İngiltere Bilgi Komiserliği Ofisi (ICO), 2022 yılında fidye yazılımına maruz kaldığında on binlerce kişinin kişisel bilgilerini korumadaki başarısızlığı nedeniyle Advanced Computer Software Group Ltd (Advanced) şirketine 6,09 milyon £ (7,74 milyon $) para cezası verilmesi yönünde geçici bir karar aldığını duyurdu.
Birleşik Krallık Ulusal Sağlık Hizmeti (NHS) ile sözleşmesi bulunan bir BT hizmeti ve barındırma sağlayıcısı olan Advanced, 4 Ağustos 2022’de tehdit aktörleri tarafından tehlikeye atıldı.
Olay, NHS 111 ve Adastra, Caresys, Odyssey, Carenotes, Crosscare, Staffplan ve eFinancials gibi çeşitli sağlık ürünleri de dahil olmak üzere yüzlerce kamu ve özel kuruluşu etkiledi.
İhlal sonucunda yaklaşık 83 bin kişinin kişisel bilgileri ifşa oldu. Bu bilgiler arasında evde bakım alan 890 kişinin evlerine nasıl erişebileceğine dair talimatlar da yer alıyor.
Saldırıdan etkilenen tüm kişiler bilgilendirilip, riski azaltmak için harekete geçmeleri konusunda uyarılmış olsa da ve saldırıyla ilgili hiçbir veri bugüne kadar karanlık web’de yayınlanmamış olsa da hassas verilerin ifşa edilmesinin potansiyel etkisi önemlidir.
İngiltere Bilgi Komiseri John Edwards, “Bu olay, bilgi güvenliğinin ne kadar önemli olduğunu gösteriyor” dedi.
“Hassas kişisel bilgilerin kontrolünü kaybetmek, sağlık ve bakım kuruluşlarına güvenmekten başka seçeneği olmayan insanlar için üzücü olmuştur.”
Edwards, Gelişmiş güvenlik duruşuyla ilgili olarak, “Hassas ve özel kategori verilerinin önemli bir miktarını işleme yetkisine sahip bir kuruluş olarak, bu olaydan önce bilgi güvenliğine yönelik yaklaşımında geçici olarak ciddi eksiklikler tespit ettik” dedi.
ICO, güvenlik güncellemelerinin uygulanması, çok faktörlü kimlik doğrulamanın etkinleştirilmesi ve sistemlerin bilinen güvenlik açıkları açısından kontrol edilmesi gibi temel önlemlerin uygulanmasının hassas verilerin korunmasında hayati önem taşıdığını ve tüm kuruluşların en azından bu asgari adımları izlemesinin beklendiğini belirtiyor.
Geçici kararın yayımlanmasının amacı, tüm kuruluşlara güvenlik yükümlülüklerini hatırlatmak ve başarısızlık durumunda ortaya çıkabilecek olası sonuçları izlemektir.
Tüm bunlara rağmen 7,7 dolarlık para cezası henüz kesilmedi ve ICO nihai kararını vermeden önce Advanced’den haber beklediğini söylüyor, bu nedenle tutar değişebilir.
Eğer Advanced ikna edici bir gerekçe ortaya koyamazsa ve ceza 7,74 milyon dolarda kalırsa, ceza kişi başına 93,3 dolara tekabül edecek ki bu da geçmiş eylemlerle kıyaslandığında oldukça yüksek.