İhlal Bildirimi, Coğrafi Odak: Asya, Coğrafi Özel
Siber Suç Uzmanı Ritesh Bhatia, Büyük Olaylara Karşı Sessizlik Kültürü Konusunda
Jayant Chakravarti (@JayJay_Tech) •
30 Eylül 2024
Star Health & Allied Insurance Co., xenZen takma adını kullanan bir bilgisayar korsanının, Telegram’daki sohbet robotları aracılığıyla milyonlarca sigorta şirketinin müşterisinin verilerini kamuya açık hale getirmesinin ardından bu yaz büyük bir veri ihlali olayına maruz kaldı.
Ayrıca bakınız: 2024 Finansal Hizmetlerde Kimlik Güvenliğinin Durumu
Reuters tarafından 20 Eylül’de bildirilen veri ihlali, Hindistan’daki yaklaşık 31 milyon müşterinin kişisel olarak tanımlanabilir ve hassas sağlık bilgilerinin tehlikeye girmesine neden oldu. Ele geçirilen bilgiler arasında müşterilerin sağlık talep verileri, vergi kayıtları, adresler, telefon numaraları, kimlik belgeleri ve tıbbi durum ve teşhislerinin ayrıntıları yer alıyordu.
Sağlık sigortası devi, hackleme olayından ilk olarak 14 Ağustos’ta kısa bir borsa dosyası sırasında bahsetti. Kimliği belirsiz bir kişinin “birkaç hasar verisine” yetkisiz erişime sahip olduğunu iddia ettiği belirtildi.
Şirket, 20 Eylül’de müşterilere bir e-posta göndererek onları, bazı yetkisiz kişilerin telefon görüşmelerinde hileli bir şekilde kendilerini şirket yetkilisi olarak tanıtabilecekleri ve mevcut sigorta poliçelerini iptal etmeye teşvik edebilecekleri konusunda uyardı. “Bu dolandırıcılık eylemleri yalnızca kişisel bilgileriniz için risk oluşturmakla kalmıyor, aynı zamanda politikanızın uzun vadeli faydalarını da potansiyel olarak tehlikeye atıyor” dedi.
Şirket bu iletişimlerde hacklemenin kapsamını, açığa çıkan veri kaydı türlerini, olaya tepkisini veya gelecekte benzer olayların yaşanmasını önlemek için siber güvenlik uygulamalarını güçlendirmeyi planlayıp planlamadığını açıklamadı.
Şirket, 20 Eylül’de kısa bir gazete ilanıyla hacker’a, Telegram’a ve ABD’li yazılım şirketi Cloudflare’e veri güvenliği olayı nedeniyle dava açtığını açıkladı. Davasında Cloudflare’in, müşterilerin kişisel bilgilerini ve sağlık bilgilerini içerdiği iddia edilen bilgisayar korsanlarına ait alanları barındırdığını iddia etti. Cloudflare daha sonra Reuters ile paylaşılan bir açıklamada hackerların çalıştırdığı web sitelerini barındırdığını reddetti.
Star Health’in veri güvenliği olayını ele alması, kuruluşların son derece hassas müşteri bilgilerinin işlenmesindeki ciddiyetini ortaya çıkardı. Ayrıca karar vericilerin iş itibarını, müşterilerin meşru veri güvenliği ve gizlilik endişeleri yerine önceliklendirip önceliklendirmediğini de sorguluyor.
Ritesh Bhatia, “Şirketin tepkisine gelecek olursak, yine 10’da sıfır. Bu çok acıklı. Demek istediğim, bu buradaki tüm şirketler için geçerli: suçlama oyunu başlıyor, kimse sahiplenmek istemiyor” dedi. Mumbai merkezli siber suç araştırmacısı ve V4WEB Siber Güvenlik’in kurucusu.
“Olaya müdahale söz konusu olduğunda her zaman bu konuda çıldırması gerekenin CTO, CIO veya CISO olduğunu hissederdik. Ancak hayır, bu tür ihlaller meydana geldiğinde mesele para veya verilerle ilgili değil, mesele daha çok itibarla ilgili” dedi.
Bilgi Güvenliği Medya Grubu ile yapılan bu video röportajında Bhatia şunları tartıştı:
- Bir bilgisayar korsanlığı olayının ardından şeffaf kurumsal iletişim ihtiyacı;
- Yüksek profilli veri ihlallerine yanıt vermek için en iyi uygulamalar;
- İhlalin ifşa edilmesi konusunda daha iyi hükümet gözetimi ihtiyacı.
Bhatia, siber suç araştırmacısı ve siber güvenlik ve veri gizliliği danışmanı olarak 20 yıllık deneyime sahiptir. Kendisi bir TEDx konuşmacısı ve ABD Sertifikalı Sahtekarlık Denetçileri Birliği’nde sertifikalı sahtekarlık denetçisidir ve dünya çapında kuruluşlar ve emniyet teşkilatları için vakaları çözmüştür.