Avustralya’nın Gizlilikten Sorumlu Komisyon Üyesi Carly Kind, çevrimiçi şarap toptancısı Vinomofo Pty Ltd hakkında bir karar yayınladı ve şirketin, kişisel bilgilerini güvenlik risklerinden korumak için makul adımlar atmayarak yaklaşık bir milyon kişinin gizliliğine müdahale ettiğini tespit etti.
Karar, Avustralya Gizlilik İlkesi 11.1’in (APP 11.1) buluta geçiş projelerine yönelik en kapsamlı uygulamalarından birini temsil ediyor ve benzer altyapı geçişlerini gerçekleştiren kuruluşlar için kritik rehberlik sağlıyor.
Bulgular, 2022 yılında büyük ölçekli bir veri taşıma projesi sırasında meydana gelen ve 928.760 müşteri ve üyeye ait yaklaşık 17 GB verinin açığa çıktığı bir veri ihlalini takip ediyor. Karar, teknik güvenlik başarısızlıklarının ötesine geçiyor ve Komiser Kind’in tespit ettiği sistemik kültürel ve yönetişim eksikliklerini tespit ederek, Vinomofo’nun müşteri gizliliğine değer verme veya bu hususa dikkat etme konusundaki başarısızlığını ortaya koyuyor.
İhlal: Göç Yanlış Gitti
2022’de Vinomofo, şirketin “büyük veri taşıma projesi” olarak tanımladığı şeyin ortasında bir veri ihlali yaşadı. Yetkisiz bir üçüncü taraf, canlı web sitesinden ayrı olmasına rağmen gerçek müşteri bilgileri içeren bir test platformunda barındırılan şirketin veri tabanına erişim sağladı.
Açığa çıkan veri tabanında cinsiyet ve doğum tarihi dahil olmak üzere kimlik bilgileri, isimler, e-posta adresleri, telefon numaraları ve fiziksel adresler gibi iletişim bilgileri ve finansal bilgilerden oluşan yaklaşık 17 GB veri bulunuyordu. İhlal, ilk olarak güvenlik araştırmacısı Troy Hunt’ın olayı sosyal medyada işaretlemesiyle ortaya çıktı ve ardından yapılan soruşturma, çalınan verilerin Rusça dilindeki siber suç forumlarında satışa sunulduğunu ortaya çıkardı.
Ayrıca okuyun: Şarap Şirketi Vinomofo Veri İhlalini Doğruladı, 500.000 Müşteri Risk Altında
Test platformunun açığa çıkması, kuruluşlar bulut altyapısına geçtikçe giderek daha yaygın hale gelen temel bir güvenlik yanlış yapılandırmasını ortaya koyuyor. Test ve geliştirme ortamları sıklıkla üretim verilerini içerir ancak üretim sistemlerine göre daha az sıkı güvenlik denetimlerine tabi tutulur ve bu durum, bu güvenlik açığı modelini tanıyan tehdit aktörleri için cazip hedefler oluşturur.
Vinomofo’nun ilk basın açıklamaları ihlalin ciddiyetini küçümsemiş, şirketin “pasaport, ehliyet veya kredi kartı/banka bilgileri gibi kimlik veya mali verileri tutmadığını” vurgulamış ve müşterilere “hiçbir şifreye, kimlik belgesine veya mali bilgiye erişilmediği” konusunda güvence vermiştir. Ancak Gizlilik Komiseri’nin soruşturması, şirketin güvenlik duruşu ve yönetiminde daha önemli başarısızlıkları ortaya çıkardı.
Sonradan Düşünülen Bir Düşünce Olarak Gizlilik
Belki de tespitin en önemli bulgusu Vinomofo’nun organizasyon kültürüyle ilgilidir. Komisyon Üyesi Kind şu sonuca varmıştır: “Vinomofo’nun kültürü ve ticari duruşu, müşteri gizliliğine değer vermekte veya bu hususa gösterilen ilgiyi beslemekte başarısız olmuştur; bunun örnekleri, politika ve prosedürler, eğitim ve gizliliğe yönelik kültürel yaklaşımla ilgili başarısızlıklardır.”
Bu kültürel değerlendirme, gizliliğin korunmasına yönelik kurumsal önceliklendirmeyi incelemek için teknik güvenlik önlemlerinin ötesine geçer. Komiser, gizliliğin iş süreçlerine, karar alma çerçevelerine veya kurumsal değerlere dahil edilmediğini, operasyonlar için temel olmaktan ziyade ikincil düzeyde kaldığını gözlemledi.
Tespit, bu kültürel başarısızlığın belirli belirtilerini belirledi:
Politika ve Prosedür Eksiklikleri: Vinomofo, geçiş projeleri sırasında veri işlemeyi, test ortamları için güvenlik gerekliliklerini ve hassas müşteri bilgilerine yönelik erişim kontrollerini düzenleyen yeterli politikalardan yoksundu.
Eğitim Yetersizlikleri: Şirket, veri geçişi ve altyapı yönetimiyle ilgilenen personele yeterli gizlilik ve güvenlik eğitimi sağlayamadı ve bu da önlenebilir hatalara ve gözden kaçmalara neden oldu.
Kültürel Yaklaşım: Gizliliğe ilişkin hususlar stratejik planlamaya, risk yönetimine veya operasyonel karar alma süreçlerine entegre edilmedi ve gizlilik uyumluluğu temel bir iş zorunluluğundan ziyade bir onay kutusu uygulaması olarak ele alındı.
Bilinen Riskler Göz Ardı Edildi
Komiserin tespiti, Vinomofo’nun güvenlik yönetimindeki eksikliklerin farkında olduğunu ve 2022 olayından en az iki yıl önce güvenlik duruşunu iyileştirme ihtiyacının farkına vardığını ortaya çıkardı. Bu bulgu, ihlali talihsiz bir kazadan kasıtlı eylemsizliğin öngörülebilir bir sonucuna dönüştürüyor.
Kararda şunlar belirtiliyor: “Davalı, güvenlik yönetimindeki eksikliklerin farkındaydı ve Olaydan en az 2 yıl önce güvenlik duruşunu yükseltmesi gerekiyordu.” Bu farkındalık, karşılık gelen bir eylem olmadan, BT güvenlik fonksiyonunun ötesinde yönetim kurulu ve yönetici liderlik seviyelerine kadar uzanan kurumsal yönetim başarısızlığını göstermektedir.
Kuruluşlar, güvenlik iyileştirmelerini geciktirebilecek kaynak kısıtlamaları ve rekabet eden önceliklerle karşı karşıyadır. Ancak Komiser’in, Vinomofo’nun güvenlik eksikliklerini ihlalden iki yıl önce bildiği yönündeki bulgusu, öngörülemeyen durumlara ilişkin her türlü iddiayı ortadan kaldırıyor. Bu, neredeyse bir milyon müşteri için sonuçlar doğuracak şekilde gerçekleşen, hesaplanmış bir riski temsil ediyor.
“Makul Adımlar” Standardı
Karar, kişisel bilgileri elinde bulunduran kuruluşların bu bilgileri kötüye kullanım, müdahale, kayıp, yetkisiz erişim, değişiklik veya ifşaya karşı korumak için “koşullara göre makul olan adımları” atmasını gerektiren Avustralya Gizlilik İlkesi 11.1’e odaklanıyor.
Komiser, elinde bulunan kişisel bilgileri korumak için “davalı tarafından atılan adımların tamamının mevcut koşullar altında makul olmadığı” sonucuna vardı. Bu bütünsel değerlendirme, bireysel güvenlik kontrollerini değil, kurumsal bağlamı, tehdit ortamını ve veri hassasiyetini göz önünde bulundurarak kapsamlı güvenlik programını inceler.
Karar, özellikle bulut altyapı sağlayıcıları kullanılırken veri taşıma projeleri bağlamında “makul adımların” nasıl yorumlanması gerektiği konusunda değerli bir rehberlik sağlıyor. Önemli hususlar şunları içerir:
Bulut Güvenliği Sorumlulukları: Kuruluşlar gizlilik yükümlülüklerini bulut hizmeti sağlayıcılarına devredemez. Amazon Web Services (Vinomofo’nun veritabanını barındırdığı yer) gibi sağlayıcılar güvenlik özellikleri ve kontrolleri sunarken, bu kontrollerin doğru şekilde yapılandırılması ve yönetilmesinden müşteriler sorumlu olmaya devam ediyor.
Ortam Güvenliğinin Test Edilmesi: Gerçek müşteri verilerini içeren test ve geliştirme ortamlarının, o verilerin hassasiyetine uygun güvenlik kontrolleri alması gerekir. Üretim sistemlerinden ayrılma, kişisel bilgiler söz konusu olduğunda güvenlik yükümlülüklerini azaltmaz.
Göç Risk Yönetimi: Veri taşıma projeleri, verilerin birden fazla konumda bulunduğu, erişim kalıplarının değiştiği ve yapılandırmaların geliştiği geçiş dönemlerinde yüksek güvenlik riskleri oluşturur. Kuruluşların bu yüksek riskleri ele almak için geçişler sırasında gelişmiş kontroller uygulaması gerekir.
Farkındalık ve Eylem: Güvenlik eksikliklerini bilmek, bunların makul süreler içerisinde giderilmesi zorunluluğunu doğurur. Risklerin belirlenmesi ile azaltımların uygulanması arasındaki uzun süreli gecikmeler, APP 11.1 kapsamında makul olmayan davranış teşkil edebilir.
Paylaşılan Sorumluluk Yanlış Anlaşıldı
Kararın bulut altyapı sağlayıcısı yükümlülüklerine yaptığı vurgu, bulut güvenliğini yöneten paylaşılan sorumluluk modeliyle ilgili yaygın bir yanlış anlaşılmayı ele alıyor. Bulut sağlayıcıları altyapı ve güvenlik yetenekleri sunar, ancak müşterilerin verilerini korumak için bu yetenekleri uygun şekilde yapılandırması ve yönetmesi gerekir.
Vinomofo’nun açığa çıkan veritabanını depoladığı Amazon Web Services, şifreleme, erişim kontrolleri, ağ izolasyonu ve izleme yetenekleri dahil olmak üzere kapsamlı güvenlik özellikleri sağlar. Ancak bu özelliklerin müşteriler tarafından uygun şekilde uygulanması ve yapılandırılması gerekir. Yanlış yapılandırılmış bir S3 grubu, aşırı izin veren erişim politikaları veya yetersiz ağ kontrolleri, temeldeki platformun güvenlik özelliklerine rağmen verileri açığa çıkarabilir.
İhlalin, AWS’deki güvenlik açıklarından ziyade Vinomofo’nun AWS ortamını yapılandırması ve yönetmesinden kaynaklandığı görülüyor. Bu model, bulut veri ihlallerinde yaygın hale geldi; kuruluşlar, ölçeklenebilirlik ve maliyet avantajlarının cazibesine kapılan ancak bulut dağıtımlarını uygun şekilde güvence altına alacak uzmanlık veya özenden yoksun olan bulut platformlarına geçiyor.
Bulut altyapı sağlayıcılarını kullanan kuruluşlar için bu karar net beklentiler ortaya koyuyor:
Konfigürasyon Yönetimi: Kuruluşlar, güvenlik ayarlarının en iyi uygulamalarla ve veri koruma gereksinimleriyle uyumlu olmasını sağlayan sıkı yapılandırma yönetimi süreçlerini uygulamalıdır.
Erişim Kontrolleri: Bulut ortamları, en az ayrıcalık ilkelerine göre dikkatle tasarlanmış erişim kontrolü politikaları gerektirir. Bulut platformlarının esnekliği, uygun şekilde yönetilmediği takdirde aşırı erişime neden olabilir.
İzleme ve Tespit: Bulut platformları kapsamlı günlük kaydı ve izleme yetenekleri sağlar, ancak kuruluşların şüpheli etkinlikleri ve güvenlikle ilgili yanlış yapılandırmaları tespit etmek için bu yetenekleri aktif olarak kullanması gerekir.
Uzmanlık Gereksinimleri: Bulut ortamlarının güvenliğini sağlamak uzmanlık bilgisi gerektirir. Kuruluşlar, bulut altyapısını yöneten personelin uygun uzmanlığa sahip olmasını veya nitelikli danışmanlarla çalışmasını sağlamalıdır.
Düzeltici Beyanlar
Komiser, Vinomofo’nun belirli eylem ve uygulamaları durdurmasını gerektiren çeşitli beyanlarda bulundu, ancak kamuya yapılan duyuruda belirli ayrıntılar açıklanmadı. Bu beyanlar genellikle aşağıdaki gereksinimleri içerir:
Belirlenen eksiklikleri ele alan kapsamlı bilgi güvenliği programları uygulayın, kişisel bilgileri işleyen sistemlerde düzenli güvenlik değerlendirmeleri ve denetimler gerçekleştirin, ilgili personele gizlilik ve güvenlik eğitimi sağlayın, açık hesap verebilirlik ve gözetim ile gizlilik yönetimi çerçeveleri oluşturun ve özellikle geçiş projeleri sırasında veri işlemeyi düzenleyen politika ve prosedürleri gözden geçirip geliştirin.
Beyannameler, Vinomofo’nun özel durumunun ötesinde birçok amaca hizmet ediyor. Benzer bulut geçişlerini gerçekleştiren veya müşteri verilerini geniş ölçekte yöneten diğer kuruluşlar için bir yol haritası sağlarlar. Kabul edilebilir minimum güvenlik uygulamaları hakkında düzenleyici beklentiler oluştururlar. Ve benzer arızaları ele alırken gelecekteki yaptırım eylemlerinin referans alabileceği emsal oluştururlar.