İngiltere'de Su Şirketine Veri İhlali Nedeniyle 1 Milyon Sterlin Ceza Siber Güvenlik

İngiltere'de Su Şirketine Veri İhlali Nedeniyle 1 Milyon Sterlin Ceza

İngiltere'de faaliyet gösteren South Staffordshire Water, 633 binden fazla kişinin verilerini ifşa eden siber saldırı nedeniyle 1 milyon sterlin para

İngiltere'de faaliyet gösteren South Staffordshire Water ve ana şirketi South Staffordshire PLC, veri koruma düzenleyicisi Bilgi Komiserliği Ofisi (ICO) tarafından yaklaşık 1 milyon sterlin (1,4 milyon dolar) para cezasına çarptırıldı. Ceza, iki yıl süren bir siber saldırı sonucu 633 binden fazla kişinin kişisel bilgilerinin ifşa edilmesi nedeniyle kesildi. Şirketler, cezaya itiraz etmeme karşılığında orijinal 1,6 milyon sterlinlik cezanın yüzde 40 daha düşük olan bu miktarı ödemeyi kabul etti.

Saldırı, 11 Eylül 2020'de başarılı bir kimlik avı e-postasıyla başladı. Bu e-posta, Get2 indiricisi ve SDBbot uzaktan erişim truva atının (RAT) sisteme sızmasına neden oldu. Ancak ağ ihlali neredeyse iki yıl boyunca fark edilmedi. 17 Mayıs 2022'de tehdit aktörü, bir alan yöneticisi hesabı ve uzak masaüstü protokolü kullanarak su şirketinin ağında yanal hareket etmeye başladı ve 4 Ağustos'a kadar 20 farklı uç noktaya erişti. İhlal, ancak 15 Temmuz 2022'de 'planlanmamış veritabanı dışa aktarımları' nedeniyle oluşan BT performans sorunları üzerine başlatılan bir soruşturma sonucu tespit edildi. Dokuz gün sonra şirket, düzenleyiciye kişisel veri ihlali bildiriminde bulundu.

Tehdit aktörü, South Staffordshire Water'dan 4,1 TB veri çaldığını iddia etti. Bu veriler, 633.887 mevcut ve eski müşteri ile çalışanı kapsıyordu. ICO'ya göre bu, şirketin elinde bulundurduğu tüm kişisel bilgilerin yaklaşık üçte birini (yüzde 34) oluşturuyordu. Karanlık ağda yayınlanan çalıntı veriler arasında tam ad, fiziksel ve e-posta adresi, doğum tarihi, cinsiyet ve telefon numarası gibi kişisel bilgiler; çalışanlara ait Ulusal Sigorta numaraları; müşteri hesap bilgileri ile banka hesap numarası ve sort kodu; ve engellilik durumunun anlaşılabileceği Öncelikli Hizmet Kaydı'ndaki müşterilere ait bilgiler yer alıyordu.

ICO, şirketin güvenlik duruşunu birçok açıdan yetersiz buldu. Bunlar arasında, ayrıcalık yükseltmeye izin veren sınırlı kontroller (en az ayrıcalık politikasının uygulanmaması), BT ortamının yalnızca yüzde 5'inin izlenmesi, Windows Server 2003 gibi eski ve desteklenmeyen yazılımların kullanımı, yamalanmamış kritik sistemler ve düzenli iç veya dış güvenlik taramalarının yapılmaması yer alıyor. ICO geçici icra direktörü Ian Hulme, su müşterilerinin hangi şirketi kullanacakları konusunda seçim şansı olmadığını, bu nedenle sağlayıcıların veri koruma sorumluluklarını ciddiye alması gerektiğini vurguladı. ICO, tüm kuruluşların, özellikle de kritik ulusal altyapının bir parçası olarak büyük miktarda kişisel bilgi işleyenlerin bu kontrolleri uygulamasını bekliyor.

Paylaş: