Ulusal Engellilik Sigortası Kurumu (NDIA), Haziran ayında karanlık ağda yayınlanan 1,1 TB’lık hacklenmiş HWL Ebsworth (HWLE) verisinde 645 katılımcının ve potansiyel katılımcının bilgilerinin yer aldığını ortaya çıkardı.
Ajans ilk olarak 25 Temmuz’da, katılımcıların planlarına ilişkin kararlara itirazlarına veya Ulusal Engellilik Sigorta Programı (NDIS) başvurularının reddedilmesine karşı NDIA’yı temsil eden hukuk firmasına yapılan saldırıda bazı kişisel müşteri bilgilerinin açığa çıktığını açıkladı.
Geçen hafta ajans kurbanların sayısını da açıkladı.
NDIA baş danışmanı Matt Swainson senato tahminlerine şöyle konuştu: “HWLE’den incelediğimiz verilere dayanarak 645 katılımcının etkilendiğini belirledik.” [pdf].
“Neredeyse tamamen katılımcılarla veya potansiyel katılımcılarla ilgili” diye ekledi.
“Ayrıca, teşkilatın İdari Temyiz Mahkemesi (AAT) meselelerine dahil olan erişim meselelerimiz de vardı.
“HWLE bu konularda ajans tarafından devreye alındı.”
HWL Ebsworth, 10 Haziran’da NDIS katılımcılarının verilerinin sızıntıya dahil edildiğini NDIA’ya bildirdi ve 13 Haziran’da yayınlanan verilerin bir kopyasını ajansa sağladı.
Swainson, “Bu katılımcıları 25 veya 27 Temmuz hakkında bilgilendirmeye başladık” dedi.
Liberal senatör Hollie Hughes, etkilenen katılımcıları bilgilendirmek için gereken süre konusunda “endişeli” olduğunu söyledi.
“Altı ya da yedi hafta var. Verilerin bilindiği 13 Haziran’dan 25 Temmuz’a kadar, katılımcıların bilgilendirilmeye başlamasından altı hafta önceydi” dedi.
Swainson, HWL Ebsworth’ten sızdırılan verilerin kopyasını aldıktan sonra, hangi katılımcıların etkilendiğini doğrulamak için “oldukça önemli bir manuel sürecin” gerekli olduğunu ve NDIA’nın erişilebilirlik ihtiyaçlarına göre ihlali farklı katılımcılara nasıl ilettiği konusunda düşünülmüş bir yaklaşımın benimsendiğini söyledi. .
“Etkilenen ve verileri etkilenen katılımcıları belirlemek için bu belgeleri manuel olarak incelemek üzere ön saflardaki personeli çevrimdışına aldık” dedi.
“Bu listeyi aldıktan sonra, vaka yöneticileri ve kurum personeliyle, etkilenen katılımcıların her biri için en uygun bildirim süreci üzerinde çalıştık… İletişimi onların erişilebilirlik ihtiyaçlarına göre uyarladık.”
Swainson, İçişleri Bakanlığı’nın saldırıdan etkilenen 65 devlet kurumu ve departmanını desteklemek için tüm hükümetin müdahalesini koordine ederken, NDIA’nın da etkilenen katılımcıları dolandırıcılıktan korumak ve hırsızlığı tespit etmek için kendi ek önlemlerini aldığını söyledi.
“Ajansın spesifik olarak yaptığı şeyle ilgili olarak, bir dizi tedbir uygulamaya koyduk… Dolandırıcılık tespit tedbirlerini uygulamaya koymak için gelen ve giden e-postaları aktif olarak izlemeye başladık.
“Katılımcılarla ilgili olağandışı bir faaliyet olmadığından emin olmak için katılımcıları dolandırıcılık izleme listesine ekledik.”
Sızıntının ardından NDIA’nın kendi güvenliğini güçlendirdiğini ve ayrıca çalıştığı diğer hukuk firmalarının güvenlik önlemlerini de gözden geçirdiğini ekledi.
“Gizlilik yönetimi planımızı bu yılın temmuz ayında güncelledik. Ayrıca Temmuz ayı boyunca, kurum ve AAT tarafından görevlendirilen diğer tüm hukuk firmalarıyla bireysel toplantılar yaparak onlara hangi ek siber güvenlik önlemlerini uygulamaya koyduklarını sorduk” dedi.
“Bunlar, ajansın görevlendirdiği harici hukuk firmaları ama Avustralya’nın tamamındahükümet paneli.
“Firmalar ek eğitimler yapıyor. Sanırım bir firma sistemlerini test etmek için bilgisayar korsanlarıyla anlaştı. Diğer firmaların bize bu güvenceyi vermek için yaptığı bir dizi şey vardı.”