Çalınan kişisel veriler için fidye ödediler

Kanadalı tıbbi analiz laboratuvarı Lifelabs, sistemlerine saldırarak 15 milyon hastanın verilerini çalan hackerlara fidye ödeyerek verilerini kurtardığını düşünüyor. Ancak verilerinin ifşa edilmeyeceği konusunda bir garantisi bulunmayan bu karar aslında tehlikeli bir oyun. 

Bunu ne kadar söylesek az, ancak bilgisayar korsanlarına ele geçirdikleri verilerinizi kurtarmak için ödeme yapmak çok kötü bir fikir. Yine de, Kanada tıbbi analiz laboratuvarı LifeLabs,  geçen Kasım ayında, adlar, adresler, e-postalar da dahil olmak üzere 15 milyon hastasının verilerinin çalınması ile sonuçlanan bir siber saldırının kurbanı olduktan sonra tam da bunu yaptı. Çalınan veriler arasında yalnızca doğum tarihleri ve sosyal güvenlik numaraları değil aynı zamanda 85.000 müşterinin laboratuvar test sonuçları da var. (ÇN: Sağlık verilerinin özel nitelikli veri olduğunu bir kez daha hatırlatalım.)

Verileri çalınan firma yapabileceği her şeyi denedi ve tamamen köşeye sıkıştırıldığını düşünmüş olmalı ki verilerin uçup gittiğini görmek yerine bilgisayar korsanlarına ödeme yapmayı tercih etti. Firmadan bir fidye istenip istenmediği ve/veya saldırganlara yapılan ödemenin miktarı hakkında kamuoyu ile bir bilgi paylaşılmadı. Firmanın yaşadığı çaresizliği anlamakla beraber, bu tür durumlarda korsanların verileri gerçekten iade edeceğinden veya çaldıkları verileri kopyalayıp, karanlık web satmayacaklarından emin olmanın mümkün olmadığını da bilmek gerekiyor. 

SİBER GÜVENLİK UZMANLARININ TAVSİYESİ

---

ProPrivacy gizlilik memuru Ray Walsh, “LifeLabs, çalınan verilerin karanlık web de dahil olmak üzere çevrimiçi ortamlarda paylaşılmadığını garanti ediyor ama açıkçası bu son derece iyimser bir düşünce.” diyerek görüş belirtiyor. “Hackerlara rehin aldıkları veriler için fidye ödemek son derece tartışmalı bir durumdur ve bilgisayar korsanının bir kez harddisklerine kaydettiği bu verileri yarın, gelecek hafta veya bundan bir yıl sonra satışa çıkarmayacağını kimse garanti edemez” diye de ekliyor. 

Firma gerçekten de doğru bir şekilde yönlendirildi mi?

---

Durum böyle olmayabilir: Laboratuvar yaptığı basın açıklamasında  siber suçlulara yapılan ödemenin “siber saldırılar ve siber suçlularla müzakere konularında tecrübeli  güvenlik uzmanlarına  danışılarak” yapıldığını belirtiyor. Laboratuvar basın açıklamasında “Suçluların yararlandığı sistem açıklarımızı düzelttik ve benzer bir güvenlik tehdidi yaşamamıza engel olacak ek önlemler almak için yoğun bir şekilde çalıştık. Bu duyuruyu, şeffaflık kuralları gereği  ve veri gizliliği ile ilgili yasal düzenlemelere uygun olarak, tüm müşterilerimizi bilgilendirmek için yapıyoruz ”dedi.