Bilgi Komiserliği Ofisi (ICO), Ekim 2020’de yıkıcı bir fidye yazılımı saldırısına yol açan bir dizi başarısızlık nedeniyle Londra Hackney Belediyesi’ni sert bir şekilde uyardı.
Pysa fidye yazılımı çetesi, Doğu Londra’daki Hackney’de yaşayan 280.000 kişiyi etkileyen toplamda yaklaşık 440.000 dosyayı şifreleyerek Belediye’nin BT altyapısına erişti.
ICO’nun soruşturması, Hackney Konseyi’nde uygun güvenlik politikalarının açıkça eksik olduğuna dair örnekler buldu. Düzenleyici, diğer şeylerin yanı sıra, uygun yama yönetimi prosedürlerinin tüm cihazlara etkin bir şekilde uygulanmasını sağlamada başarısız olduğunu ve siber suçlular tarafından istismar edilen Konseyin sunucularına bağlı hareketsiz bir kullanıcı hesabındaki güvenli olmayan bir parolayı değiştirmediğini söyledi.
Kritik olarak etkilenen hizmetler arasında Hackey’nin konut hizmetleri operasyonları da vardı; kiracılar ödeme yapamadı, onarımları kaydedemedi, konut başvurularını onaylayamadı veya konut yardımı veya konsey vergisi indirimi planına başvuramadı. İlçe sakinleri ayrıca bir süre çevrimiçi konsey vergisi ve işletme vergisi ödemeleri yapamadı.
Siber suçlular, İngiltere’nin ülkeyi bir dizi karantinaya geri döndürecek ve Noel’i etkili bir şekilde iptal edecek büyük bir Covid-19 dalgasının eşiğinde sallantıda olduğu sırada saldırdı. Bu, büyük olasılıkla sakinler üzerindeki nihai etkiyi artırdı. Normal hizmetler 2022’ye kadar tam olarak geri yüklenmedi.
“Bu, Hackney Londra İlçesi’nin açık ve önlenebilir bir hatasıydı, kitlesel veri kaybına yol açtı ve birçok sakin üzerinde ciddi olumsuz etkilere neden oldu. En kötüsü, bu, mümkün olan en derin kişisel bilgilerin bazılarının saldırganların eline geçmesi anlamına geliyordu. İnsanların güvendiği sistemler aylarca çevrimdışı kaldı. Bu tamamen kabul edilemez ve olmamalıydı,” dedi ICO yardımcı komiseri Stephen Bonner.
“Kötü niyetli aktörler her zaman var olabilirken, konsey sistemlerini ve verilerini siber saldırılardan daha iyi koruyabilecek yeterli önlemleri etkili bir şekilde uygulamada başarısız oldu. Kişisel verileri korumaktan sorumlu olan hiç kimse, kullanıcı adı ve parolanın aynı olduğu hareketsiz hesaplara sahip olmak gibi basit hatalar yapmamalıdır. Bu tür hatalardan kaçınılmış olsaydı gerçekleşmeyecek ihlalleri defalarca görüyoruz.”
Hackney Belediye Başkanı Caroline Woodley, “Bu, Covid salgınının ilk dalgasına yanıt verdiğimiz bir zamanda, gelişmiş, organize siber suçlular tarafından gerçekleştirilen kınanacak bir saldırıydı” dedi.
“Bu anlamsız suç saldırısının Hackney sakinleri ve işletmeleri üzerinde yarattığı etkiden dolayı derin bir üzüntü duyuyoruz ve zorluklara rağmen topluluklarımız için hizmet vermeye devam eden belediye çalışanlarına ve hizmetler etkilenirken gösterdikleri sabırdan dolayı sakinlerimize minnettarım.”
Özel kategori verileri
ICO, soruşturması sırasında şifrelenmiş bilgilerin, ırk ve etnik köken, dini inançlar, cinsel yönelim, sağlık verileri, ekonomik veriler, suç verileri ve isimler ve adresler dahil olmak üzere İngiltere GDPR kapsamında korunan kategori verilerine ilişkin bilgileri içerdiğini tespit ettiğini söyledi.
Pysa çetesi daha sonra pasaport verileri, kira denetim belgelerinin taranmış halleri, personel verileri ve toplum güvenliği bilgileri gibi kişisel olarak tanımlanabilir bilgiler (PII) de dahil olmak üzere Konsey’in bazı verilerini sızdırdı. ICO, toplamda 9.605 kaydın sızdırıldığını ve 230 kişi için anlamlı bir zarar riski oluşturduğunu söyledi.
“İnsanların yerel yönetimlere güvenmesini istiyorsak, yerel yönetimlerin verilerine uygun şekilde bakacaklarına güvenmeleri gerekir. Hackney sakinleri bu hataların sonuçlarını zor yoldan öğrendiler – ülke genelindeki konseyler, sorumlu oldukları kişilerin aynı kaderi yaşamamasını sağlamak için şimdi harekete geçmeli,” dedi Bonner.
Hızlı ve kapsamlı eylem
ICO, verdiği kararda Hackney Konseyi’nin bazı şeyleri doğru yaptığını, ne olduğu anlaşıldıktan sonra saldırıyı hafifletmek için “hızlı ve kapsamlı bir eylem” gerçekleştirdiğini ve Ulusal Siber Güvenlik Merkezi (NCSC), Ulusal Suç Ajansı (NCA) ve Londra Metropolitan Polis Teşkilatı gibi kurumlarla olumlu bir şekilde etkileşimde bulunduğunu söyledi.
ICO ayrıca Hackney Konseyi’nin sakinlerle etkili bir şekilde iletişim kurmasını ve ciddi risk altında olduğu düşünülen kişileri sürekli bilgilendirmesini övdü.
Ayrıca, Konseyin fidye yazılımı saldırısına yol açan temel güvenlik açıklarının bir dereceye kadar farkında olduğunu ve yama yönetimi politikalarını yeni bir sistemle iyileştirme yolunda olduğunu kabul etti. ICO ayrıca Konseyin genel yönetim yapılarını, politikalarını, iyileştirme planlarını, saldırının ardından personelin eğitimini ve gelişimini ve yeni bir sıfır güven güvenlik politikasının getirilmesini övdü.
ICO, para cezası yerine uyarıda bulunurken, Covid-19’un saldırı sırasında yerel yönetimlerdeki kaynaklar üzerindeki etkisine de dikkat çekti.
“Hem Hackney hem de ülke genelindeki konseyler için bundan hayati bir ders çıkarılacak,” dedi Bonner. “sistemler güncellenmeli; insan hatasının riskini ve potansiyel etkisini azaltmak için önleyici tedbirler almalı ve size emanet edilen verilerin korunduğundan emin olmalısınız.”
Hackney Konseyi bulgulara itiraz ediyor
Ancak, ICO’nun kararının ardından hem Woodley hem de Hackney Konseyi, düzenleyicinin bulgularının birçoğuna itiraz ettiklerini söyleyerek karşılık verdi. Konseyin güvenlik yükümlülüklerini ihlal etmediğini ve ICO’yu gerçekleri yanlış anlamak ve yasayı yanlış uygulamakla, ayrıca sakinlerin verilerine yönelik riski yanlış yorumlamak ve abartmakla suçladıklarını söylediler.
Bir Konsey sözcüsü şunları söyledi: “Ancak, sınırlı kaynaklarımızı ICO’nun kararına itiraz etmek için kullanmanın sakinlerimizin çıkarına olduğuna inanmıyoruz. Bunun yerine, kamu hizmetlerini giderek artan siber saldırı tehditlerine karşı savunmak ve sakinlerimizin güvenliğini ve refahını sağlamaya yardımcı olmak için Ulusal Siber Güvenlik Merkezi, merkezi Hükümet ve yerel hükümet ve daha geniş kamu sektörü genelindeki meslektaşlarımızla yakın bir şekilde çalışmaya devam edeceğiz.
“Modern BT sistemleri son derece karmaşıktır ve siber tehditler büyümeye devam etmektedir. 2020’den bu yana, kamu ve özel sektördeki her büyüklükteki kuruluş, giderek daha karmaşık ve sofistike siber saldırı modları kullanan suçluların kurbanı oldu. Bu hızla değişen tehdide karşı koymak için, mümkün olan en modern ve güvenli sistemleri kullanma stratejimizin teslimatını daha da hızlandırmak için sistemlerimize yatırım yapıyor ve onları yeniden inşa ediyoruz.”