Birleşik Krallık Bilgi Komiserliği Ofisi, Mart 2023’te 6,6 milyon kişinin kişisel bilgilerinin açığa çıkmasına neden olan büyük bir siber saldırının ardından Capita’ya 14 milyon £ ceza verdi.
Ceza, 8 milyon £ alan Capita plc ile 6 milyon £ para cezasına çarptırılan yan kuruluşu Capita Pension Solutions Limited arasında paylaştırıldı.
Bu ihlal, Capita’nın desteklediği 600’den fazla kuruluşa ait emeklilik kayıtları, personel bilgileri ve müşteri ayrıntıları da dahil olmak üzere milyonlarca kişiye ait hassas verileri tehlikeye attı.
Birçok kurban için çalınan bilgiler arasında finansal veriler, sabıka kayıtları ve diğer hassas kişisel ayrıntılar yer alıyordu.
Saldırı özellikle emeklilik planı sağlayıcılarını etkiledi; 325 kuruluş Capita Pension Solutions Limited aracılığıyla verilere maruz kaldı.
Saldırı Nasıl Gelişti?
Siber saldırı, 22 Mart 2023’te bir çalışanın yanlışlıkla kötü amaçlı bir dosya indirmesiyle başladı.
Capita’nın güvenlik sistemleri yalnızca 10 dakika içinde yüksek öncelikli bir uyarı vermesine rağmen şirket, virüslü cihazı karantinaya almadan önce 58 saat bekledi.
Bu kritik gecikme, bilgisayar korsanlarına kötü amaçlı yazılımları ağa yaymak, yönetici erişimi elde etmek ve sistemler arasında serbestçe hareket etmek için bolca zaman verdi.
29-30 Mart tarihleri arasında saldırganlar Capita’nın sistemlerinden yaklaşık bir terabaytlık veri çalmayı başardılar.
31 Mart’ta fidye yazılımı dağıttılar ve tüm kullanıcı şifrelerini sıfırlayarak Capita personelini kendi ağlarından etkin bir şekilde kilitlediler. ICO, bu güvenlik hatasından etkilenen kişilerden en az 93 şikayet aldı.
ICO’nun araştırması Capita’nın güvenlik uygulamalarındaki ciddi zayıflıkları ortaya çıkardı.
Şirket, yönetici hesapları için uygun kontrolleri uygulama konusunda başarısız oldu ve bu da bilgisayar korsanlarının ayrıcalıklarını artırmasına ve birden fazla alan adındaki kritik sistemlere erişmesine olanak tanıdı.
Bu güvenlik açığı, saldırıdan önce üç ayrı durumda tespit edilmiş ancak hiçbir zaman düzeltilmemişti.
Capita’nın Güvenlik Operasyon Merkezi’nde de personel sayısı yetersizdi ve güvenlik uyarıları için hedeflenen bir saatlik yanıt süresi sıklıkla kaçırılıyordu.
Ekip, olaydan en az altı ay önce bu önemli son teslim tarihlerini sürekli olarak karşılayamadı.
Ayrıca şirket, yalnızca sistemler ilk kurulduğunda penetrasyon testi gerçekleştirdi ve milyonlarca hassas kaydı işleyen sistemler için bile hiçbir zaman takip testleri gerçekleştirmedi.
ICO başlangıçta Capita’ya 45 milyon £ para cezası vermeyi planlamıştı ancak şirketin cevabını değerlendirdikten sonra cezayı 14 milyon £’a düşürdü.
Capita, etkilenen müşterilere Experian aracılığıyla 12 ay boyunca ücretsiz kredi izleme olanağı sundu ve destek için özel bir çağrı merkezi kurdu. Kredi izleme hizmetini 260.000’den fazla kişi etkinleştirdi.
Birleşik Krallık Bilgiden Sorumlu Komisyon Üyesi John Edwards, her büyüklükteki kuruluşun siber güvenliği ciddiye alması gerektiğini vurguladı.
Uygun güvenlik önlemleri alındığında ihlalin ölçeğinin önlenebileceğini, siber suçluların beklemediğini, dolayısıyla işletmelerin müşteri verilerinin korunmasını geciktirmeyi göze alamayacağını belirtti.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.