İsveç’in veri koruma otoritesi Integritetsskyddsmyndigheten (IMY), büyük bir veri ihlalinin yaklaşık 1,5 milyon kişinin kişisel bilgilerini açığa çıkarmasının ardından soruşturma başlattı.
Olay, BT tedarikçisi Miljödata’nın büyük ölçekli bir fidye yazılımı saldırısına uğradığı Ağustos ayına kadar uzanıyor. Tedarikçi, Gotland, Halland, Kalmar, Varberg, Umeå, Luleå, Kiruna, Mönsterås, Karlstad ve Skellefteşgibi bölgeler de dahil olmak üzere İsveç genelinde belediye ve bölgesel müşterilere hizmet vermektedir. İhlalin 200’den fazla belediye ve bölgeyi etkilediği bildirildi.
Bilgisayar korsanları, karanlık ağda büyük hacimli kişisel verilere erişmeyi ve bunları yayınlamayı başardı. Güvenliği ihlal edilen veriler arasında isimler, tıbbi sertifikalar, rehabilitasyon planları, mesleki yaralanma kayıtları ve diğer hassas sağlık verileri yer alıyor. IMY, ihlalin tam kapsamının henüz belirlenmediğini söyledi ancak olayın ciddiyetini vurguladı.
İsveç Sivil Savunma Bakanı Carl-Oskar Bohlin durum hakkında kamuoyuna açıklama yaptı. X’te yayınlanan bir açıklamada, hükümetin bu tür siber saldırıları ve BT olaylarını çok ciddiye aldığını belirtti ve mağdurların karşılaşabileceği endişe ve belirsizliği kabul etti.
IMY, Miljödata ve Göteborg şehri, Älmhult belediyesi ve Västmanland bölgesi de dahil olmak üzere etkilenen birçok kuruluş hakkında ayrıntılı soruşturmalar başlattı. Düzenleyici, incelemesini diğer kuruluşları da kapsayacak şekilde genişletebileceğini belirtti. IMY Kamera Gözetim Birimi Başkanı Jenny Bård, ihlalin “güvenliğin neye benzediği ve sistemlerde ne tür kişisel verilerin depolandığı hakkında bir dizi soruyu gündeme getirdiğini” söyledi.
Bu aşamada IMY, soruşturmanın tamamlanması için bir zaman çizelgesi sunmadı ve Miljödata, fidye yazılımı aktörlerinin sistemlerine nasıl sızmayı başardıklarını henüz kamuya açıklamadı.
Dava, üçüncü taraf BT sağlayıcılarının oluşturduğu riskin altını çiziyor. Tek bir tedarikçi ihlali, çok sayıda kamu kurumunu ve İsveç nüfusunun önemli bir bölümünün sağlık verilerini etkiledi. Gözlemciler, bunun kamu sektörü kuruluşlarının hizmet sağlayıcılarını nasıl seçtikleri ve denetledikleri konusunda daha fazla incelemeye yol açabileceğini söylüyor. Sağlık ve mesleki veriler son derece hassas olduğundan, etkilenen kişiler, bilgilerin kötüye kullanılması durumunda hem gizlilik riskleriyle hem de potansiyel ayrımcılıkla karşı karşıya kalabilir.
Etkilenen belediyeler için acil zorluklar arasında hangi bireylerin etkilendiğinin belirlenmesi, İsveç’in veri koruma yasası kapsamında bilgilendirilmesi ve kötüye kullanımı önlemek için iyileştirme ve izlemenin uygulanması yer alacak. Açığa çıkan verileri depolayan veya işleyen belediye yetkilileri de itibar kaybı ve düzenleyici yaptırımlarla karşı karşıya kalabilir.
Avrupa genelinde düzenleyiciler bu tür olaylara çok dikkat ediyor. İsveç’in soruşturması, hizmet sağlayıcılara yönelik fidye yazılımı saldırılarının büyük ölçekli kişisel veri olaylarına dönüşebileceğine dair daha geniş bir endişeyi yansıtıyor. Bu durumda, bir buçuk milyondan fazla kişinin verileri halihazırda kamuya açık hale getirilmiş olabilir ve bu da düzenleyicinin tepkisinin aciliyetini artırıyor.
Soruşturmalar devam ederken IMY, gelecekte benzer olayların daha az olası olması için derslerin çıkarılması ve zayıflıkların ele alınması gerektiğini savunuyor. Düzenleyicinin odak noktası, ihlalin bu kadar geniş bir alana yayılmasına izin veren yetersiz erişim kontrolleri, zayıf tedarikçi gözetimi veya izinsiz girişin tespit edilmesindeki gecikmeler gibi potansiyel eksiklikleri belirlemek olacaktır.
Etkilenen kişiler kişisel hesaplarını ve ilgili iletişimlerini izlemelidir. Sağlıkla ilgili veriler söz konusu olduğundan, olağandışı temas belirtilerini, beklenmedik sağlık veya sigorta iletişimlerini ve kimlik hırsızlığı girişimlerini kontrol etmek isteyebilirler. Kamu kurumları ve bireyler, çok faktörlü kimlik doğrulamanın güçlendirilmesinden, satıcı erişim politikalarının gözden geçirilmesinden ve dış kaynaklı tedarikçi düzenlemelerinin güvenlik denetimlerinin yapılmasından yararlanabilir.