Avustralya Menkul Kıymetler ve Yatırımlar Komisyonu (ASIC), Fiig Securities Limited’e (FIIG) karşı sistemik ve uzun süreli siber güvenlik başarısızlıkları konusunda yasal işlem gördü. Avustralya Federal Mahkemesi’nde açılan yargılamalar, Fiig’in dört yıldan fazla süredir devam eden siber güvenlik önlemlerindeki ciddi eksiklikleri vurgulamakta ve sonuçta önemli bir veri ihlaline yol açıyor.
ASIC, Mart 2019 ile 8 Haziran 2023 arasında FIIG’in yeterli siber güvenlik önlemleri uygulayamadığını ve şirketi ve müşterilerini siber tehditlere karşı savunmasız bıraktığını iddia ediyor. Bir hacker, 19 Mayıs 2023’te Fiig’in BT ağına sızdı ve 8 Haziran 2023’e kadar tespit edilmedi. Bu, yaklaşık 18.000 müşteriyi etkileyen yaklaşık 385GB gizli veri hırsızlığıyla sonuçlandı.
Çalınan bilgiler, isimler, adresler, doğum tarihleri, sürücü lisansları, pasaportlar, banka hesabı detayları ve vergi dosyası numaraları gibi son derece hassas kişisel verileri içeriyordu. Endişe verici bir şekilde, FIIG, 2 Haziran 2023’te Avustralya Sinyalleri Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC) tarafından temasa geçene kadar ihlalden habersizdi. Ancak şirket, ASD’nin ACSC’sinden yapılan uyarıya rağmen altı gün sonra bir soruşturma başlattı.
ASIC’in Endişeleri
ASIC Başkanı Joe Longo, siber güvenlik önlemlerinin önemini vurgulayarak, “Bu konu, siber güvenlik sistemlerini ihmal etme tehlikeleri konusunda tüm şirketlere uyandırma çağrısı olarak hizmet etmelidir.” Siber güvenliğin bir “set ve unut” meselesi olmadığını ve sürekli izleme ve iyileştirme gerektirdiğini de sözlerine ekledi. ASIC, şirketlerin, özellikle finansal hizmet sağlayıcıların, müşterileri korumak ve finansal sisteme olan güveni korumak için siber güvenlik risklerini proaktif olarak yönetmelerini beklemektedir.
ASIC, FIIG’i aşağıdakileri yapmamakla suçladı:
- Siber saldırılara karşı savunmak için uygun şekilde yapılandırılmış güvenlik duvarlarını uygulayın ve izleyin.
- Güvenlik güvenlik açıklarını ele almak için yazılımı ve işletim sistemlerini düzenli olarak güncelleyin ve ekleyin.
- Personel için zorunlu siber güvenlik farkındalık eğitimi sağlayın.
- Siber güvenlik riski yönetimi için yeterli finansal, teknolojik ve insan kaynakları tahsis edin.
Fiig Menkul Kıymetler: Yasal ve Düzenleyici Etkiler
Avustralya Finansal Hizmetler (AFS) lisansı olarak FIIG, 2001 Şirketler Yasası (CTH) uyarınca yasal olarak yeterli risk yönetim sistemlerine sahip olmaları gerekmektedir. ASIC, finansal hizmet sağlayıcıları için siber güvenlik yükümlülüklerini aktif olarak uygulamakta ve bu davayı ikinci siber güvenlik uygulama eylemi haline getirmektedir.
Mayıs 2022’de ASIC, siber güvenlik tehditlerini ele almak için yeterli risk yönetim sistemleri uygulayamadığı için başka bir AFS lisansı olan RI Advice’e karşı harekete geçti. Federal mahkeme, RI tavsiyesinin müşteri bilgilerini koruyamayarak verimli ve adil hareket etme yükümlülüklerini ihlal ettiğine karar verdi.
ASIC şimdi FIIG’e karşı ihlaller, sivil cezalar ve uyum emirlerinin beyanlarını arıyor. Bu dava, ASIC’in AFS lisans sahiplerinin yatırımcıları ve daha geniş finansal sistemi korumak için güçlü siber güvenlik önlemleri sağlama taahhüdünü vurgulamaktadır.
Daha geniş siber güvenlik zorluğu
Fiig’in AFS lisans sahibi olarak rolü, velayet ve ticaret hizmetleri verilmesini, müşteri yatırımlarının kayıtlarının korunmasını ve fonların ve sabit gelirli yatırımların yönetilmesini içerir. İşinin doğası ve sahip olduğu hassas veriler onu siber suçlular için birincil hedef haline getirir.
Siber güvenlik uzmanları, sorunun sadece ihlalin kendisi değil, Fiig’in siber güvenlik risklerini azaltmak için makul ve yeterli önlemler uygulanamamasına dikkat çekti. Norton Rose Fulbright Avustralya’daki Siber Güvenlik Ortağı ve Başkanı Annie Haggar, bir LinkedIn Post’ta Asic’in davasının ‘yeterli’ siber güvenlik korumalarını neyin oluşturduğuna dair fikir verdiğini kaydetti. ASIC’in bir şirketin siber güvenlik çerçevesini değerlendirirken düşündüğü temel faktörleri vurguladı:
- İşletmenin niteliği ve AFS lisans sahibi olarak sorumlulukları.
- Finansal ve kişisel veriler de dahil olmak üzere depolanan bilgilerin türü ve hassasiyeti.
- Şirketin kontrolü altındaki varlıkların değeri.
- Siber tehdit olasılığı ve başarılı bir saldırının potansiyel sonuçları.
Kaçırılan Siber Güvenlik Önlemleri
ASIC, FIIG’in uygulanamadığı iddia edilen birkaç önemli siber güvenlik önlemini şu şekilde özetledi:
Endüstri ve düzenleyici yanıt
ASIC, finansal hizmet sağlayıcılarını güçlü siber güvenlik uygulamalarına ihtiyaç konusunda sürekli olarak uyardı. 2023 siber nabız araştırmasının (Rep 776) ardından ASIC, Avustralya örgütlerini siber güvenliğe öncelik vermeye ve siber tehditlere karşı esnekliklerini artırmaya çağırdı. Düzenleyici, siber güvenliği temel bir uygulama önceliği haline getirerek şirketleri Şirketler Yasası uyarınca yükümlülüklerini yerine getiremediğinden sorumlu tutmayı amaçladı.
Bu yükümlülükleri yerine getiremeyen şirketler düzenleyici eylem, finansal cezalar ve itibar hasarı ile karşılaşabilir.
ASIC’in FIIG Securities’e karşı davası, finans sektöründeki siber güvenlik uyumuna artan düzenleyici odaklanmayı vurgulamaktadır. Bu dava, finansal kurumların yeterli korumaları uygulayarak, güvenlik önlemlerini düzenli olarak güncelleyerek ve çalışanlarının siber risk yönetiminde iyi eğitimli olmasını sağlayarak siber güvenlik için proaktif bir yaklaşım benimseme ihtiyacını güçlendirmektedir.
Hassas finansal verileri ele alan işletmeler için siber güvenlik sonradan düşünülmemelidir. Müşteri bilgilerini korumak ve dijital finansal ekosisteme güvenmek sürekli bir öncelik olmalıdır.