Çevrimiçi hizmet ve bağış toplama faaliyetleri yürüten kaynakları yetersiz olan hayır kurumları, hızlı para kazanmak isteyen siber suçlular tarafından giderek daha fazla yumuşak bir dokunuş olarak görülüyor ve zorlu zamanlarda kötü niyetli aktörlerin kamu cömertliğinden yararlanma riskiyle karşı karşıya.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) yeni yayınladığı bir raporda, siber suçluların hayır kurumlarına karşı siber saldırılar başlatmanın yanı sıra, halktan gerçek bağışları çekmek için meşru hayır kurumları kılığına girerek üçüncü sektöre nasıl “soktuklarını” vurguladı. , Ukrayna’ya yönelik yardım kampanyalarıyla ilgili çok sayıda olayda gözlemlendiği gibi.
Rapor ayrıca yardım kuruluşlarına özel sektör tavsiyeleri konusunda rehberlik ediyor ve onları NCSC’nin Web Check, Mail Check ve her zaman popüler olan Exercise in a Box gibi ücretsiz Aktif Siber Savunma (ACD) araçlarından yararlanmaya teşvik ediyor. Bazı hayır kurumları da şu anda ücretsiz Cyber Essentials değerlendirmesi ve akreditasyonu için uygundur.
NCSC CEO’su Lindy Cameron, “Birleşik Krallık’taki hayır kurumları her gün harika işler yapıyor ve dijital hizmetler ve çevrimiçi bağış toplama artık bunda çok önemli bir rol oynuyor” dedi. “Teknolojinin hayır kurumlarına yardım etmede rol oynaması doğru olsa da, bu siber saldırı olasılığını ortaya çıkarıyor ve riskleri anlamaları önemli.
“NCSC yardım etmek için burada ve tüm hayır kurumlarını en son raporumuzu okuyarak, rehberliğimizi izleyerek ve kendilerine sunulan araçları kullanarak savunmasızlıklarını azaltmaya çağırıyorum” dedi.
İngiltere ve Galler Yardım Komisyonu başkanı Helen Stephenson şunları ekledi: “Hayır kurumları toplumumuzda ve her toplulukta çok önemli bir rol oynuyor – hayat kurtarıyorlar ve hayatı yaşanmaya değer kılan birçok hizmet sağlıyorlar. Tüm hayır kurumları nihayetinde halkın güvenine ve devam eden kamu cömertliğine güvenir.
“Dolayısıyla, bir hayır kurumuna yönelik herhangi bir siber saldırının etkisi, yalnızca kuruluş ve onun hizmetlerine güvenenler için değil, aynı zamanda halkın güvenini ve desteğini de baltalayarak yıkıcı olabilir.
“Çevrimiçi ortamda güvende kalmak için adımlar atmak, mütevelliler için isteğe bağlı bir ekstra değil, iyi yönetişimin temel bir parçasıdır. Stephenson, “Bu raporu memnuniyetle karşılıyoruz ve mütevellileri hayır kurumlarını siber zararlardan korumak için erken harekete geçmeye çağırıyoruz” dedi.
NCSC, hayır kurumlarının siber saldırılara karşı oldukça savunmasız olmasının birçok nedeni olduğunu söyledi; bunlar arasında temel güvenlik kontrolleri için sınırlı fon ve personel çabası harcama konusundaki isteksizlik, siber güvenlik konusunda eğitim almamış çok sayıda geçici gönüllü ve getirmeye güvenme yer alıyor. -kendi-cihazınız politikaları. Pek çok hayır kurumunun ayrıca hassas konular veya savunmasız kişiler hakkında verileri vardır ve bu da onları hükümet destekli aktörler için çekici hedefler haline getirir.
Edinburgh Festival Fringe Society’ye yapılan bir fidye yazılımı saldırısı ve West Midlands’daki küçük, isimsiz bir bakımevinde bir iş e-postası ihlali (BEC) olayı da dahil olmak üzere, her ikisinin de hafifletilmesi binlerce sterline mal olan bir dizi yeni olayı vurguladı.
İlk olarak, Fringe Society, Ocak 2022’de sistemlerin ve verilerin fidye yazılımı tarafından şifrelenmiş olduğunu tespit etti. Hızlı ve etkili bir yanıta ve normalden daha yüksek bir hazırlık düzeyine rağmen, sistem ayrımını uyguladığı için saldırganlar bunu başaramadı. her şeye erişmek için – saldırıdan kurtulmak 95.000 sterline mal oldu ve sigorta bunun yalnızca 25.000 sterlinini karşıladı ve Covid-19 nedeniyle 2020 festivalini iptal eden sanat hayır kurumunu rezervlerini zorlamaya zorladı.
Bu arada darülaceze hayır kurumu, bir personelin Microsoft’tan gelmiş gibi görünen ve parolalarını değiştirmelerini isteyen bir kimlik avı e-postası almasının ardından saldırıya uğradı. Daha sonra, bu güncellemenin işe yaramadığını ve orijinal kimlik bilgilerini yeniden girmelerini söyleyen ikinci bir e-posta aldılar.
Bir gün sonra, bakımevinin bağışçılarından biri, personelden aldıkları garip bir e-postayı sorgulamak için aradı. Bunu bir dizi başka arama izledi ve bu noktada hayır kurumu, siber suçluların personelin e-posta hesabının kontrolünü ele geçirdiğini ve e-posta yönlendirme kurallarını değiştirerek ne olduğunu göremediklerini tespit eden yönetilen hizmetler sağlayıcısına (MSP) başvurdu. hesapları gönderiliyordu. Personelin ayrıca 35.000 kullanıcının kredi kartı verilerine erişimi vardı.
Neyse ki saldırı hızla hafifletildi, fidye talebinde bulunulmadı ve kart verilerinin çalındığına veya kötüye kullanıldığına dair hiçbir kanıt bulunamadı. Bununla birlikte, bakımevinin maliyeti 17.000 £ idi, bu para hasta bakımı için harcanması gerekiyordu.
“Hiçbir kuruluşun %100 güvenli olmayacağını kabul etmek zorunda olsak da, tüm destekçilerimize ve değer verdiğimiz kişilere, kişisel verilerinin güvenliğini çok ciddiye aldığımızı ve bunu sağlamak için mümkün olan her adımı attığımızı güvenle söyleyebiliriz. Darülacezemizi mümkün olduğunca dijital olarak güvenli hale getirin,” dedi yardım kuruluşunun operasyon direktörü
“Bir personel tarafından yapılan bir hata konusunda dürüst olmasaydık, itibar kaybı çok daha kötü olurdu” diye eklediler.