Londra’daki çeşitli belediyelerin kullandığı ortak BT sistemlerine yapılan siber saldırı, binlerce sakinin kişisel verilerinin çalınmasına yol açarak, yerel yönetimin siber güvenliğinin dayanıklılığı ve birbirine bağlı kamu sektörü altyapısının oluşturduğu riskler hakkındaki endişeleri yeniden gündeme getirdi.
Kensington ve Chelsea Konseyi, olay sırasında hassas kişisel bilgilere erişildiğini ve bunun komşu ilçelerdeki hizmetleri de kesintiye uğrattığını doğruladı. Saldırı, Ulusal Siber Güvenlik Merkezi’nin (NCSC) ve Metropolitan Polisinin hızlı müdahalesine yol açarak ihlalin ciddiyetinin altını çizdi.
Siber güvenlik liderleri, olayın kamu sektörü kuruluşlarına yönelik daha geniş ve giderek artan bir tehdidi yansıttığı konusunda uyarıyor. Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, bunun iki aydan kısa bir süre içinde Birleşik Krallık’taki bir yerel otoriteyi etkileyen ikinci önemli siber olay olduğunu belirterek, konseylerin ne kadar ısrarla hedef alındığını vurguladı.
Guccione, “Konseyler ve hükümetin diğer kolları, siber suçlar için yüksek değerli hedefler olmaya devam ediyor çünkü bunlar, kapsamlı hassas kişisel verilere sahipler ve hem saldırganlar için çekici olan hem de geniş ölçekte savunulması zor olan birbirine bağlı, genellikle eski sistemler işletiyorlar.” dedi. Bu saldırıların sıklığının, düşmanların fırsatçı saldırılardan sistemik zayıflıkları istismar etmek ve halkın güvenini sarsmak için tasarlanmış sürekli ve karmaşık kampanyalara doğru yöneldiğini gösterdiğini ekledi.
Saldırının teknik özellikleri de uzmanlar arasında alarma neden oldu. Check Point’in kamu sektörü başkanı Graeme Stewart, birden fazla ilçenin çevrimdışına alınmasını ve personele ortak konseylerden gelen e-postalardan kaçınmaları yönünde talimat veren dahili uyarıları gerekçe göstererek olayın “ciddi bir izinsiz girişin tüm işaretlerini” gösterdiğini söyledi.
Stewart, “Saldırganların kimlik bilgilerini ele geçirdiğinde veya paylaşılan bir ortamda yanlara doğru hareket ettiğinde bu, klasik bir davranıştır” dedi. “Ağın bir bölümüne girdikten sonra, bağlı sistemler arasında çoğu konseyin yanıt verebileceğinden çok daha hızlı bir şekilde geçiş yapabilirler.”
Stewart, hizmetlerin hızlı bir şekilde kapatılmasının yetkililerin şifreleme veya büyük ölçekli veri hırsızlığının artmasından korktuklarını gösterdiğini ekledi. “Meclislerde sosyal bakım dosyaları, kimlik belgeleri, konut kayıtları gibi son derece hassas materyaller bulunuyor. Saldırganlar bunların yakınına yaklaşırsa etkiler yerel kalmaz” diye uyardı.
Olay aynı zamanda yerel yönetim genelinde paylaşılan ve merkezi BT platformlarının yarattığı riskleri de ortaya çıkardı. Huntress’in güvenlik operasyonlarından sorumlu kıdemli yöneticisi Dray Agha, bu tür ortamları “iki ucu keskin kılıç” olarak tanımladı.
Agha, “Paylaşılan sistemler etkili olsa da, bir konseyin ihlali anında ortaklarını tehlikeye atabilir ve yüz binlerce sakinin temel hizmetlerini sekteye uğratabilir” dedi. Tamamen maliyet odaklı BT stratejilerinin ötesine geçerek, saldırıları yayılmadan önce kontrol altına alabilen, bölümlere ayrılmış, esnek mimarilere doğru ilerlemenin gerekliliğini vurguladı.
İhlalden etkilenen bölge sakinleri için acil endişe, kişisel bilgilerinin nasıl kötüye kullanılabileceğidir. Pixel Privacy’nin tüketici gizliliği savunucusu Chris Hauk, bireyleri kimlik avı ve dolandırıcılık girişimlerine karşı dikkatli olmaya çağırırken, konseyi de somut destek sağlamaya çağırdı.
Hauk, “Verileri ifşa edilen kişilerin kimlik avı düzenleri ve diğer dolandırıcılıklara karşı dikkatli olmaları gerekir” dedi. Kensington ve Chelsea Belediyesi’nin etkilenen sakinlere ücretsiz kredi izleme hizmeti sunması gerektiğini ve hükümet organlarının sıklıkla özel sektör kuruluşlarının da benzer ihlallerden sonra aynısını yapmasını beklediğini belirtti.
Comparitech’in tüketici gizliliği savunucusu Paul Bischoff’a göre şeffaflık, uzun vadeli zararın sınırlandırılmasında kritik öneme sahip olacak. Konseyi, ne tür kişisel verilerin ele geçirildiğini mümkün olan en kısa sürede açıklığa kavuşturmaya çağırdı.
Bischoff, “O zamana kadar mağdurlar kişisel bilgilerini ve mali durumlarını nasıl koruyacakları konusunda bilinçli seçimler yapamazlar” dedi. Saldırganların, çalıntı örnek belgeleri içeren bir kanıt paketini zaten yayınladıklarını belirtti; bu, fidye yazılımı gruplarının iddialarını kanıtlamak ve baskı uygulamak için kullandıkları ortak bir taktiktir. “Yüzlerce fidye yazılımı saldırısına ilişkin araştırmamıza göre, bu iddiaların büyük çoğunluğu meşrudur” diye ekledi.
Guccione, politika düzeyinde, Birleşik Krallık Hükümeti’nin yakın zamanda başlattığı Siber Eylem Planına dikkat çekti; bu plan, 210 milyon £’dan fazla finansmanı ve kamu hizmetleri genelinde koordinasyonu ve dayanıklılığı artırmak için yeni bir Hükümet Siber Biriminin oluşturulmasını içeriyor.
“Plan, bu zorluğun hükümetler arası doğasının anlaşılması açısından olumlu bir gelişmedir” dedi ancak merkezi girişimlerin kurumsal düzeydeki eylemlerle eşleştirilmesi gerektiği konusunda da uyardı. Kamu sektörü organlarını kimlik merkezli güvenlik modellerinin benimsenmesini hızlandırmaya, daha güçlü erişim kontrolleri uygulamaya, yanal hareketi sınırlamak için ağları bölümlere ayırmaya ve sürekli izleme uygulamaya çağırdı.
Guccione, “Siber güvenliği ancak teknik olarak sonradan düşünülen bir düşünceden temel yönetim önceliğine yükselterek, kamu hizmetlerinin giderek daha ısrarcı olan saldırılara maruz kalma durumu azaltılabilir ve vatandaşların güvendikleri dijital hizmetlere olan güveni korunabilir” dedi.
Soruşturmalar devam ettikçe olayın, çoğu sıkı bütçeler ve karmaşık operasyonel kısıtlamalar altında kritik dijital hizmetler sunmaya devam eden Birleşik Krallık yerel makamları genelinde siber olgunluk incelemesini yoğunlaştırması bekleniyor.
Londra konseyi sonrası siber saldırı, kişisel verileri açığa çıkarıyor ve ortak kamu sektörü BT’sinin risklerini vurguluyor ve ilk olarak BT Güvenlik Gurusu’nda ortaya çıktı.