Üçüncü taraf siber saldırıları, dünya çapında kuruluşların karşı karşıya olduğu en önemli tehditlerden biri olmaya devam ediyor. Son zamanlarda, çok uluslu bir yatırım bankacılığı ve finansal hizmetler şirketi olan Bank of America, Kasım 2023’te hizmet sağlayıcılarından birine yapılan bir saldırının kişisel tanımlayıcı bilgilerin (PII) açığa çıkmasına neden olduğunu müşterilerine bildirmeye başladı.
İhlal, Bank of America’ya ertelenmiş tazminat planı hizmetleri sağlayan Infosys’in bir yan kuruluşu olan Infosys McCamish Systems’e (IMS) karşı meydana gelen bir güvenlik olayının ardından meydana geldi. IMS bildirimine göre mektup Maine Başsavcılığına sunulan başvuruda, “3 Kasım 2023’te veya buna yakın bir tarihte, IMS, yetkisiz bir üçüncü tarafın IMS sistemlerine erişmesi sonucu belirli IMS uygulamalarının kullanılamamasıyla sonuçlanan bir siber güvenlik olayından etkilendi.”
fark etme Bank of America’nın milyonlarca müşterisinden yalnızca 57.028’inin ihlalden doğrudan etkilendiğini ancak açığa çıkan kişisel bilgilerin arasında Sosyal Güvenlik Numaralarının, kredi kartı ve hesap numaralarının yanı sıra isimler ve adreslerin de yer aldığını ortaya çıkardı. Tehdit aktörlerinin, etkilenen tüm bireylere karşı sosyal mühendislik saldırıları başlatmak için kolayca kullanabileceği kışkırtıcı bir veri karışımı.
Daha sonra 4 Kasım’dabuIMS, Bank of America’ya müşterileriyle ilgili verilerin ifşa edilmiş olabileceğini bildirdi. Ünlü fidye yazılımı çetesi LockBit aynı gün talep edildi Saldırıda 2.000’den fazla IMS sisteminin şifrelenmesi sorumluluğu üstlendi.
“Tedarikçi riski giderek daha fazla endişe kaynağı olmaya devam ediyor” yorumunu yaptı Erich Kron, Güvenlik Farkındalığı Avukatı KnowBe4. “Kötü aktörler, siber güvenlik ve veri koruması için önemli bütçelere sahip büyük kuruluşlara saldırmanın, aynı bilgileri işleyen ancak bunları korumak için aynı bütçeye sahip olmayan kuruluşlara saldırmaktan genellikle daha az etkili olabileceğini görüyor.”
Kron, üçüncü taraf sağlayıcıları kullanmanın tek başına kötü bir şey olmadığını açıklarken, şunları da belirtti: “Paylaşılan herhangi bir verinin korunmasına ilişkin politika ve prosedürlerin mevcut olmasını sağlamak kritik öneme sahiptir. Sözleşmelerin hangi bilgilerin işlendiğini ve ne kadar süre saklanacağını tanımladığından emin olmak, üçüncü taraflarla yapılan bu veri yönetiminin çok önemli bir parçasıdır. Ayrıca bilgiler mümkün olduğu kadar sınırlandırılmalı ve isteğe bağlı olarak anonimleştirilmelidir.”
İlginçtir ki bu, Bank of America’nın üçüncü taraf bir siber saldırıdan ilk etkilenmesi değil. Mayıs 2023’te, bankaya hizmet veren bir muhasebe firması olan Ernst & Young, MOVEit dosya aktarımı sıfır gün istismarı yoluyla Cl0p fidye yazılımı çetesi tarafından saldırıya uğradı. Bu olayda Bank of America müşterilerinin SSN’leri ve finansal bilgileri gibi kişisel verileri de açığa çıktı.
MOVEit saldırısının etkileri büyük oldu ve çoğunlukla üçüncü taraf satıcıları ve bunun sonucunda da onların çok çeşitli müşterilerini etkiledi.
Aslında, Ray Kelly, araştırma görevlisi Özet Yazılımı Dürüstlük Grubu, söz konusu, “[The MOVEit] Sorun, büyük kuruluşlardan ve hatta ABD Hükümeti’nden büyük miktarda verinin çalınmasına neden oldu. Kuruluşlar arasında güven zincirinin sağlanması basit bir iş olmasa da tüketicilerin özel bilgilerinin korunması açısından hayati önem taşıyor.”
Bilgisayar korsanları kesinlikle üçüncü taraf tedarik zinciri satıcılarının zayıflığından faydalandılar. Bank of America gibi büyük kuruluşların büyük olasılıkla olgun siber güvenlik protokollerine sahip olduğu yerlerde, ISM gibi satıcılar siber duruşa olması gerektiği gibi öncelik vermeyebilir. Ama gerçekten de bunu yapmaları gerekiyor. Siber suçluların ve siber çetelerin kötü niyetli büyüsü her gün gelişmeye devam ediyor. Satıcılar artık siber güvenlik uzmanlarını ihmal edemez.
Gibi Tom Kellermann, Siber Stratejiden Sorumlu Kıdemli Başkan Yardımcısı Kontrast Güvenliği, yorum yaptı, “Bu daha az güvenli satıcıları hedef alarak [cybercriminals] büyük bankaları başarıyla tehlikeye atabilir. Düzenleyiciler, paylaşılan hizmet sağlayıcılar için daha yüksek siber güvenlik standartlarını zorunlu kılmalıdır.”
Ancak bu durum Bank of America gibi kuruluşları da sorumluluktan kurtarmıyor. Elbette, saldırıya uğrayanlar ISM (ve daha önce Ernst & Young) idi, ancak Amerika Bankası etkilenen müşteriler. Banka, verilerin satıcılar tarafından karmaşık bir şekilde işlenmesini sağlamak için gereken özeni gösterdi mi? Bu olayların ardından cevap muhtemelen hayır. O zaman soru şu oluyor: Bankalar, işletmeler ve hatta devlet kurumları, tedarikçilerinin zayıf siber güvenlik standartlarını ne kadar daha kabul edecek?
Erfan Shadabi, veri güvenliği uzmanlarıyla birlikte siber güvenlik uzmanı konfor AG, şu yorumu yaptı: “Finansal kurumlar, özellikle de bankalar, ellerinde bulundurdukları büyük miktardaki hassas bilgilerden dolayı uzun süredir siber suçluların ana hedefi olmuştur. Bu ihlal, finansal kurumların siber güvenliğe yönelik proaktif bir yaklaşım benimsemesi, tehditleri gerçek zamanlı olarak tespit etmek ve bunlara yanıt vermek için sürekli izleme ve tehdit istihbaratı yeteneklerini benimsemesi gerektiğinin altını çiziyor.”
Al Lakhani, CEO’su FİKİR, ekledi: “Tedarik zincirinin korunması kritik önem taşıyor. Özellikle bu tür saldırılara neden olabilecekleri zaman. Bu nedenle, iki cihaz gerektiren ve kimlik bilgisi avı saldırılarını önleme yeteneğinden yoksun olan birinci nesil MFA’ya güvenmek başlangıç noktası değildir.
“Tedarik zincirlerini etkili bir şekilde güçlendirmek için, aynı cihaz MFA’sını kullanarak ortadaki rakip saldırıları da dahil olmak üzere kimlik bilgisi, kimlik avı ve parola tabanlı saldırılara karşı koruma sağlayan yeni nesil MFA çözümleri kullanılarak korunmaları gerekiyor.”
Darren James, Kıdemli Ürün Müdürü Specops Yazılımıbir Outpost24 şirketi olan yorum yaptı, “Hizmetleri 3’e dış kaynak olarak verirkenüçüncü Hem çalışanlar hem de müşteriler için kişisel olarak tanımlanabilir veya hassas bilgileri işleyen taraflar için her zaman uygun risk değerlendirmeleri yapılmalıdır.”
Aslında James, üçüncü tarafların risk değerlendirmesi söz konusu olduğunda aşağıdaki soruların sorulmasını önerdi:
- İhlal edilen şifreleri düzenli olarak tarıyorlar mı?
- Özellikle müşteri verilerine erişim konusunda güçlü MFA kontrolleri var mı?
- BT sistemlerinin iç ve dış saldırı yüzeyini tarıyorlar mı? Son sonuçların özetini görebilir misiniz?
- Veriler nerede ve hangi ülkenin yetki alanı altında tutuluyor? Verileriniz aktarım sırasında ve kullanımda değilken her zaman şifreleniyor mu?
- Hangi güvenlik, yedekleme ve felaket kurtarma politikaları ve prosedürleri mevcut?
- Sektörünüz için düzenleyici gerekliliklere uyuyorlar mı?
- Sistemlerinin güvenliği ihlal edilirse ne gibi garantiler ve sigortalar sunuyorlar?
- Verilerinizi başka taraflara devrediyorlar mı?
Sean McNee, Araştırma ve Veriden Sorumlu Başkan Yardımcısı Etki AlanıAraçları, sözlerini şöyle tamamladı: “İşletmeyi çevrimiçi yürütmenin birbiriyle derinden bağlantılı doğası, hem tüketiciler hem de işletme sahipleri için muazzam bir değer yaratıyor, ancak aynı zamanda işletmelerin kendilerini savunması gereken tehdit ortamını da temelden değiştiriyor. Bunun gibi tedarik zinciri saldırıları, günümüzde karşılaşılan benzersiz zorlukları vurgulamaktadır. Ne yazık ki müşteriler bu olayların uzun vadeli etkileriyle karşı karşıya kalıyor.”
McNee, “Orada buz gibi kalın” diye uyardı. Tüketicilerin yapabileceği en iyi şey uyanık, tetikte ve proaktif kalmaktır. Ve eğer etkilenenlerden biriyseniz, bu ücretsiz kredi izleme hizmetinden mutlaka yararlanın.