Electric Ireland, bir duyuru kişisel ve finansal bilgileri içeren 8.000 müşteri hesabının ele geçirilmiş olabileceğini doğruluyor.
İhlalin kesin ayrıntıları bilinmemekle birlikte açıklamada, “Electric Ireland, bizim adımıza çalışan bir şirketin çalışanının 1,1 milyon konut müşteri hesabımızın küçük bir kısmına uygunsuz bir şekilde erişmiş olabileceğinin farkındadır” açıklaması yapıldı.
Açıklamada bunun, bu hesaplarda yer alan kişisel ve mali bilgilerin potansiyel olarak kötüye kullanılmasıyla sonuçlandığı belirtildi. Electric Ireland, etkilenen 8.000 kişinin tamamına mektuplar göndererek olası olumsuz etkilerle nasıl başa çıkılacağı konusunda tavsiyeler sundu.
Bu mektupta müşterilerin bankalarıyla iletişime geçmelerinin yanı sıra Electric Ireland ile iletişime geçmeleri için talimatlar yer alıyordu. Şirket şu anda işbirliği yapıyor İrlanda ulusal polisi ve güvenlik teşkilatı Garda Síochána ile Veri Koruma Komiseri davanın kesin ayrıntılarını ve nasıl ilerleneceğini belirleyecek.
1,1 milyon müşteri hesabının yalnızca küçük bir kısmına erişilmiş olması bir şans olsa da, ihlalden sorumlu çalışanın ele geçirilen verileri mali dolandırıcılık yapmak için kullanması muhtemeldir; zira bu, hesapların kasıtlı olarak ihlali gibi görünmektedir. tesadüfi bir şeye karşı. Bu ihlalde erişilen veriler arasında isimler, adresler, banka hesap bilgileri, telefon numaraları ve tarihler yer alıyordu doğumu.
Buna göre Siber güvenlik uzmanı Erfan Shadabi konfor AG, “Veri ihlalleri maalesef günümüzün dijital çağında daha yaygın hale geliyor ve kuruluşların hem kendilerinin hem de müşterilerinin bilgilerini korumak için proaktif adımlar atması önemli. Electric Ireland’ın veri ihlaline maruz kaldığı haberi hem kuruluş hem de müşterileri açısından endişe verici.”
Javvad Malik, Güvenlik Farkındalığı Lider Avukatı KnowBe4, yorum yaptı, “Electric Ireland’daki veri ihlali, çalışanların farkındalığının ve bir kuruluş içindeki güçlü siber güvenlik kültürünün kritik öneminin bir kez daha hatırlatıcısıdır. Anlaşmalı bir şirketin bir çalışanının müşteri hesaplarına uygunsuz bir şekilde erişme olanağına sahip olması endişe vericidir ve sağlam güvenlik önlemlerine olan ihtiyacın altını çizmektedir.”
Bu, üçüncü taraf satıcıların veya ortakların kullanımının güvenlik tedarik zincirinde soruna neden olduğu ilk olay değil. Bu olay, son dönemdeki gibi istismar edilebilir bir güvenlik açığının sonucu olmasa da Oynat kitlesel saldırılara rağmen güvenlik savunmalarının güçlendirilmesinin gerekliliğini vurguluyor. Şirketler kendilerini içeriden ve dışarıdan koruyabilmelidir.
James McQuiggan, Güvenlik Bilinci Avukatı KnowBe4, bunu açıkladı “Kuruluşlar dış ortaklara ve satıcılara bağımlı olduğundan, bu hesaplar için uygun erişim kontrollerinin, ayrıcalık kısıtlamalarının ve izlemenin uygulanması çok önemlidir. Bu kullanıcıların yalnızca görevlerini yerine getirmek için gereken minimum erişime sahip olmalarını sağlamak hayati önem taşımaktadır. Ayrıca hesap etkinliğini ve erişimi izlemek, kötü niyetli eylemlerin daha erken tespit edilmesine yardımcı olabilir.”
Şöyle eklemeye devam etti: “En az ayrıcalık ve dikkatli izlemeyle birlikte güçlü üçüncü taraf risk yönetimi, bir kuruluşun saldırı yüzeyini azaltmak için çok önemlidir. Güvenlik liderleri, yetkisiz erişimi ve potansiyel ihlalleri meydana gelmeden önce önlemek için bu temel kontrollere öncelik vermelidir. Gereksiz erişimi sınırlayarak, ayrıcalıkları düzenleyerek ve faaliyetleri izleyerek şirketler bir sonraki kurban olmaktan kaçınmak için proaktif adımlar atabilir.”
Ek olarak Shadabi, “üçüncü taraf ihlalleri riskini azaltmak için kuruluşların bilgi güvenliğine yönelik veri merkezli bir yaklaşım benimsemesi gerektiğini” öne sürdü. Kuruluşlar, yalnızca dahili ağlarının ve sistemlerinin güvenliğini sağlamaya odaklanmak yerine, verilerin nerede bulunduğuna veya ona kimin erişimi olduğuna bakılmaksızın verilerin korunmasına öncelik vermelidir. Kuruluşlar, veri merkezli güvenlik önlemlerini uygulayarak, üçüncü bir tarafın dahil olduğu bir ihlal durumunda bile bilgilerini yetkisiz erişime karşı koruyabilirler.”
“Ayrıca kuruluşların iş ortaklarını ve tedarikçilerini seçerken dikkatli ve titiz davranmaları gerekiyor. Potansiyel iş ortaklarının güvenlik uygulamalarını, politikalarını ve geçmiş olaylarını kapsamlı bir şekilde incelemek, herhangi bir güvenlik açığının veya tehlike işaretinin belirlenmesine yardımcı olabilir. Riskler her zamankinden daha yüksek olduğundan, hassas verilerin korunması kuruluşlar için en önemli öncelik olmalıdır.”
Öte yandan Malik, herhangi bir kuruluşta güvenlik farkındalığına odaklanılmasını önererek şunu açıkladı: “Kuruluşlar, çalışanların veri koruma ilkeleri, erişim kontrolü ve izleme sistemleri konusunda eğitimi de dahil olmak üzere kapsamlı güvenlik kontrollerinin uygulanmasını sağlamalıdır. Düzenli güvenlik değerlendirmeleri ve denetimleri, güvenlik açıklarının belirlenmesine ve risklerin azaltılmasına yardımcı olabilir. Veri ihlali durumunda zamanında iletişim ve şeffaflık çok önemlidir. Electric Ireland’ın ihlali onaylaması ve kişisel ve finansal bilgilerin olası kötüye kullanımına ilişkin farkındalıkları doğru yönde atılmış bir adımdır.”
Ancak Malik, üçüncü taraf hizmet sağlayıcılarının risk oluşturması konusunda Shadabi ve McQuiggan ile aynı fikirde olup şunları söyledi: “Bu olay, kuruluşların hassas müşteri verilerine erişimi olan üçüncü taraf satıcıları ve yüklenicileri kapsamlı bir şekilde incelemesi ve izlemesi ihtiyacını vurguluyor. Veri güvenliğini sürdürmek ve uygun güvenlik uygulamalarına bağlılığı sağlamak için sözleşmeye dayalı yükümlülükler oluşturmak çok önemli.”
Malik, “Sonuçta, kuruluşların siber güvenliğe sürekli olarak öncelik vermesi ve bunu tek seferlik bir uygulama yerine devam eden bir süreç olarak görmesi gerekiyor” dedi. Sürekli dikkat, çalışanların eğitimi ve güvenliğe proaktif bir yaklaşım, müşteri verilerinin korunmasında ve müşteri güveninin sürdürülmesinde kritik unsurlardır.”