İngiltere'nin su tedarik şirketlerinden South Staffordshire Water, iki yıl süren bir siber saldırı sonucu 633 binden fazla kişinin kişisel verilerinin çalınması nedeniyle veri koruma düzenleyicisi tarafından yaklaşık 1 milyon sterlin (1,4 milyon dolar) para cezasına çarptırıldı. Şirket ve ana kuruluşu South Staffordshire PLC, Bilgi Komiserliği Ofisi'ne (ICO) orijinal 1,6 milyon sterlinlik cezanın yüzde 40 daha düşük bir miktarını ödemeyi kabul ederek cezaya itiraz etmemeyi tercih etti.
Olay, 11 Eylül 2020'de başarılı bir kimlik avı e-postasıyla başladı. Bu e-posta, Get2 indirici ve SDBbot uzaktan erişim truva atının (RAT) yüklenmesine yol açtı. Ancak ağ sızması neredeyse iki yıl boyunca fark edilmedi. Tehdit aktörü, 17 Mayıs 2022'de su şirketinin ağında yanal hareket etmeye başladı ve bir alan yöneticisi hesabı ile uzak masaüstü protokolü kullanarak 20 farklı uç noktaya erişti. İhlal, yalnızca 15 Temmuz 2022'de, 'planlanmamış veritabanı dışa aktarımları' nedeniyle yaşanan BT performans sorunları üzerine başlatılan bir inceleme sonucu keşfedildi.
Şirket, 26 Temmuz'da tehdit aktörünün bazı çalışanlara göndermeye çalıştığı ancak başarısız olan bir fidye notu buldu. Tehdit aktörü, South Staffordshire Water'dan 4,1 TB veri çaldığını iddia etti. Bu veriler, ICO'ya göre şirketin elinde bulunan tüm kişisel bilgilerin yaklaşık üçte birini (yüzde 34) oluşturan 633.887 mevcut ve eski müşteri ile çalışanı kapsıyordu. Karanlık ağda yayınlanan çalıntı veriler arasında tam ad, fiziksel ve e-posta adresi, doğum tarihi, cinsiyet, telefon numarası gibi kişisel bilgiler; Ulusal Sigorta numaraları dahil çalışan İK bilgileri; müşteri hesap bilgileri, banka hesap numarası ve sort kodu; ve engellilik durumunun anlaşılabileceği Öncelikli Hizmet Kaydı'ndaki müşterilere ait bilgiler yer alıyordu.
Teknik Analiz
ICO'nun soruşturması, şirketin güvenlik duruşunda birden fazla zafiyet olduğunu ortaya koydu. Bunlar arasında en az ayrıcalık politikasının uygulanmaması gibi sınırlı kontroller; BT ortamının yalnızca yüzde 5'inin izlenmesi gibi yetersiz izleme ve günlük kaydı; Windows Server 2003 gibi bazı cihazlarda eski, desteklenmeyen yazılımların kullanılması; ve kritik sistemlerin yamalanmaması ile düzenli iç veya dış güvenlik taramalarının yapılmaması gibi yetersiz güvenlik açığı yönetimi yer alıyordu.
Detaylar ve Etkileri
ICO'nun geçici düzenleyici denetim direktörü Ian Hulme, su müşterilerinin hangi şirketi kullanacakları konusunda seçim şansı olmadığını, bu nedenle tedarikçilerin veri koruma sorumluluklarını ciddiye almaları gerektiğini vurguladı. Hulme, 'South Staffordshire'ın almadığı önlemler, bilgisayar ağlarını korumak için yerleşik, yaygın olarak bilinen ve etkili kontrollerdir. ICO, tüm kuruluşların - özellikle de kritik ulusal altyapının bir parçası olarak büyük miktarda kişisel bilgi işleyenlerin - bunlara sahip olmasını bekler' dedi. 'Performans sorunlarını veya bir fidye notunu bekleyerek bir ihlali keşfetmek kabul edilemez. Proaktif güvenlik yasal bir zorunluluktur, isteğe bağlı bir ekstra değil.'
ICO, bu vaka hakkında güvenlik profesyonelleri için faydalı olabilecek kapsamlı bir rapor yayınladı. Düzenleyici, kuruluşları bu olay ışığında kendi dayanıklılık duruşlarını gözden geçirmeye ve şu soruları sormaya çağırdı: Verileriniz nerede ve nasıl korunuyor? Ağ izleme ve günlük kaydı yeterli mi? Eski sistemler güncellendi mi? Çalışanlar kimlik avı saldırılarına karşı eğitildi mi? En az ayrıcalık ilkesi uygulanıyor mu? Güvenlik açıkları düzenli olarak taranıp kapatılıyor mu? Bu sorular, kritik altyapı sektörlerindeki kuruluşlar için bir yol haritası niteliği taşıyor.
Kaynak: infosecurity-magazine.com