İhlal Bildirimi, Güvenlik Operasyonları, Standartlar, Düzenlemeler ve Uyumluluk
Bilgi Komiseri Kuruluşlara İhlal Bildirimlerini Hızlandırma Çağrısında Bulundu
Jayant Chakraborty (@JayJay_Tech) •
5 Eylül 2023
Avustralya’nın bilgi komiseri, kuruluşları her olayı analiz etmek için aylar harcamak yerine, veri ihlallerinden etkilenenleri bilgilendirme sürecini hızlandırmaya çağırdı. Avustralya Bilgi Komiseri ve Gizlilik Komiseri Angelene Falk, ihlal mağdurlarını bilgilendirmenin 20 günden beş aya kadar sürebileceğini ve bu durumun onları riske atabileceğini söyledi.
Ayrıca bakınız: Bağlama Duyarlı Değişim Yönetimi Sayesinde Daha Güçlü Güvenlik: Bir Örnek Olay İncelemesi
Falk, Avustralyalı kuruluşların 2023’ün ilk yarısında Temmuz-Aralık 2022 dönemine kıyasla daha az veri ihlali vakasına maruz kaldıklarını ve bunları yetkililere bildirme konusunda daha iyi bir iş çıkardıklarını söyledi.
Falk, Avustralyalı kuruluşların Ocak ve Haziran 2023 arasında 409 ihlal olayı bildirdiğini ve kötü niyetli veya suç teşkil eden saldırıların veri ihlallerinin %70’ini oluşturduğunu söyledi. Avustralyalı kuruluşlar, 5.000’den fazla Avustralyalıyı etkileyen 23 büyük ihlale maruz kaldı ve bunlardan biri 10 milyondan fazla Avustralyalıyı etkiledi; 2022’nin ikinci yarısına göre bir gelişme.
2023’ün ilk yarısında OAIC, kuruluşların %74’ünden ihlal raporları oluştuktan sonraki 30 gün içinde aldı ve kuruluşların yalnızca %5’inin ihlalleri bildirmesi dört aydan uzun sürdü. Bu rakamlar kuruluşların büyük çoğunluğunun ihlalleri hızlı bir şekilde tespit edip bildirdiğini gösterse de Falk, hâlâ daha iyisini yapabileceklerini söyledi.
“Hızlı bildirim, bireylerin bilgilendirilmesini ve dolandırıcılıklara karşı daha dikkatli olmak gibi kendilerini korumak için daha ileri adımlar atabilmelerini sağlar” dedi. “Kuruluşlar bildirimi ne kadar geciktirirse, zarar olasılığı da o kadar artar.”
OAIC’e göre, fidye yazılımı saldırısına maruz kalan bir kuruluşun, etkilenen müşterileri ihlal konusunda bilgilendirmesi beş aydan fazla sürdü çünkü adli soruşturma ve değerlendirmeleri paralel yerine sırayla yapmayı tercih etti. Buna karşılık, başka bir kuruluş, veri ihlaline ilişkin bir soruşturma ve değerlendirmeyi paralel olarak yürüttüğü için, ihlalden haberdar olduktan sonraki 20 gün içinde etkilenen müşterilere bildirimde bulunabildi.
Falk, kuruluşların etkilenen tüm bireyleri kişisel bilgilerinin ihlali konusunda mümkün olan en kısa sürede bilgilendirme görevlerine öncelik vermesi gerektiğini söyledi. Kuruluşların değerlendirme ve soruşturmayı aynı anda yürütmesi gerektiğini ve uygun bir ihlalin meydana geldiğini doğrulamak için her olayı değerlendirmek için çok fazla zaman harcamaması gerektiğini söyledi.
“Bir kuruluşun uygun bir veri ihlalinin meydana geldiğini değerlendirmesi için yetkisiz erişime, açıklamaya veya kayba ilişkin kesin veya olumlu kanıt gerekli değildir. Uygun bir veri ihlali yalnızca yetkisiz erişime dayalı olarak meydana gelebilir ve bireylerin verileri daha az izlenebilir araçlarla çalınabilir OAIC, “ekran görüntüleri gibi” dedi.
İhlallerin tespiti geniş bir aralıktadır. Komiser, kuruluşların %78’inin ihlalleri 30 gün içinde tespit edebildiğini söyledi. Diğerlerinin ihlalleri tespit etmesi 12 aya kadar sürdü. Kuruluşlar, kötü niyetli saldırılar ve insan hatası nedeniyle meydana gelen ihlalleri tespit etmek için, sistem arızalarından kaynaklanan ihlallere kıyasla ortalama olarak çok daha az zaman harcadı.
Falk, kötü niyetli aktörlerin kurbanların iletişim, kimlik ve mali bilgilerini hedef aldığını ve kimlik avı dolandırıcılıklarını körüklemek veya sahte kimlikler oluşturmak için çeşitli kaynaklardan çalınan bilgileri yavaş yavaş topladıklarını söyledi.
“Bu ‘mozaik etkisi’, tehdit aktörlerine bir kişiyi daha kolay taklit etme veya güvenliği ihlal edilmiş kimlik bilgilerini kullanarak sistemlere veya hesaplara erişme yeteneği veriyor. Kuruluşların bu büyüyen saldırı yüzeyine karşı dikkatli olması ve veri ihlali riskini en aza indirmek için güçlü kontrollere sahip olması gerekiyor. “dedi.