İngiltere ceza savunma avukatı, fidye yazılımı vurduğunda yama yapmamıştı
İngiliz avukat, kritik güncellemeyi yüklemenin 5 ay sürdüğünü kabul ettikten sonra para cezasına çarptırıldı.
Ceza savunma hukuku firması Tuckers Solicitors, 2020’de bir fidye yazılımı saldırısında toplanan dava işlemleriyle ilgili bilgileri içeren verileri gerektiği gibi güvenceye almadığı için Birleşik Krallık’ın veri gözlemcisi tarafından para cezasına çarptırıldı.
Londra merkezli işletme, Bilgi Komisyonu Ofisi tarafından AB Genel Veri Koruma Yönetmeliği 2018*’in 83.
İhlal ilk olarak Tuckers tarafından 23 Ağustos 2020’de BT sisteminin bir parçası kullanılamaz hale geldiğinde fark edildi. Daha yakından incelendiğinde, yerleşik teknisyenler, saldırganlardan altyapının bir kısmını ele geçirdiklerini doğrulayan bir not buldu. Microsoft Exchange sunucusu çalışmıyordu ve o sırada şirket blogunda ayrıntılı olarak açıklandığı üzere iki günlük e-postalar kayboldu .
ICO, ihlalin 25 Ağustos 2020’de Tuckers tarafından ICO’ya bildirildiğini söyledi.
Gözlemcinin para cezası bildirimine [PDF] göre, “ne” avukat ne de hırsızlığı araştırmak için görevlendirilen üçüncü taraf uzman, yetkisiz girişin tam yerini doğrulayamadı, ancak “bilinen bir sistem güvenlik açığına dair kanıt buldu.”
Tuckers, ICO’ya Haziran 2020’de isimsiz güvenlik açığını yamaladığını söyledi, ancak yamanın o yılın Ocak ayında yayınlandığını ve avukatın bu beş aylık dönemde “saldırganın onu sömürebileceğini kabul ettiğini” söyledi. CVE, 9.8 veya “kritik” bir CVSS aldı.
Raporda, saldırgan ağın içine girdikten sonra kendi hesaplarını oluşturdular ve bunu daha geniş saldırıyı başlatmak için kullandılar ve “Tuckers ağındaki arşiv sunucusunda tutulan vaka paketlerinde bulunan önemli miktarda kişisel veriyi” şifrelediler.
Tuckers, arşiv sunucusunda tutulan verilerin şifrelenmediğini ICO’ya kabul etti. Bu, saldırıyı engellemezdi, ancak veri öznelerine yönelik riski azaltabilirdi.
Suçlular daha sonra 24.712’si mahkeme paketleriyle ilgili olan 972.191 bireysel dosyayı şifreledi. ICO, şifrelenmiş paketlerden 60’ının “saldırgan tarafından sızdırıldığını ve yeraltı veri pazarlarında serbest bırakıldığını” söylüyor.
Tuckers, şirket blogunda, dark web’e atılan verilerin 60.000 potansiyel müşteriden 60 müşteriye ait olduğunu, dolayısıyla bunun avukat için en kötü sonuç olmadığını söyledi. En güzel saati de bu değildi.
ICO, “İhraç edilen 60 mahkeme paketi, 15’i ceza mahkemesi işlemleri ve 45 hukuk davasıyla ilgiliydi. Elden geçirilen 60 mahkeme paketinden, kişisel veriler yalnızca bir canlı bireyle ilgili değildi, muhtemelen birden fazla kişiyi içeriyordu,” dedi. raporunda.
Suçluların davaları, Suç Gelirleri Yasası aşamasında sadece bir dava ile sonuçlandı. Hukuk davaları, arşivlenmiş ve canlı davaların bir karışımıydı. Tuckers, ICO’ya, anladığı kadarıyla, güvenlik ihlalinin “ilgili işlemlerin yürütülmesi veya sonucu üzerinde herhangi bir etkisi olmadığını” söyledi.
ICO, paketlerdeki kişisel verilerin, çocuklar veya önemli suçlara karışanlar gibi savunmasız bireylerle ilgili özel kategori verileri içerdiğini ve bu durumun “bu ihlalin ciddiyetini” artırdığını söylüyor.
Tuckers, Ağustos 2020’deki blogunda şunları söyleyerek fidyeyi ödemeyi reddetti: “Ne yazık ki saldırganlarımız için, ağırlıklı olarak adli yardım sektöründen gelire sahip bir suç savunma firmasını para sızdırmak amacıyla hedef almak aptalca bir iş.”
Bu nedenle işletme, sunucularını Eylül 2020’ye kadar yeni bir ortama taşıdı, ancak “saldırgan tarafından ele geçirilen veriler geri yüklenmeden”, bunun “kalıcı olarak kaybolduğunu” söyledi, ancak paketlerdeki malzeme hala mevcuttu. Eklediği vaka yönetim sistemi.
ICO’dan elde edilen sonuç, olayın birincil nedeninin açıkça fidye yazılımı suçlularına veya suçlularına ait olduğuydu.
Yine de yama uygulanmamış bir güvenlik açığı “saldırgana istismar etmesi için bir zayıflık verdi” ve kişisel verilerin ciddi doğası, yaptırım eylemini haklı çıkaracak şekildeydi.
“Tuckers’ın işlediği kişisel verilerin son derece hassas yapısı, güvenlik güncellemelerinin durumu ve bunlara yönelik uygulama maliyetleri dikkate alındığında, Tuckers’ın kişisel verileri bilinen kritik güvenlik açıklarını içeren bir altyapı üzerinde işlememesi gerekirdi. Riski uygun şekilde ele almadan” diyor rapor.
Metnin aslına ulaşmak için:
https://www.theregister.com/2022/03/15/brit_solicitor_fined_for_failing/
Verilen ceza metnine ulaşmak için:
https://ico.org.uk/media/action-weve-taken/mpns/4019746/tuckers-mpn-20220228.pdf