Veri Gizliliği, Veri Güvenliği, Uç Nokta Tespiti ve Yanıtı (EDR)
Müfettişler, Capita’nın EDR Uyarısını 58 Saat Boyunca Görmezden Geldiğini Söyledi
Akşaya Asokan (asokan_akshaya) •
15 Ekim 2025
İngiliz dış kaynak devi Capita, 2023’te 6 milyondan fazla kişiyi etkileyen bir saldırıyla bağlantılı gizlilik ihlalleri nedeniyle İngiliz veri düzenleyicilerine 14 milyon pound ödemek zorunda kalacak.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Bilgi Komisyonu Ofisi Çarşamba günü, yetersiz güvenlik önlemleri nedeniyle Capita Public Limited Company’ye 8 milyon sterlin, firmanın Capita Pension Solutions yan kuruluşuna ise 6 milyon sterlin para cezası verdi.
Dağıtılmış fidye yazılımı grubu BlackBasta’nın üstlendiği saldırı, saldırganların yaklaşık 6,7 milyon kişinin kişisel verilerini içeren 975 gigabaytlık kayda erişmesiyle sonuçlandı. Bilgisayar korsanları verileri darkweb sızıntı sitesine gönderdi. Kayıtlarda adresler, iletişim bilgileri, ulusal sigorta, pasaportlar, banka hesap numaraları ve hassas tıbbi veriler yer alıyordu.
ICO Komiseri John Edwards, “İyi bir siber güvenliği sürdürmek, ekonomik büyüme ve güvenlik için temel önemdedir. Manşetlerde yer alan bu kadar çok siber saldırı varken mesajımız açık: ne kadar büyük olursa olsun her kuruluş, insanların verilerini güvende tutmak için proaktif adımlar atmalıdır” dedi.
Capita, NHS İngiltere, Londra Şehri Polisi ve Savunma Bakanlığı’nın önemli bir hizmet sağlayıcısıdır. Saldırı sırasında 600’den fazla yöneticinin veri işleme operasyonlarını yürütüyordu ve halen Birleşik Krallık Kamu Hizmeti Emeklilik Planı’nın operasyonlarını devralmaya hazırlanıyor.
ICO tarafından yapılan bir araştırma, bilgisayar korsanlarının Capita’nın ağına ilk erişimi Mart 2023’te kimliği belirsiz bir çalışanın kötü amaçlı bir JavaScript dosyası indirmesiyle elde ettiğini ortaya çıkardı. Dosya, ele geçirilen cihaza Qakbot ve Cobalt Strike’ı yükledi ve ardından fidye yazılımını dağıttı.
ICO, şirketin uç nokta ve tespit ve yanıt sisteminin kötü amaçlı dosyayı indirildikten sonraki 10 dakika içinde yakaladığını ancak şirketin sistem uyarısına 58 saat sonrasına kadar yanıt vermediğini tespit etti. Ajans, “Uyarı sade bir İngilizceyle yazılmıştır ve ‘Tehdit Uyarısı – Yüksek’, ‘Kimlik Bilgisi Erişimi’ ve ‘Ayrıcalık Yükseltmesi’ gibi ifadeler açık ve nettir.” dedi.
ICO, olayı zayıf Active Directory katmanlaması, izin veren ayrıcalık erişim yönetimi ve sızma testi yapılmamasını içeren yetersiz güvenlik önlemlerine bağladı. Saldırıdan önce üç kez zayıf Active Directory katmanlaması konusunda uyarılmasına rağmen ICO, şirketin aşırı ayrıcalıklı hesaplara izin vermeye devam ettiğini söyledi.
ICO, “Capita ayrıca, tehdit aktörü Capita’nın sistemlerine erişim sağladığında hasar riskini makul ölçüde azaltabilecek özellikler içeren PAM’ı da kullanmıyordu” dedi.
Düzenleyici başlangıçta 45 milyon poundluk bir para cezası teklif etti ancak Capita’nın aldığı düzeltici önlemler ve şirketin cezaya itiraz etmeme kararı nedeniyle bu rakamı 14 milyon pounda düşürdü.
Şirketin attığı iyileştirici adımlar arasında etkilenen sistemlerin geri yüklenmesi ve ihlalden etkilenenlerin güncellenmesi yer alıyor. Capita ayrıca, sızdırılan verilerin yayınlanıp yayınlanmadığını tespit etmek için karanlık ağı takip edecek uzmanlar atadı ve daha sonra ICO’ya, veri sızıntısı mağdurlarına “herhangi bir zarar veya hasar” gözlemlemediğini bildirdi.
Capita’nın CEO’su Adolfo Hernandez Çarşamba günü yaptığı açıklamada, şirketin son yatırımlarının “siber güvenlik dönüşümünü” hızlandırdığını söyledi.
“Sonuç olarak siber güvenlik duruşumuzu büyük ölçüde güçlendirdik, gelişmiş korumalar oluşturduk ve sürekli tetikte olma kültürünü yerleştirdik” dedi.