Tarihteki en önemli siber güvenlik olaylarından biri olan NPD ihlali, Sosyal Güvenlik numaraları, adresleri ve e-posta adresleri de dahil olmak üzere yaklaşık üç milyar kişinin kişisel verilerini ifşa etti. Saldırıyı üstlenen “USDoD” adlı bir siber suç grubu ihlali gerçekleştirdi. İhlal Aralık 2023’te gerçekleşti ancak arka plan kontrolleri için kamu kaynaklarından bilgi toplayan bir veri aracısı olan National Public Data (NPD) tarafından ancak Ağustos 2024’te doğrulandı. NPD ayrıca kendi şifrelerini yanlışlıkla çevrimiçi olarak yayınladığını ve bu durumun ihlali daha da kötüleştirdiğini kabul etti.
Bu ihlal, NPD’yi şeffaflık, hesap verebilirlik ve güvenlik eksikliği nedeniyle eleştiren halk, kanun koyucular ve uzmanlar arasında öfke ve endişeye yol açtı. NPD, şirketi milyonlarca Amerikalının gizlilik haklarını ihlal etmekle suçlayan bir tüketici savunucusu grubunun açtığı davayla karşı karşıya. Bu ihlal ayrıca, özellikle asgari denetim ve ifşa ile faaliyet gösteren veri komisyoncuları tarafından kişisel veri toplama, kullanma ve korumayı yöneten ABD yasalarının ve yönetmeliklerinin yeterliliği hakkında soruları da gündeme getirdi. Bu ihlal ayrıca, verilerinin nasıl toplandığını, saklandığını ve paylaşıldığının farkında olmayabilecek ve kimlik hırsızlığı, dolandırıcılık ve dolandırıcılık riskiyle karşı karşıya kalabilecek tüketicilerin savunmasızlığını da ortaya çıkardı.
Farklı şirketlerden çok sayıda siber güvenlik uzmanı, NPD ihlali ve bunun etkileri hakkında görüşlerini ve içgörülerini paylaştı. Clyde Williamson Protegrity’den, kuruluşların tüketicilerle paylaştıkları verileri korumaları ve gizlilik yasalarına uymaları gerektiğini vurguladı. Ayrıca, vatandaşların kişisel verilerini ele alma konusunda ABD yasalarının yetersizliğine ve veri aracıları için düzenleyici standartlara ihtiyaç duyulduğuna dikkat çekti. Kiran Chinnagannagari Securin’den NPD’nin, ihlale sızdırılan sosyal güvenlik numaralarını da dahil edene kadar sessiz kalmasından endişe duyduğunu ifade etti. Ayrıca kuruluşların ortaklarının ve üçüncü taraf satıcılarının siber güvenlik uygulamalarını değerlendirmeleri ve sağlamaları gerektiğini vurguladı. Ayan Hadler Traceable AI, zayıf KYC önlemlerinin oluşturduğu riskleri azaltmak için kullanıcıların platforma girdikten sonra nasıl davrandıklarını ve ne amaçladıklarını inceleyen niyet odaklı risk yönetiminin kullanılmasını önerdi.
Clyde Williamson, Ürün Yönetimi, Yenilikler, Protegrity
“Kuruluşlar canlılıkları için veri alışverişine güvenirler. Tüketiciler, Sosyal Güvenlik numaraları ve e-postalar gibi kişisel olarak tanımlanabilir bilgilerini (PII), işletmelerin bu verileri koruyacağı ve yetkisiz erişimi önlemek için gizlilik yasalarına uyacağı beklentisiyle paylaşırlar. Bu durumda, Ulusal Kamu Verileri (NPD), arka plan kontrollerinde kullanılmak üzere bireylerin PII’lerini kamuya açık kaynaklardan topladı ve bu da insanların verilerine erişilip erişilmediğini bilmemelerine ve müşterilerin işletmelere olan güveni ve verilerini güvence altına alma yetenekleri konusunda artan endişeleri vurguladı.
Özellikle, bu ihlal bir hafta boyunca duyurulmadı; şirket bunu açıklamadığı için sadece gün yüzüne çıktı ve daha önce bir davaya yol açtı. Ayrıca, bu ihlalin ayrıntılarını paylaşmaktan kasıtlı olarak kaçınıp kaçınmadıkları veya bunu kendilerinin mi keşfettikleri hala belirsiz. Bu, 21. yüzyılın zorluklarına hazırlıklı olmayan vatandaşların kişisel verilerini ele alma konusunda ABD yasalarının yetersizliğini vurguluyor. NPD gibi veri komisyoncuları da, kredi kartı verileriyle ilgili yıllık denetimler ve kontroller yapmakla yükümlü oldukları Ödeme Kartı Endüstrisi (PCI) gibi kurumlarla aynı düzenleyici standartlara tabi tutulmuyor. Şu anki durumda, ABD’nin böyle bir yükümlülüğü yok.
Büyük olasılıkla, çalınan veri setinin çoğu en savunmasız demografik gruplarımızdan birine ait: yaşlı vatandaşlar ve aileleri. Popüler bir dolandırıcılıkta, yaşlıya kötü bir haber veren bir avukat gibi davranan bir tehdit aktörü vardır: aile üyeleri başı derttedir ve paraya ihtiyacı vardır. Ve bir büyükanne veya büyükbaba, güvenilirliklerini doğrulamak için geçerli PII’leri varsa neden onlara inanmasın? Bu dolandırıcıların hayatları mahvetmek için birinin adına kredi açmaları gerekmez. Sadece, çalınan bilgileri, ilgili bir aile üyesinin banka hesabını boşaltmak için nasıl kullanacaklarını bilmeleri gerekir.
İhlaller ve saldırı yüzeyleri artmaya devam ettikçe, ihmal nedeniyle toplu dava davalarına güvenmek en iyi seçenek olamaz. Kuruluşlar şeffaflığa öncelik vermeli ve tüketici bilgilerini korumak için hassas verileri kimliksizleştirme çabalarını artırmalıdır. Geleneksel savunma mekanizmalarının ötesine geçmeli ve şifreleme ve belirteçleme gibi düzenleyici tarafından önerilen veri koruma stratejilerini benimsemelidirler. Bu yöntemler verileri saldırganlar için işe yaramaz hale getirerek çalınmasını ve kötü amaçlı kullanılmasını imkansız hale getirir. Bu korumaları uygulayarak, işletmeler çalınan verilerin değerini azaltabilir ve fidye yazılımı saldırılarının veya hileli faaliyetlerin uzun vadeli etkilerini hafifletebilir.”
Kiran Chinnagangannagari, Ürün ve Teknoloji Sorumlusu, Securin
“ABD vatandaşlarına ait milyonlarca kaydı tehlikeye atan şaşırtıcı Ulusal Kamu Verisi ihlalinin ardından, ihlale sızdırılan sosyal güvenlik numaraları dahil olana kadar şirketin sessizliği endişe verici olmaktan öte bir şey değil. Bu ihlal, toplu veri toplamanın oluşturduğu derin riskleri vurguluyor ve bu tür olayları yönetirken ve iletirken kurumsal sorumluluktaki bariz boşluklara ışık tutuyor. Bu kadar büyük hacimli kişisel verilerin şirketler ve özel dedektifler tarafından erişilebilir olması ve şimdi de derin ve karanlık web, bilgilerimizin gerçekte ne kadar iyi korunduğu konusunda ciddi şüpheler uyandırıyor. Bu ihlal, bu verilere kimin eriştiği ve sonrasında ne olduğu konusunda asgari düzeydeki denetimi açığa çıkarıyor.
Bu ihlal aynı zamanda bir uyarı niteliğinde olmalı ve kuruluşların sıkı veya daha katı düzenlemelere ve daha iyi uygulamaya yönelik kritik ihtiyacını vurgulamalıdır. Şirketler yalnızca ortaklarının ve üçüncü taraf satıcılarının siber güvenlik uygulamalarını değerlendirmekle kalmayıp, sorumlu tutulmalıdır. Veri işleyicilerinin sağlam savunmalara sahip olduğuna güvenmek artık yeterli değil; kuruluşlar tedarik zincirlerindeki her kuruluşun bu tür felaket ihlallerini önlemek için donanımlı olduğundan proaktif bir şekilde emin olmalıdır. Siber güvenlik uygulamalarının zamanı geldi, ancak iş yaptıkları her kuruluşun uygulamaları için de. Bu ihmalin devam etmesine izin vermek için riskler çok yüksek.”
Ayan Hadler, Kıdemli Ürün Yöneticisi, İzlenebilir Yapay Zeka
“Dolandırıcılar neredeyse tüm Amerikalı tüketicilerin KYC’sini atlatmak için gereken temel kişisel bilgilere eriştiğinde, soru artık kime güvenileceğidir? Niyet odaklı risk yönetiminin parladığı yer burasıdır. Niyet odaklı risk yönetimi, kullanıcıların platforma girdikten “sonra” nasıl davrandıklarına ve neyin peşinde olduklarına bakar ve kırılgan KYC önlemleriyle enjekte edilen risklerin çoğunu ortadan kaldırır.”
Reklam