Copeland İlçe Belediyesi’nin eski patronları, kurumun son dört yıllık faaliyeti için denetlenen hesapları sunamamasından dolayı 2017’deki fidye yazılımı saldırısını suçluyor.
Yerel yönetim reformunun bir parçası olarak Copeland, 1 Nisan 2023’te ortak Cumberland otoritesine dahil edildi.
Grant Thornton’dan denetçiler ayrıca Copeland’ı fidye yazılımı saldırısına verdiği tepkiden dolayı eleştiriyor (eski belediye patronları bunun muhasebe sorunlarının arkasında olduğunu söylüyor), tahsis edilen paraların nasıl harcandığını göstermedeki açık yetersizliğin ve yeterli siber güvenlik önlemlerinin alınmamasının altını çiziyor .
Grant Thornton tarafından hazırlanan ve yakın zamanda meclis üyelerine sunulan bir denetim raporu, Copeland’ın 2017’deki saldırıdan sonra toparlanmayı denetlemek için uzman olmayan BT personeli kiraladığını vurguladı; bu saldırı aynı zamanda İngiltere’deki diğer birçok konseyi ve düzinelerce NHS vakfını da vurmuştu.
Raporda, “Konsey, siber saldırının ardından toparlanmaya yardımcı olmak için dış yüklenicileri görevlendirdi” ifadesine yer verildi. “Ancak bu yükleniciler büyük ölçüde genel BT personeliydi ve üçüncü taraf siber olay kurtarma uzmanları değildi. Konsey daha sonra kritik BT sistemlerini ömrünü tamamlamış ekipmanlarla yeniden kurdu.”
Ayrıca Copeland’ın hangi donanıma sahip olduğunu veya bir sonraki mali yılın sonunda hala desteklenip desteklenmediğini bilmediğini tespit eden şirket, “BT kontrol ortamındaki mevcut zayıflıklar” nedeniyle karşılaştığı riskleri anlamadığını da sözlerine ekledi.
Raporda, konsey yönetiminin “siber saldırı maliyetlerini karşılamak için kullanılan 1,8 milyon £’luk sermaye yönlendirmesi için destekleyici kanıtların üretilmesindeki başarısızlıklar göz önüne alındığında, paranın karşılığının güvence altına alındığını göstermek için gelecekteki sermaye yönlendirmelerinin yeterince takip edilmesini, rapor edilmesini ve izlenmesini sağlaması gerektiği” sonucuna varıldı. 2018 ve 2019”.
Fidye yazılımı saldırıları
Copeland Belediye Meclisi, Mayıs 2017’de, resmi tatil hafta sonu boyunca Birleşik Krallık’taki bazı kamu hizmeti sağlayıcılarında hasara neden olan bir WannaCry fidye yazılımı saldırıları dalgasına maruz kaldı.
WannaCry saldırısının ardından Copeland, günlük işletme masraflarını karşılamak için sermaye rezervlerinden milyonlar borç almak üzere bir dizi başvuruda bulundu.
Sellafield’de de çalışan eski bir meclis üyesi, geçen yıl Computer Weekly’ye saldırıdan önce Sellafield ile ilgili potansiyel siber güvenlik açıklarının dikkate alınmadığının farkında olmadığını söylediğinde bu yorumlardan bazılarını yineledi.
BBC’ye siber saldırının 2018’de kontrol altına alındığını söylemesine rağmen bir konsey kaynağı Computer Weekly’ye, Copeland patronlarının daha sonra “bunu kimin ve ne yaptığını hâlâ bilmediklerini” itiraf ettiğini söyledi. [information] 2017 saldırısı sırasında kaybedildi”.
Bir konsey kaynağına göre, Copeland ve Cumberland’ın, Cumbrian kıyısındaki tesisinde yaklaşık 11.000 kişiyi istihdam eden Avrupa’nın en büyük nükleer sahasına ilişkin benzersiz operasyonel verilere sahip olması, burayı siber saldırılara karşı özellikle savunmasız bir hedef haline getiriyor. Bu veriler nükleer envanterin hareketini, atık yönetimini, planlama bilgilerini ve yükleniciler tarafından Sellafield’e sağlanan hizmetleri içerebilir.
Ancak Sellafield ve düzenleyici kurumları, 2017 fidye yazılımı saldırısında herhangi bir hassas bilginin ele geçirildiğine inanmak için hiçbir nedenleri olmadığını söylüyor.
Kırmızı deniz
Copeland’ın gelişen hesap krizini 2017’deki olaydan sorumlu tutan eski konsey patronlarına göre, fidye yazılımı saldırısının mali yansımaları geniş kapsamlı oldu.
Copeland’ın kitaplarında en az 8 milyon £ tutarında bir “tutarsızlık” tespit edildi; bu, yakın zamanda feshedilen ilçe meclisinin tüm yılın bütçesinin yarısından fazlasını temsil ediyor. Olayın sonuçlarının, yeni kurulan Cumberland otoritesinde yaklaşık 30 milyon £’luk bir açığa neden olduğu anlaşılıyor.
Grant Thornton’dan denetçiler, Mart ayında yapılan bir toplantıda Copeland’ın mali durumuyla ilgili konsey yetkililerinin içini boşalttı ve bunları “kırmızı bir deniz” ve uzun vadeli başarısızlıkların işaretleri olarak tanımladı.
Firmanın baş denetçilerinden biri konsey üyelerine, “Yerel yönetimde denetçi olarak uzun kariyerim boyunca, bunlar kadar kötü bir dizi hesap görmedim” dedi. “Bu işi uzun zamandır yapıyorum ve bu karşılaştığımız en kötü denetim raporlarından biri. Makul bir şekilde yapılmasını bekleyebileceğimiz her şey Copeland’da uzun süredir gerçekleşmedi. Copeland beklenenin çok altında kaldı.”
Grant Thornton’un konsey için hazırladığı en son denetim raporu, konseyde siber saldırı ve ardından gelen müdahaleden kaynaklanan maliyetler konusunda hesap verebilirlik eksikliğinin altını çizdi. Raporda bunun nedenleri olarak personel değişimi ve yetersiz kayıt tutma gösterildi.
Raporda, “kayıtların mevcut olmaması ve zamanın geçmesiyle ortaya çıkan personel değişimi nedeniyle yönetimin, Ekim 2018’deki aktifleştirme direktifini desteklemek için siber bağlantılı maliyetlerin ve gelir kaybının yapısını tam olarak açıklayamadığı” tespit edildi. Bu nedenle, yapılan harcamaların 2018/19 döneminde Copeland sakinlerine paranın karşılığını sağladığı sonucuna varmak mümkün değil.”
Cumberland, dört yıllık ödenmemiş Copeland hesaplarını 30 Eylül 2024’e kadar sunmadığı takdirde, denetçiler tarafından “inanılmaz derecede nadir” olarak tanımlanan bir önlem olan yasal tavsiyelerle karşı karşıya kalacak.
BT durum kontrolü
Cumbrian yerel yönetiminin siber savunma sistemlerinin ve genel BT yönetişiminin yeterliliği konusunda önemli sorular varlığını sürdürüyor.
İngiltere’nin baş nükleer müfettişi için çağırdı Nükleer Düzenleme Ofisi’nin Ekim ayındaki yıllık konferansında nükleer endüstride siber güvenliğe ilişkin “tutarlı ve güçlü liderlik”.
Ancak Computer Weekly’den bir dizi rapor, Özel dedektif Ve Gardiyan Sellafield’in siber güvenlik rejiminin ve çalışanların hem saha içi hem de saha dışı uygulamalarının zayıf noktalarına ilişkin soruları gündeme getirdi. Bir konsey kaynağı yakın zamanda Copeland ve Cumberland’ı bilgisayar korsanları ve siber tehditler açısından “Aşil topuğu” olarak tanımladı.
Cumberland, Computer Weekly’ye bir “geçici acil durum planı” geliştirdiğini söyledi ancak belgenin daha fazla ayrıntısını ya da bir kopyasını sunmadı.
Bir konsey sözcüsü bunu yapmanın veya “BT sistemleri hakkında daha fazla ayrıntı sağlamanın potansiyel olarak sistemlerin güvenliğini riske atabileceğini” savundu.
Sözcü, Cumberland Konseyi’nin eski Copeland için herhangi bir felaket kurtarma planı bulunmadığının farkında olduğunu söyledi. Cumberland ekibi, Copeland’da bir hükümet siber güvenlik standardı olan Kamu Hizmetleri Ağı (PSN) uyumluluğunu elde etmek için gerçekleştirilen kapsamlı çalışmanın ardından bir geçici kurtarma planı geliştirdi. “Bu, tüm eski ağlar için planların yürürlükte olmasını sağlar” dedi.
Devamlılık Forumu başkanı Russell Price, geçen yıl Copeland’ın medyanın 2017 olayına verdiği tepkiyi eleştirmişti. Ancak Copeland ve Cumberland’ın, Birleşik Krallık’taki birçok kamu sektörü kurumunun boğuştuğu siber güvenlik sorunlarıyla karşı karşıya olduğunu söyledi.
Cumberland sözcüsü Computer Weekly’ye, birleşik otoritenin Nisan 2023’te kurulmasından bu yana siber güvenliği ele almak için alınan önlemlerin “kapsamlı” olduğunu söyledi.
Sözcü, “Copeland’ın BİT kontrol ortamının Kamu Hizmetleri Ağı Akreditasyonunun gerekliliklerini karşıladığından emin olmak için Cumberland tarafından önemli miktarda çalışma üstlenildi” dedi.
“Bu çalışma ancak Cumberland Konseyi’nin ortaya çıktığı 1 Nisan 2023’ten itibaren başlayabilecekti. Eski Copeland ICT mimarisinin önemli bir kısmı artık bulut tabanlı” diye devam ettiler.
“Kapsamlı bir ICT sağlık kontrolü devreye alındı ve üstlenildi; eski Copeland ağı için PSN sertifikası almaya yönelik iyileştirici eylemleri ele almak üzere daha kapsamlı çalışmalar da üstlenildi.”
Stratejik risk
Konsey sözcüsü ayrıca yerel yönetimin mevcut jeopolitik iklim nedeniyle siber saldırılara yönelik “stratejik bir risk kaydettiğini” söyledi.
ABD, Çin’in Batı’daki önemli enerji ve altyapı altyapısını hedef almak için siber saldırı kullanımını artırdığı konusunda uyardı.
Eski bir Ulusal Siber Güvenlik Merkezi patronu geçtiğimiz günlerde Computer Weekly’ye yaptığı açıklamada, İngiltere’nin Çin ve diğer potansiyel düşman devlet aktörlerinin oluşturduğu siber tehditleri yanlış anlama riskiyle karşı karşıya olduğunu söyledi.
Sözcü, “Copeland Altyapısının çoğunluğu değiştirildi, modernize edildi ve en iyi uygulamalara uygun olarak uygulandı” dedi. “Buna çekirdek ağ, güvenlik duvarları, VPN ve veri merkezi tesisleri de dahildir.
“Cumberland Konseyi, mevcut jeopolitik risk ortamı nedeniyle siber saldırılarla ilgili olarak stratejik bir risk kaydetti” diye devam ettiler. “Ekip şu anda operasyonel risk kayıtlarını uyumlu hale getiriyor ve Konseyin Risk Yönetimi Çerçevesine uygun bir operasyonel risk kaydı oluşturmak için Konseyin Risk Yöneticisiyle birlikte çalışacak.”
Yorum yapmak için Sellafield ile temasa geçildi.