Birleşik Krallık veri koruma yetkilileri, şirketin daha sonra bir fidye yazılımı saldırısında çalınan binlerce kişinin bilgilerini düzgün bir şekilde güvence altına alamadığını tespit ettikten sonra NHS tedarikçisi Advanced’e 6 milyon £’dan fazla geçici para cezası verdi.
Birleşik Krallık Bilgi Komiserliği ofisi yaptığı açıklamada, Ağustos 2022 fidye yazılımı saldırısının arkasındaki siber suçluların “başlangıçta çok faktörlü kimlik doğrulaması olmayan bir müşteri hesabı aracılığıyla Advanced’in bir dizi sağlık ve bakım sistemine eriştiklerini” belirledikten sonra para cezası verdiğini söyledi.
Advanced’e yapılan siber saldırı, o dönemde Birleşik Krallık genelinde NHS hizmetlerinde yaygın bir kesintiye yol açmış, NHS’nin acil olmayan 111 hattında kesintilere neden olmuş ve hastaneleri ve tıbbi muayenehaneleri haftalarca kalem ve kağıda başvurmak zorunda bırakmıştı. Etkilenen NHS vakıflarındaki doktorlar, hasta kayıtlarına erişemediklerini bildirdi.
Saldırının araştırılmasına yardımcı olan olay müdahale firması Mandiant, saldırıda LockBit fidye yazılımı çetesi tarafından kullanılan kötü amaçlı yazılımın kullanıldığını söyledi; Ancak LockBit, karanlık web sızıntı sitesindeki siber saldırının sorumluluğunu hiçbir zaman kamuya açık bir şekilde üstlenmedi. Bu, saldırıya uğrayan bir şirketin fidye ödemiş olabileceğinin bir göstergesi olabilir. Advanced daha önce ödeme yapıp yapmadığını söylemeyi reddetmişti.
Advanced, Ekim 2022 itibarıyla olay sonrası raporunda, siber suçluların “meşru üçüncü taraf kimlik bilgilerini kullanarak” Advanced’in ağına girdiğini, bunun da hesapta çok faktörlü kimlik doğrulamasının olmadığını ima ettiğini söyledi.
Şimdi ICO bunu doğruluyor gibi görünüyor.
ICO, gözlemcinin Advanced’in geçici olarak “saldırıdan önce işlediği kişisel bilgileri korumak için uygun güvenlik önlemlerini uygulamayarak veri koruma yasasını ihlal ettiğini” söylemesinin ardından geçici olarak 6,09 milyon £ (7,75 milyon $) para cezası vereceğini söyledi.
Gözlemci ayrıca siber saldırının Birleşik Krallık’ta 83.000’e yakın kişinin telefon numaraları, tıbbi kayıtlar ve “evde bakım gören 890 kişinin evlerine nasıl girileceğine” ilişkin ayrıntılar da dahil olmak üzere çalınmasına yol açtığını doğruladı. ICO dedi.
Bekçi, cezanın geçici olduğunu, bunun da cezanın değişebileceği anlamına geldiğini söyledi. ICO Komiseri John Edwards, gözlemcinin bu davayı kısmen “gelecekte benzer olayları önlemek” amacıyla halka açma kararı aldığını söyledi.
Edwards, “Tüm kuruluşları, özellikle de hassas sağlık verileriyle ilgilenenleri, dış bağlantıları acilen çok faktörlü kimlik doğrulamayla güvence altına almaya çağırıyorum” dedi.
Advanced Sözcüleri yayınlanmadan önce yorum talebine yanıt vermedi.
Kaynak: https://techcrunch.com/2024/08/06/uk-data-watchdog-fines-nhs-vendor-advanced-for-security-failures-prior-to-lockbit-ransomware-attack/