Outsourcer Interserve siber saldırıyı durdurmadığı için 4,4 milyon sterlin para cezasına çarptırıldı | interserve

İngiltere’nin veri gözlemcisi, bilgisayar korsanlarının 113.000’e kadar çalışanın kişisel ve finansal bilgilerini çalmasını sağlayan bir siber saldırının ardından inşaat grubu Interserve’i 4,4 milyon sterlin para cezasına çarptırdı.

Saldırı, Interserve bir dış kaynak işi yürüttüğünde ve “Savunma Bakanlığı da dahil olmak üzere müşterilerle hükümete stratejik bir tedarikçi” olarak atandığında meydana geldi. Banka hesap bilgileri, ulusal sigorta numaraları, etnik köken, cinsel yönelim ve din ele geçirilen kişisel bilgiler arasındaydı.

Bilgi Komisyonu Ofisi (ICO), Interserve Group’un iki yıl önce meydana gelen siber saldırıyı önlemek için uygun önlemleri almadığı için veri koruma yasasını çiğnediğini söyledi.

Interserve’in sistemi, bir çalışanın indirdiği bir kimlik avı e-postasını durduramadı ve ardından gelen bir virüsten koruma uyarısı gerektiği gibi araştırılmadı. Saldırı, 283 sistemin ve 16 hesabın güvenliğinin ihlal edilmesine, Interserve’in anti-virüs sisteminin kaldırılmasına ve mevcut ve eski çalışanların tüm bilgilerinin şifrelenmesine neden oldu.

ICO, Interserve’in eski yazılım sistemleri ve protokolleri kullandığını, yeterli personel eğitimi ve yetersiz risk değerlendirmeleri olduğunu söyledi.

İngiltere bilgi komisyoncusu John Edwards, “Bu veri ihlali, Interserve personeline gerçek zarar verme potansiyeline sahipti, çünkü onları kimlik hırsızlığı ve mali dolandırıcılık olasılığına karşı savunmasız bıraktı” dedi.

“Kapıyı siber saldırganlara açık bırakmak, özellikle de insanların en hassas bilgileriyle uğraşırken asla kabul edilemez. İşletmelerin karşılaştığı en büyük siber risk, şirketlerinin dışındaki bilgisayar korsanlarından değil, şirketlerindeki gönül rahatlığından kaynaklanmaktadır.”

ICO, hangisi daha yüksekse, maksimum 17,5 milyon sterlin veya küresel yıllık cironun %4’ü kadar para cezası uygulayabilir. Bir şirket hafifletici argümanlar sunabiliyorsa, para cezasının seviyesini düşürmeyi seçebilir.

ICO, Interserve tarafından yapılan açıklamaları “dikkatli bir şekilde değerlendirdikten” sonra, şimdiye kadar verdiği en büyük dördüncü ceza olan para cezasını düşürmemeye karar verdiğini söyledi.

Para cezasının seviyesi hakkında yorum yapan Edwards, “Amaç, direktörlerin ve başkanların oturup baş yöneticilere siber hazırlık hakkında sorular sormaya başlamasını sağlamak” dedi.

Ocak ayında komisyon üyesi olarak beş yıllık görevine başlayan Edwards, ICO’nun yaklaşık 80 aktif soruşturması olduğunu ve yılda yaklaşık 500 soruşturma açıldığını söyledi.

Bilgisayar korsanlarının, ödeme yapılırsa bir şirkete veri verdiği fidye yazılımı saldırılarının, ICO’nun uğraştığı en yaygın siber saldırı türü olduğunu söyledi. Fidye ödemenin “verileri korumak için makul bir adım olarak görülmediği” için para cezasının seviyesini düşürmeyeceği konusunda uyardı ve ekledi: “Verileri kurtarmak için fidye ödenmesinin hafifletici bir faktör olduğunu kabul etmeyeceğiz.”

Geçen ay, bekçi TikTok’a, 2018 ve 2020 yılları arasında çocukların mahremiyetini korumadığı için 27 milyon sterline kadar çıkabilecek potansiyel bir para cezasının habercisi olan bir “niyet bildirimi” yayınladı.

Ocak ayında, ICO ve GCHQ’nun bir parçası olan Ulusal Siber Güvenlik Merkezi (NCSC), Rusya’nın Ukrayna’yı işgali yaklaşırken İngiltere şirketlerini dijital güvenliklerini güçlendirmeye çağırdı.