GündemSiber Ataklar

Birleşik Krallık İdarecileri, 2017’de veri ihlali/ kaybından dolayı Equifax’a £500,000 para cezası kesti.

İngiltere’nin “watchdog”gizlilik gözlemcisi tarafından tespit edilen geçen yılki ciddi veri ihlali nedeniyle, milyonlarca müşterisinin kişisel ve finansal verilerinin çalınmasından dolayı Atlanta merkezli tüketici kredisi raporlama acentesi Equifax’a  £500.000 para cezası tebliğ edildi.

Evet, bu verilen £500,000 ceza, İngiltere’nin 1998’de çıkan Veri Koruma Yasası tarafından izin verilen maksimum para cezasıdır, ancak bu ceza, 16 milyar dolarlık bir şirket için küçük bir rakamdır.

Bu yıl Temmuz ayında, İngiltere’nin “veri koruma gözlemcisi” watchdog, sosyal medya devi Facebook’un, vatandaşlarının verilerinin çalınmasını önlemek durumunda başarısız olduğunu söyleyerek,özel bilgilerin yanlış kişilerin eline düşürmesinden dolayı Cambridge Analytica scandal olarak adlandırdığı olay da, Facebook’u en yüksek para cezası olan £500,000’a çarptırdı.

Geçmişteki olaylar: Equifax Veri İhlali 2017

Equifax, geçen yıl mayıs ayı ortasından temmuz ayı sonuna kadar dünya çapında 145 milyon kişinin son derece hassas bilgilerinin büyük bir veri ihlali ile açığa çıkmasına sebep oldu.

Çalınan bilgiler içerisinde yüzbinlerce tüketiciye ait; mağdurların isimleri, doğum tarihleri, telefon numaraları, ehliyet bilgileri, adresleri ve sosyal güvenlik numaraları ile birlikte kredi kartı bilgileri ve kişisel olarak tanımlayan bilgiler (PII)  vardı.

Veri ihlali, şirketin kritik bir Apache Struts2 güvenlik açığını (CVE-2017-5638) zamanında yamalamadığı için oldu, zaten belirtilen yamalar saygın şirketler tarafından kendilerine verilmişti.

Neden İngiltere bir ABD şirketine para cezası verdi?

 İNGİLTERE’NİN Bilgi Komiserliği Ofisi (ICO), Finansal Davranış Kurumu ile müşterek bir veri ihlali soruşturması başlattı ve sonuçta ülkenin Veri Koruma Yasası altındaki en yüksek ceza olan  £500,000’a eşdeğer olan 665,000 $  para cezasını verdi.

ICO , ABD’deki Equifax şirketi , siber saldırı tehlikesine rağmen, 15 milyon UK müşterilerinin kişisel bilgilerini korumak için şirket  “uygun adımlar atamadı” dedi.

ICO soruşturması, kullanıcıların kişisel bilgilerini gerekenden daha uzun süre tutmanın şirkette “birden çok aksaklığı” ortaya çıkardığını gösterdi ve bu da şöyle sonuçlandı:

*İngiltere deki 19,993 müşterinin; isimleri, doğum tarihleri, telefon numaraları ve ehliyet bilgileri’nin deşifre olmasına maruz kaldılar.

*İngiltere de 637.430 müşterinin isimleri, doğum tarihleri ve telefon numaraları ifşa edildi.

*15 milyona yakın İngiliz müşterilerinin isimleri ve doğum tarihleri ifşa edildi.

*Yaklaşık 27.000 İngiliz’in de e-posta hesap bilgi ve adresleri çalındı.

*15.000 İngiliz müşterisinin de isimleri, doğum tarihleri, adresleri, hesap kullanıcı adları ve şahsi şifreleri, hesap kurtarma için gizli sorular ve cevapları, gizlenmiş kredi kartı numaraları ve harcama tutarları bilgisayar korsanları tarafından çalınmıştı.

Sızıntı, Equifax’da birden çok hatanın sonucu oldu.

ICO, Equifax’ın Mart 2017’de ABD İç Güvenlik Bakanlığı (DHS) tarafından sistemlerinde kritik bir Apache Struts2 güvenlik açığı konusunda uyarıldığını ancak şirketin sorunu çözmek için uygun adımlar atmadığını söyledi.

Öncelikle, şirketin iç soruşturmasında belirlenen sızıntı haberlerini bir ay süre ile gizli tuttuğu ve bu süreçte Equifax üç üst düzey yöneticinin neredeyse 2 milyon dolar değerindeki hisselerini satmak için zaman kazandığı bildirildi, ancak şirket bu iddiaları reddetti.

AB’nin genel Veri Koruma Yönetmeliği (GDPR) Mayıs 2018’de yürürlüğe girmeden önce veri ihlali gerçekleştiğinden, İngiltere’nin eski Veri Koruma Yasası 1998 kapsamında uygulanan 500.000 £ ‘ lık maksimum para cezası, hâlâ fazla değil.

GDPR çıktıktan sonra gerçekleşseydi ceza çok daha fazla olabilirdi, eğer olsaydı şirket, böyle bir gizlilik ihlali için 20 milyon Avro veya yıllık küresel gelirinin yüzde 4’ü hangisi daha yüksek ise bir para cezası ile karşı karşıya kalabilirdi.

ICO’nun cezasına yanıt olarak, Equifax, şirketin soruşturma boyunca ICO ile tamamen işbirliği yaptığını ancak “Tespit sonucunda verilen cezanın hayal kırıklığına uğradığını” söyledi.

Equifax çarşamba günü ICO’dan para cezası tebliği aldı, ancak cezayı temyiz edebilir.

Etiketler
Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir