İhlal Bildirimi , İş Sürekliliği Yönetimi / Felaket Kurtarma , Siber Suçlar
Conti Group’un Fidye Yazılım Saldırısı Çocuk ve Aile Kurumu Verilerini de Açığa Çıkardı
Mathew J. Schwartz (euroinfosec) •
21 Şubat 2023
İrlanda’nın çocuk ve aile ajansı, Tusla, Mayıs 2021’de Sağlık Hizmetleri Yöneticisine yönelik fidye yazılımı saldırısında kişisel bilgilerinin açığa çıktığını 20.000 kişiye bildirmek için aylarca sürecek bir sürecin başladığını söylüyor.
Ayrıca bakınız: Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
HSE, İrlanda’nın kamu tarafından finanse edilen ulusal sağlık sistemi ve sosyal hizmetler kurumudur. Daha önce Tusla’ya BT hizmetleri sağlıyordu.
İrlanda polis teşkilatı An Garda Síochána liderliğindeki HSE’ye yönelik fidye yazılımı saldırısına ilişkin bir soruşturma, “Tusla hizmetlerine dahil olmuş birkaç kişiye ve az sayıda Tusla çalışanına ait bazı kişisel bilgilere yasa dışı olarak erişildiğini” ortaya çıkardı. ve veriler kopyalandı” diyor ajans.
Tusla tarafından işlenen veriler, çocuk koruma ve refah hizmetleri sağlayarak toplanan bilgileri içerir; evlat edinme ve koruyucu aile; erken yaş hizmetleri; ev içi, cinsel ve toplumsal cinsiyete dayalı şiddet hizmetleri; aile ve toplum destek hizmetleri; ve dahası.
Tusla, 20.000 kurbanı bilgilendirme sürecinin muhtemelen Kasım ayına kadar tamamlanmayacağını söylüyor.
İrlanda’nın veri koruma yetkilisi – AB Genel Veri Koruma Yönetmeliği de dahil olmak üzere gizlilik kurallarını uygulayan Veri Koruma Komiseri – ile birlikte çalışan Tusla, mağdurlar için bir bildirim süreci geliştirdiğini söylüyor. HSE’ye yapılan saldırıda kişisel bilgileri açığa çıkan tüm bireyler, ulusal posta servisi aracılığıyla taahhütlü bir mektup alacaktır.
Her mektup, her ihlal mağduru için, yardıma ihtiyaç duymaları halinde telefon tabanlı destekle desteklenen Tusla Kişisel Bilgi Erişim Portalı aracılığıyla bilgilerine erişmek için kullanabilecekleri benzersiz bir PIN içerecektir. Alternatif olarak, mağdurlar, açığa çıkan verileri gözden geçirmek için bir vaka çalışanıyla yüz yüze bir toplantı ayarlayabilir.
Bildirim Başlıyor – 21 Ay Sonra
Tusla, saldırı ile nihai kurban bildirimi arasındaki gecikmenin, başvurdukları hastalarla hangi kayıtların açığa çıktığını uzlaştırmanın zorluğundan kaynaklandığını söylüyor.
“2021 Aralık ayının sonunda An Garda Síochána, Tusla’ya yasa dışı olarak erişilen ve kopyalanan dosyaların bir kopyasını sağladı” diyor. “Tusla, GDPR rehberliği ve Veri Koruma Komisyonu rehberliği uyarınca etkilenen kişileri belirlemek için tüm bu bilgileri dikkatlice incelemek için kapsamlı bir süreç üstlendi.”
Kurban bazında, ajans ayrıca, gerektiğinde bu kişilerin veri haklarını korumak için diğer kişiler hakkında içerebilecekleri bilgileri çıkarmak için açığa çıkan tüm kayıtları incelemek zorunda kalmıştır.
Tusla’nın hizmetler ve entegrasyon direktörü Kate Duggan, “Bu bildirim programının başlamasının biraz zaman aldığını kabul ediyoruz, ancak siber saldırıdan etkilenen her kaydın etkilenen kişileri belirlemek için dikkatlice incelenmesi çok önemliydi” dedi. .
“Ayrıca mektupların doğrulanmış adreslere gönderildiğinden emin olmalıyız” diye ekliyor. “Bildirimler önümüzdeki aylarda devam edecek ve bu karmaşık süreçte çalışmaya devam ederken anlayış ve sabır istiyoruz.”
Tusla, mağdurlarla yalnızca taahhütlü mektupla iletişim kuracağını ve asla kısa mesaj, telefon görüşmesi, e-posta veya sosyal medya aracılığıyla iletişim kurmayacağını söylüyor.
Conti saldırısı sırasında kişisel veriler çalınmış olsa da, bunların hiçbiri siber suç forumları aracılığıyla satılmamış veya veri sızıntıları yoluyla atılmamış olabilir.
Duggan, “Etkilenen Tusla bilgilerinin internette veya karanlık ağda yayınlandığına dair hiçbir kanıt görmedik ve siber güvenlik uzmanlarının yardımıyla durumu izlemeye devam ediyoruz” diyor. “Ayrıca Tusla bilgilerinin herhangi birinin dolandırıcılık veya diğer dolandırıcılık faaliyetlerine karıştığına dair hiçbir kanıt yok.”
Conti Group Kredi Aldı
Artık feshedilmiş Rus fidye yazılımı grubu Conti, 16 Mart 2021’de kötü amaçlı bir Microsoft Excel dosya eki taşıyan bir kimlik avı e-postasıyla başlayan saldırının sorumluluğunu üstlendi. 14 Mayıs 2021’deki saldırının sonunda, sağlık ve bankacılık bilgileri dahil olmak üzere HSE tarafından yönetilen verilerin yaklaşık %80’i zorla şifrelenmişti ve şifre çözme anahtarı saldırganların elindeydi.
Ayrı olarak, HSE şimdiden yaklaşık 113.000 kişiye – 94.800 hasta ve 18.200 personel – verilerinin saldırganlar tarafından çalınmış olabileceğini bildirdi.
Conti, Ulusal Sağlık Hizmetinin bir parçası olması nedeniyle HSE’ye “ücretsiz” bir şifre çözücü sağlama konusunda büyük bir gösteri yaparken, temizleme maliyetleri aşırı yüksek olmuştur. Ekim 2022 itibariyle, saldırıyı hafifletmek, sistemleri eski haline getirmek, olayı araştırmak ve kurbanları bilgilendirmek şimdiden 80 milyon avrodan veya 85 milyon dolardan fazlaya mal olmuştu.
HSE, siber güvenlik duruşunu gözden geçirmek için işe aldığı danışmanlık şirketi PricewaterhouseCoopers tarafından belirlenen çok sayıda eksiklik ışığında BT ortamını da elden geçiriyor.
Mayıs 2021 saldırısının ardından Tusla, sistemlerinin 30 Haziran 2021’e kadar geri yüklendiğini söylüyor. O zamandan beri, HSE tarafından yönetilen tüm BT sistemlerini kullanmayı büyük ölçüde durdurdu.
Ajans, “Tusla’nın BT altyapısının çoğu, o zamandan beri Tusla’nın sahip olduğu ve siber güvenliğin mihenk taşı olduğu güvenli sistemlere geçiş yaptı” diyor. “Tuttuğumuz verileri gelecekteki saldırılardan korumaya yardımcı olmak için, siber güvenlik uzmanlarının yardımıyla sistemlerimizi güvenlik açıkları ve iyileştirme fırsatları açısından izliyor ve düzenli olarak değerlendiriyoruz.”