Bilgi Komiserliği Ofisi (ICO), en az 280.000 sakinin kişisel verilerini ifşa eden 2020 fidye yazılımı saldırısının ardından Hackney Londra Belediyesi’nin (LBoH) siber güvenlik uygulamaları hakkında yıkıcı bir karar yayınladı. Gizlilik bekçisi herhangi bir para cezası vermedi, ancak Hackney Konseyi “kaçınılabilir” olan felaket olay nedeniyle uyarıldı.
Pysa fidye yazılımı çetesine atfedilen ihlal, gevşek güvenlik protokollerinin yıkıcı sonuçlarını ortaya koyuyor ve güçlü yama yönetimi ve erişim kontrollerinin önemini vurguluyor.
2020 Hackney Konseyi Fidye Yazılımı Olayı
Saldırı, bir dizi kritik güvenlik açığıyla gerçekleşti. Kullanıcı adı ve parolası olan hareketsiz bir hesap -ikisi de “kiosk” olarak ayarlandı- sekiz yıl boyunca aktif kaldı ve saldırganlar için bir arka kapı sağladı. Bu güvenlik açığı, Mart 2020’den beri kolayca erişilebilir olan CVE-2020-0787 olarak izlenen bir hata için kritik bir Microsoft güvenlik yamasının uygulanmamasıyla daha da kötüleşti. Saldırganlar, yükseltilmiş ayrıcalıklar elde etmek ve konseyin ağına erişmek için bu yama uygulanmamış sistemi kullandı.
Ekim 2020’de, yükseltilmiş ayrıcalıkları kullanarak saldırgan, LBoH ağındaki sunuculara ve cihazlara erişti ve verilerini şifreledi. Veri şifreleme, fidye yazılımı saldırganlarının bilinen bir saldırı metodolojisidir.
Saldırgan, Microsoft sunucu işletim sistemlerini çalıştıran 125 sunucu ve Microsoft istemci işletim sistemini çalıştıran yaklaşık 1.000 VDI masaüstü örneğini içeren LBoH’un şirket içi ortamını şifreleyebildi. Genel olarak, Hackney’de ikamet eden 280.000 kişinin ve personelinin verilerini içeren 440.000 dosya şifrelendi.
İhlal yalnızca veri şifrelemeyle sınırlı değildi. Saldırgan ayrıca LBoH’un yedeğine erişti ve verilerin silinmesi sürecini başlattı. Silme süreci saldırıya yanıt veren mühendisler tarafından tespit edildi ve durduruldu ancak verilerin %10’u kaybolmadan önce değil.
Saldırganlar ayrıca tehlikeye atılan verilerin bir alt kümesini sızdırmayı başardı ve 9.605 kişinin gizliliğini daha da tehlikeye attı. ICO soruşturması, bu verilerin ırk veya etnik köken, dini inançlar, cinsel yönelim ve sağlık bilgileri gibi son derece hassas kategorileri içerdiğini ortaya koydu.
LBoH, hasarı azaltmak ve ihlal sonrası güvenlik duruşunu iyileştirmek için adımlar atarken, ICO bu çabaların çok geç kaldığını vurguladı. ICO’nun Yardımcı Komiseri Stephen Bonner, şunları söyledi: “Bu açık ve önlenebilir bir hataydı… Bu tamamen kabul edilemezdi ve olmamalıydı.”
“Kötü niyetli aktörler her zaman var olabilirken, konsey sistemlerini ve verilerini siber saldırılardan daha iyi koruyabilecek yeterli önlemleri etkili bir şekilde uygulamada başarısız oldu. Kişisel verileri korumaktan sorumlu olan hiç kimse, kullanıcı adı ve parolanın aynı olduğu hareketsiz hesaplara sahip olmak gibi basit hatalar yapmamalıdır. Bu tür hatalardan kaçınılmış olsaydı gerçekleşmeyecek ihlalleri defalarca görüyoruz.”
– Stephen Bonner, ICO’nun Yardımcı Komiseri
Hackney Belediyesi Kınama Aldı, Para Cezası Almadı; Neden?
ICO, LBoH’un düzeltici eylemleri nedeniyle para cezası yerine kınama kararı aldı. Bonner, konseyin olaydan haberdar olur olmaz saldırının zararını azaltmak için hızlı ve kapsamlı bir eylemde bulunduğunu, NCSC, NCA ve Metropolitan Polisi ile iletişime geçtiğini ve olaydan bu yana bir dizi düzeltici adım attığını söyledi.
Bu adımlar arasında tüm sakinlere ihlal bildirimleri yapılması, önemli risk altında olduğu düşünülen kişilere şahsen bildirim yapılması ve gelecekteki fidye yazılımı saldırılarına karşı dayanıklılık sağlamak üzere tasarlanan yeni bir “sıfır güven” modeliyle siber güvenliğin iyileştirilmesi yer aldı.
Konsey ayrıca güvenlik açıklarını azaltmak için yama yönetim sistemini yeni ve son teknoloji bir sistemle değiştirmeye çalışmıştı ancak fidye yazılımı saldırısı bundan önce gerçekleşmişti.
ICO, “Konseyin iyi yönetim yapılarını, politikalarını, iyileştirme planlarını ve personel eğitimini ve gelişimini takdir ediyoruz ve ayrıca Covid-19 salgınının yerel yönetimler gibi kuruluşların kaynakları üzerindeki etkisini kabul ediyoruz… Kamu sektörü yaklaşımı uygulandı ve bunun yerine Birleşik Krallık GDPR’sinin tespit edilen ihlalleri nedeniyle bir uyarı yayınlandı” dedi.
Olay, hassas verileri işleyen yerel yetkililer ve kuruluşlar için bir hatırlatma görevi görüyor. Yama yönetimi, uygun erişim kontrol uygulamaları ve dikkatli izleme, bu tür felaket ihlallerini önlemek için temel öneme sahiptir.
Hackney ihlalinin sonuçları finansal cezaların ötesine uzanıyor. Etkilenen bireyler için kimlik hırsızlığı, ayrımcılık ve itibar kaybı potansiyeli, yerel yönetim düzeyinde bile siber güvenliğe öncelik vermenin önemini vurguluyor. Geçtiğimiz ay yerel Londra hastanelerine yapılan ve 8.000’den fazla ameliyat ve randevunun iptaline yol açan fidye yazılımı saldırısı ışığında, bu her zamankinden daha önemli görünüyor.