شرکت خدمات برون سپاری Interserve Group توسط دفتر کمیساریای اطلاعات 4.4 میلیون پوند جریمه شده است (ICO) تنظیم کننده بریتانیا، به دلیل نقض قانون حفاظت از داده ها؛ ناتوانی در حفظ امنیت اطلاعات شخصی کارکنان خود
این ICO پیدا شد که شرکت – منحل شد امسال – نتوانست امنیت مناسبی برای جلوگیری از حمله سایبری داشته باشد، که هکرها را قادر میسازد تا از طریق ایمیل فیشینگ به اطلاعات شخصی 113000 کارمند دسترسی داشته باشند. دادههای به خطر افتاده شامل اطلاعات شخصی مانند جزئیات تماس، شمارههای بیمه ملی و جزئیات حساب بانکی و همچنین دادههای دستهبندی خاص از جمله منشاء قومی، مذهب، جزئیات هر گونه معلولیت، گرایش جنسی و اطلاعات بهداشتی بود.
کمیسر اطلاعات جان ادواردز گفت: “بزرگترین خطر سایبری که مشاغل با آن روبرو هستند از هکرهای خارج از شرکت آنها نیست، بلکه ناشی از رضایت درون شرکت آنها است. اگر کسب و کار شما به طور منظم فعالیت های مشکوک در سیستم های خود را رصد نمی کند و به هشدارها عمل نمی کند، یا نرم افزار را به روز نمی کند و به کارکنان آموزش نمی دهد، می توانید انتظار جریمه مشابهی را از دفتر من داشته باشید.
«باز گذاشتن درها به روی مهاجمان سایبری هرگز قابل قبول نیست، به ویژه هنگامی که با حساس ترین اطلاعات افراد سروکار داریم. این نقض اطلاعات پتانسیل ایجاد آسیب واقعی به کارکنان Interserve را داشت، زیرا آنها را در برابر احتمال سرقت هویت و کلاهبرداری مالی آسیب پذیر می کرد.
«حملات سایبری یک نگرانی جهانی است و کسبوکارها در سرتاسر جهان باید اقداماتی را برای محافظت از خود راضی کنند. ICO و NCSC هماکنون برای ارائه مشاوره و پشتیبانی به کسبوکارها با یکدیگر همکاری میکنند، و این هفته من با تنظیمکنندههای سراسر جهان ملاقات خواهم کرد تا در راستای راهنماییهای سایبری بینالمللی منسجم کار کنم تا از دادههای افراد در هر کجا که یک شرکت مستقر است محافظت شود.
در مورد قضیه
ICO گفت که این حمله سایبری بین 30 مارس و 2 می 2020 رخ داده است (یعنی در اولین قرنطینه به دلیل همهگیری کووید، شرکت در مارس 2019 وارد اداره شده بود). یک کارمند Interserve (که از خانه کار می کند) یک ایمیل فیشینگ را که توسط IT شرکت قرنطینه یا مسدود نشده بود، به کارمند دیگری که آن را باز کرده و محتوای آن را دانلود کرده است، ارسال کرد. این منجر به نصب باج افزار بر روی ایستگاه کاری کارمند شد.
آنتی ویروس این شرکت بدافزار را قرنطینه کرد و یک هشدار ارسال کرد، اما شرکت نتوانست به طور کامل تحقیق کند. دیده بان گفت که اگر آنها این کار را می کردند، شرکت متوجه می شد که مهاجم هنوز به سیستم های شرکت دسترسی دارد. با تشکر از حساب در معرض خطر، مهاجم به مرحله دوم حمله خود رفت. در 1 و 2 می 2020 (جمعه و شنبه) 283 سیستم و 16 حساب کاربری را در معرض خطر قرار داد و نرم افزار ضد ویروس این شرکت را حذف نصب کرد. اطلاعات شخصی تا 113000 کارمند فعلی و سابق در چهار پایگاه داده منابع انسانی رمزگذاری شده است – یعنی شرکت از آن قفل شده است.
در 2 می، Interserve این پیام را در سرور خود یافت که هک شده است و با مرکز ملی امنیت سایبری رسمی بریتانیا (NCSC) تماس گرفت.
ICO دریافت که Interserve در پیگیری هشدار اولیه یک فعالیت مشکوک شکست خورده است، از سیستمها و پروتکلهای نرمافزاری قدیمی استفاده میکند، و کمبود آموزش کارکنان و ارزیابی ریسک دارد که باعث آسیبپذیری آنها شده است. Interserve از 40 سرور استفاده می کرد که مایکروسافت به پشتیبانی از آنها پایان داده بود. برخلاف سیاست خود شرکت در مورد آموزش، یکی از دو کارمندی که ایمیل فیشینگ را دریافت کرده بود، آموزش حفاظت از داده را ندیده بود. باز هم که برخلاف سیاست شرکت بود.
درخواست Interserve در مورد “محدودیت های مالی” آن، سازمان دیده بان را تحت تأثیر قرار نداد و اشاره کرد که این شرکت می توانست برخی کارها را با هزینه کم یا بدون هزینه انجام دهد. Interserve که شرکتی را برای نظارت بر وب تاریک استخدام کرده بود، اظهار داشت که هیچ مدرکی دال بر استخراج داده وجود ندارد و ICO اذعان کرد که این شرکت از زمان سال 2018 تاکنون “سرمایه گذاری های مالی قابل توجهی” در افزایش امنیت فناوری اطلاعات خود (از جمله استخدام) انجام داده است. حادثه. ICO دریافت که این حادثه نتیجه سهل انگاری بوده است. در مورد اینکه آیا ماههای فوقالعاده کووید بهانه بود یا خیر، ICO قبول کرد که همهگیری این فرصت را به هکرها داد تا به شبکه شرکت دسترسی پیدا کنند. اما «بازیگران مخرب» پس از آن توانستند از «روشهای امنیتی سهل انگارانه» در شبکه IT سوء استفاده کنند – یعنی بدون توجه به کووید. ICOها یافته های منتشر شده اعلام نکرد که آیا Interserve درخواست باجافزاری دریافت کرده است یا اینکه آیا آن را پرداخت کرده است.
نظرات
یوهان درایر، مدیر فنی EMEA فیلد در شرکت سایبری Mimecast این هشدار جدی را 4.4 میلیون پوند خواند. این شرکت سایبری دریافته است که میانگین پرداخت حمله باج افزار برای سازمان هایی که با موفقیت هدف قرار گرفته اند بیش از 600000 پوند است. او گفت: «ما همچنان شاهد افزایش این حملات سایبری هستیم که نیاز سازمانها به جدی گرفتن حفاظت از دادهها را برجسته میکند. کسبوکارها با اطلاعات حساس ذینفعان سروکار دارند و بسیار مهم است که سازمانها به اندازه کافی از آن محافظت کنند و بدانند دقیقاً کجا ذخیره شده است و چه کسی میتواند به آن دسترسی داشته باشد.»
و AJ Thompson، CCO در شرکت فناوری اطلاعات Northdoor plc گفت: «متاسفانه Interserve تنها شرکتی نخواهد بود که به طور موثر در مورد دفاع سایبری سر خود را در شن و ماسه رها کرده است. بسیاری از آنها یا اقدامات لازم را برای محافظت از خود انجام نمی دهند یا به سادگی تحت فشار قرار می گیرند. تلاش بسیار کمی برای مجرمان سایبری لازم است تا ابزارهایی را به دست آورند که به آنها امکان دسترسی آسان به سیستم های یک شرکت را می دهد، کسب و کارها باید کارهای بسیار بیشتری انجام دهند تا آنها را دور نگه دارند.
بخشهایی که توسط ICO بهعنوان دلیل جریمه مشخص شده برای برخی شوکهکننده خواهد بود، اما در واقع تصویری دقیق از تعداد شرکتهایی را نشان میدهد که خود، کارمندان و مشتریانشان را ناامید میکنند. این واقعیت که شرکتی به بزرگی و با منابع Interserve قادر به بهروزرسانی نرمافزار نبود، یک نظارت آشکار است و در عین حال به راحتی قابل حل است.
یکی دیگر از زمینههایی که ICO روی آن متمرکز شد، سطح ناکافی آموزش کارکنان بود. این مشکلی است که در بسیاری از شرکت ها وجود دارد و در عین حال آنها را به شدت در برابر حمله آسیب پذیر می کند. کارکنان اغلب به عنوان ضعیف ترین حلقه در استراتژی امنیتی یک شرکت توصیف می شوند و بنابراین رها کردن آنها بدون مهارت های لازم برای شناسایی و مقابله با یک تهدید سایبری بالقوه، اساساً درب ورودی شما را باز می کند.
و کریس وان، معاون مدیریت حساب فنی – EMEA و جنوب آسیا در شرکت سایبری Tanium، گفت: “این حادثه از روندی پیروی می کند که من هنگام کار با سازمان ها برای تقویت استانداردهای امنیت سایبری خود می بینم: بسیاری از آنها هنوز بیش از حد بر اقدامات واکنشی تمرکز می کنند. موارد پیشگیرانه
«روایتی در بسیاری از تیمهای فناوری اطلاعات پدیدار شده است که حملات آنقدر پیچیده میشوند که نمیتوان آنها را متوقف کرد، و بنابراین تلاشهای آنها باید به جای جلوگیری از آنها، بر واکنش به حوادث امنیتی متمرکز شود. با این حال، من آنها را تشویق می کنم که بیشتر روی اقدامات پیشگیرانه تمرکز کنند که می تواند تأثیر نقض را به حداقل برساند یا به طور کلی از آنها جلوگیری کند. گزارش اخیر تانیوم نشان داد که 90 درصد از مدیران فناوری اطلاعات بریتانیا موافق بودند که “اکثر حملات سایبری که ما در سازمان خود تجربه کردهایم به نحوی قابل اجتناب بوده است”. آنها قابل اجتناب هستند زیرا نقض اغلب به دلیل چیزهای ساده ای مانند وصله نشدن دستگاه کار یا کلیک کردن یک کارمند روی پیوند در ایمیل فیشینگ، همانطور که در مورد Interserve دیدیم، ایجاد می شود.
منبع: https://www.professionalsecurity.co.uk/news/case-studies/interserve-fined-4-4m-after-malware-hit/