İngiltere’nin Bilgi Komiseri Ofisi (ICO) bugün, şimdi OneAdvaned olarak bilinen gelişmiş bilgisayar yazılımı grubu para cezasına çarptırıldı – bir kilitbit fidye yazılımı saldırısının organizasyona karşı etkisini artıran siber güvenlik başarısızlıkları için 3.07 milyon £.
Ağustos 2022’de meydana gelen siber saldırı, NHS ve diğer sağlık hizmeti sağlayıcıları da dahil olmak üzere ileri düzey müşteriler tarafından sağlanan hizmetleri gördü.
O zamanlar Adastra’ya güvenen cesetlerden biri Frontline 111 hizmetiydi. Etkilenen sağlık hizmetinin diğer bölümleri arasında ambulans sevkatı, acil durum reçeteleri, saat dışı hasta hizmetleri ve yönlendirmeler vardı.
ICO, çok faktörlü kimlik doğrulaması (MFA) etkin olmayan bir müşteri hesabından başlayan saldırının 79.404 kişinin çalındığını gördüğünü söyledi. Bu veriler arasında evde bakım alan 890 kişinin özelliklerine nasıl erişileceğine dair ayrıntılar vardı.
Regülatör, Advanced’in sağlık ve bakım iştirakinin BT sistemlerinin güvenliğini garanti etmek için uygun teknik ve organizasyonel önlemlere sahip olmadığı, sadece MFA’da değil, aynı zamanda güvenlik açığı tarama ve yama yönetiminde de boşlukları vurguladığı sonucuna varmıştır.
Bilgi Komiseri John Edwards, “Advanced’in iştiraki güvenlik önlemleri, bu kadar büyük miktarda hassas bilgi işleyen bir kuruluştan beklediğimizden ciddi bir şekilde yetersiz kaldı. Advanced, sistemlerinin çoğuna çok faktörlü kimlik doğrulama kurmuş olsa da, tam kapsam eksikliği, bilgisayar korsanlarının erişimi kazanabileceği anlamına geliyordu” dedi.
Edwards, “İnsanlar tıbbi kayıtlarının güvenli ellerde olup olmadığı hakkında asla iki kez düşünmek zorunda kalmamalıdır. Hizmetleri güvenle kullanmak için, kişisel bilgileriyle temasa geçen her kuruluşun – bunu kullanıyor, paylaşmak veya başkaları adına saklamak – onu korumak için yasal yükümlülüklerini yerine getirdiğine güvenebilmelidirler” diye ekledi Edwards.
Tüm kuruluşları, halkı ve kişisel bilgilerini korumak için bugün her dış bağlantının MFA ile güvence altına alınmasını sağlamaya çağırıyorum – sisteminizin herhangi bir bölümünü savunmasız bırakmak için bir mazeret yok
John Edwards, Bilgi Komiseri
“Tüm sektörlerde siber olaylar arttıkça, bugünkü kararım, kuruluşların sağlam güvenlik önlemleri olmadan bir sonraki hedef olma riskiyle karşı karşıya olduğunu hatırlatıyor. Tüm kuruluşları bugün halkı ve kişisel bilgilerini korumak için MFA ile güvence altına alınmasını sağlamaya çağırıyorum – sisteminizin herhangi bir kısmını savunmasız bırakmak için hiçbir mazeret yok” dedi.
Başlangıçta önerilen miktarın yaklaşık yarısı olan para cezası, ICO için bir ilke işaret ediyor, çünkü daha önce İngiltere veri koruma yasası kapsamında bir veri işlemcisine böyle bir ceza almadığı için.
Önemli azalması, ileri düzeyde ilerlemeye yönelik temsiller ve kuruluşun Ulusal Siber Güvenlik Merkezi (NCSC), Ulusal Suç Ajansı (NCA) ve NHS ile tam işbirliğini içeren olay boyunca proaktif katılım dahil olmak üzere bir dizi faktörün sonucudur.
ICO ve Advanced, Advanced’in para cezasını azaltma kararını kabul ettiği ve temyiz olmadan nihai bir çözüm ödeyeceği gönüllü bir çözüme ulaştı.
Edwards, bu anlaşmanın hoş karşılandığını ve temyizle ilişkili daha fazla maliyet ve gecikme gerektirmeden düzenleyici kesinlik sağladığını söyledi.
ICO, diğerlerini, Lockbit gibi fidye yazılım çetelerinin cezai işletmelerini kolaylıkla çalıştırmasını sağlayan iyi bilinen risk faktörlerini değerlendirmek ve azaltmak için daha proaktif adımlar atmaları gerektiği konusunda uyardı. Bunlar, varsayılan olarak ve istisnasız MFA’nın uygulanmasını ve güvenlik açıklarını değerlendirmek ve bunları daha zamanında düzeltmek için daha fazla iş yapmayı içerir.
Gelişmiş bir sözcü şunları söyledi: “İki buçuk yıl önce olan şey tamamen üzücü. Artan sofistike ile faaliyet gösteren tehdit aktörleri, siber duruşlarının sürekli güçlendirilmesini sağlamak için tüm işletmeler üzerinde. Siber güvenlik, işimiz genelinde birincil yatırım olmaya devam ediyor ve bu saldırıdan bu yana bir organizasyon olarak büyük bir şey öğrendik.
“Olayları Ağustos 2022’de ICO’ya bildirdik ve bu konunun sonuçlandığını görmekten memnuniyet duyduk. Stratejik büyüme ve operasyonel verimlilik hedeflerine ulaşmalarını sağlayarak hızla gelişen teknoloji manzarasında gezinirken müşterilerimizi desteklemeye odaklanmamız sabit kalıyor.”