Veri gizliliği, veri güvenliği, sahtekarlık yönetimi ve siber suç
Firma modası geçmiş kullanıcı hesabını kapatamadı, düzenleyicileri bilgilendirmek için 43 gün bekledi
Akhabokan Akan (Athokan_akhsha) •
16 Nisan 2025

İngiltere Bilgi Komiseri Ofisi, Liverpool merkezli hukuk firması DDP yasalarına karşı, 2022 fidye yazılımı hack ve müşterilerinin davalarının ayrıntıları da dahil olmak üzere hassas bilgileri ortaya çıkaran veri sızıntısı için 60.000 lira para cezası getirdi.
Ayrıca bakınız: Vmware karbon siyah uygulama kontrolü
Bilgi Komiseri Ofisi Çarşamba günü, hukuk bürosunun müşteri verilerini yeterince koruyamayarak veya veri ihlali risklerini ortadan kaldırarak İngiltere Genel Veri Koruma Yönetmeliğini ihlal ettiğini söyledi.
ICO’nun geçici icra ve soruşturma direktörü Andy Curry, “Soruşturmamız, DPP’nin güvenlik uygulamalarında bilgileri yetkisiz erişime karşı savunmasız bırakan turlar ortaya koydu.” Dedi.
2022 fidye yazılımı saldırısındaki bilgisayar korsanları hukuk bürosundan 32.4 gigabayt veri çaldı ve daha sonra DarkWeb’de yayınlandı. İhlal 791 kişiyi etkiledi ve DNA testi verileri, çocuklarla ilgili ayrıntılar ve cinsel suçların kurbanları gibi 306 müşteri hakkında bilgi içeriyordu.
ICO soruşturması, yüksek ayrıcalıklara sahip eski bir hesap kullanarak hukuk firması da dahil olmak üzere veri ihlaline yol açan çeşitli güvenlik ve gizlilik yanlış adımlarını tespit etti, BT sistemlerinin ortaya koyduğu riskleri değerlendiremedi ve olaydan sonra ICO’yu bilgilendirmek için 43 gün beklemedi. GDPR uyarınca kuruluşların ihlalleri 72 saat içinde bildirmeleri gerekmektedir.
ICO ayrıca hukuk bürosunun sadece Darkweb’deki sızan veriler hakkında firma ile temasa geçen Ulusal Suç Ajansı’ndan gelen ihlal hakkında bilgi sahibi olduğunu belirtti.
Curry, “Veri koruması isteğe bağlı değildir. Bu yasal bir yükümlülüktür ve bu ceza açık bir mesaj olarak hizmet etmelidir: İnsanların size emanet ettiği bilgilerin korunamaması ciddi para ve itibar sonuçları taşır.” Dedi.
Bilgisayar korsanları, bir son kullanıcı cihazını hackledikten sonra DPP yasasını tehlikeye attı ve daha sonra çok faktörlü kimlik doğrulama koruması olmayan bir DPP yöneticisi SQLUSER hesabına döndü. Bilgisayar korsanları daha sonra vaka yönetim sistemlerine erişmek için bir uzak masaüstü makinesi kullandı.
Olaydan bir gün sonra, DPP’nin güvenlik duvarı herhangi bir şüpheli aktiviteyi tespit edemedi. Ancak ICO tarafından yapılan analiz, hizmet sağlayıcısı 2019’da başvuruyu emekliye ayırsa da, SQLUSER hesabının hala şirketin ağında çalıştığını buldu.
Ayrıca, DPP’nin bu hesaba erişimi olmadığını ve sistemin ortaya koyduğu riskleri anlamak için herhangi bir değerlendirme yapamadığını söyledi.
ICO, “DPP’nin bu önlemlerin uygulanamaması, işlediği kişisel veriler üzerinde uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemlerin uygulanamamasını oluşturdu.” Dedi.
DPP yasası para cezasına itiraz edebilir. Firma, bilgi güvenliği medya grubunun yorum talebine hemen yanıt vermedi.