Stockport merkezli kimlik ve erişim kartı tedarikçisi Digital ID’ye yapılan fidye yazılımı saldırısı, Büyük Manchester Polisi (GMP) ve Londra Metropolitan Polis güçlerini etkileyen veri ihlallerinin gün yüzüne çıkmasının ardından ciddi bir tedarik zinciri olayına dönüşüyor.
Met’teki ihlal ağustos ayında gün yüzüne çıktı ancak GMP, verilerinin ele geçirildiğini ancak dün (14 Eylül) açıkladı ve 12.500’den fazla memur ve personel kişisel bilgilerinin etkilenmiş olabileceği konusunda uyardı. Verilerin, isimleri, rütbeleri, fotoğrafları ve seri numaralarını içeren, görevli memurların arama izni kartlarının ayrıntılarını içerdiği anlaşılıyor.
GMP emniyet müdür yardımcısı Colin McFarlane şunları söyledi: “GMP tarafından istihdam edilenler hakkında bazı bilgileri tutan, GMP de dahil olmak üzere Birleşik Krallık’taki çeşitli kuruluşların üçüncü taraf tedarikçisini etkileyen bir fidye yazılımı saldırısının farkındayız. Şu aşamada bu verilerin finansal bilgi içerdiği düşünülmüyor.
“Bunun çalışanlarımız için ne kadar endişe verici olduğunu anlıyoruz, bu nedenle GMP üzerindeki herhangi bir etkiyi anlamaya çalışırken Bilgi Komiserleri Ofisi ile iletişime geçtik [ICO] Çalışanlarımızın bilgilendirilmesi, sorularının yanıtlanması ve desteklendiklerini hissetmeleri için elimizden geleni yapıyoruz. Saldırıyla ilgili ulusal düzeyde yürütülen bir cezai soruşturmayla bu durum son derece ciddi bir şekilde ele alınıyor.”
Computer Weekly, genel olarak Digital ID’nin müşterilerine kendi kimlik kartlarını yapmaları için gerekli malzemeleri sağladığını, ancak GMP dahil küçük bir müşteri alt kümesi için bunu bir hizmet olarak sunduğunu ve doğal olarak onlara veri sağlamalarını gerektirdiğini biliyor.
Tedarik zinciri olaylarında sorumluluk soruları
Birleşik Krallık kamu sektörünü etkileyen, hem siber saldırılardan hem de içeriden gelen hatalardan kaynaklanan diğer birçok veri güvenliği olayının ardından, eski bir ordu ve istihbarat uzmanı ve güvenlik danışmanlığı Ecliptic Dynamics’in kurucu ortağı Tom Kidwell, bu gücün bu olaya müdahale edebileceğini söyledi. bilgilerinin güvenliğini sağlamak için daha fazlasını yaptı.
“Siber güvenliği düşünürken çoğu kuruluş kendi güvenliklerine odaklanma eğilimindedir ve tedarikçilerinin ve onlarla birlikte çalışan diğer kuruluşların işlerini etkili bir şekilde yapmalarını umar. Maalesef Büyük Manchester Polisi için durum böyle değil gibi görünüyor” dedi.
“Gerçek şu ki, kolluk kuvvetleri ve diğer kamu sektörü kurumları, yalnızca son derece hassas ve kazançlı bilgiler içerdikleri için değil, aynı zamanda Birleşik Krallık’ta karışıklık ve kaosa neden olmak için de saldırıların giderek daha yaygın bir hedefi haline geliyor.
“Tedarik zinciriniz hakkında sağlam bir anlayışa sahip olmanız ve özellikle sizi savunmasız bırakabilecek alanlarda hesap verebilir olmalarını sağlamanız gerektiğini bir kez daha vurguluyor. Yönetilen hizmet sağlayıcıların sistemlerinize ve verilerinize genellikle kendi personelinizden daha yüksek düzeyde erişimi vardır. Kidwell, “Onların da dijital altyapınıza sizin kadar özen ve özen gösterdikleri varsayımı var” dedi.
Tedarikçisine yapılan ilk siber saldırıdan GMP sorumlu tutulamazken, veri ihlali uzmanı hukuk firması Fieldfisher’ın ortağı Rob Sheldon da benzer düşünceleri dile getirdi.
“Burada kesin ayrıntıları bilmiyoruz, ancak Birleşik Krallık/AB’deki bir kuruluş bir tedarikçiyi bir hizmet sağlaması için görevlendirdiğinde ve bu hizmeti gerçekleştirecek kişiler hakkında bilgi sağladığında, tedarikçiye ilişkin durum tespiti kontrollerinin yapılması yasal olarak zorunludur ve tedarikçiyle bir sözleşme yapmak.” dedi Sheldon.
“Sözleşme, tedarikçinin uygun güvenlik önlemlerini uygulama ve sürdürme ve verilerinin bir veri ihlalinden etkilenmesi durumunda müşteriye bildirimde bulunma yükümlülüğü de dahil olmak üzere belirli minimum gereklilikleri karşılamalıdır.
Sheldon şunları ekledi: “Müşteriler, sözleşmenin/yasanın ihlali de dahil olmak üzere, veri koruma ihlallerine karşı tedarikçilerden sözleşmeye dayalı koruma talep ediyor; buna, ihlal sonucunda müşterinin zarara uğradığı bir veri ihlali meydana gelirse müşteriye ödeme yapma yükümlülüğü de dahil .
“Müşteriler genellikle veri ihlalinden etkilenen kişilerden gelen taleplere, ihlalin yönetilmesinde ortaya çıkan maliyetlere ve ihlalden kaynaklanan düzenleyici cezalara karşı koruma arayacaktır.”