2022’de, kötü şöhretli Lockbit Fidye yazılımı grubu, hem hasta hem de personel de dahil olmak üzere yaklaşık 79.000 kişiyi etkileyen bir ihlal olan İngiltere’nin Ulusal Sağlık Servisi’nin (NHS) sunucularını hedefledi. Araştırma üzerine, kötü amaçlı yazılımların NHS sistemlerine üçüncü taraf teknoloji sağlayıcısı Advanced Computer Software Group Ltd aracılığıyla sızdığı ortaya çıktı.
Bu veri ihlali sonucunda, İngiltere Bilgi Komiseri Ofisi (ICO), yönetilen servis sağlayıcısına genellikle ‘ileri’ olarak adlandırılan 3,07 milyon £ ‘lık ağır para cezası vermiştir. Şirketin hasta ve personel verilerini siber suçlulardan yeterince korumaması nedeniyle ceza verildi. Bu ihlal, potansiyel olarak hassas kişisel bilgileri, gelecekte müşterilere ve çalışanlara zarar vermek için bu verileri kullanabilecek kötü niyetli üçüncü taraflara maruz bıraktı.
ICO’nun araştırması, Advanced’in Staffplan Citrix sunucusunda çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik önlemlerini uygulamayı ihmal ettiğini buldu. Bu gözetim, nihayetinde hassas verileri tehlikeye atan ihlalde önemli bir faktördü.
Ayrı bir olayda, ICO’nun Ağustos 2024’te başka bir fidye yazılımı saldırısını önleyemediği için ileri 6.49 milyon £ para cezasına çarptırıldığını belirtmek gerekir. Ancak, yasal müzakerelerden sonra ceza%50 azaldı. Bu azalma, ICO’nun Advanced’in bir veri denetleyicisi yerine bir veri işlemcisi olduğunu kabul ettikten sonra geldi, yani olaydaki sorumluluklarının biraz daha az olduğu ve daha fazla itiraz olmadan para cezasının yarıya inmesine yol açtı.
ICO, işletmeleri müşteri verilerini koruyamadığından sorumlu tutmanın kesin bir sicili oluşturdu. Örneğin, 2018’de ajans British Airways’i müşterilerini etkileyen bir veri ihlali için 20.09 milyon £ para cezasıyla tokatladı ve Marriott, 2014 yılına kadar benzer bir olay için 18.06 milyon £ cezalandırıldı.
ICO’nun eylemleri, özellikle 2018’de Genel Veri Koruma Yönetmeliği’nin (GDPR) piyasaya sürülmesinden sonra veri güvenliğine yaklaştığı artan ciddiyetin altını çizmektedir. Advanced gibi şirketlere karşı alınan cezalar, müşteri bilgilerini yeterince koruyamayan herhangi bir kuruluşun önemli finansal ve itibaren sonuçlarla karşılaşacağını hatırlatıyor. Bu eğilim, bu tür ihlalleri önlemek ve veri koruma sorumluluklarını ihmal etmekten kaynaklanabilecek ağır cezalardan kaçınmak için proaktif siber güvenlik önlemlerinin önemini vurgulamaktadır.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!