Geçtiğimiz günlerde ABD’li kredi derecelendirme şirketi Equifax, 143 milyon ABD'li müşterisinin bilgilerinin etkilendiği bir veri ihlali tespit ettiklerini duyurmuştu. Şirketten yapılan ilk açıklamaya göre, yetkisiz erişim Mayıs ayının ortasından Temmuz 2017'ye kadar sürdü. Bilgisayar korsanları bir güvenlik açığından faydalanıp Equifax’ın şirket dosyalarına sızarak, müşterilerin sosyal güvenlik numaralarını, doğum tarihlerini, adreslerini, ehliyet bilgilerini ve bunun yanında 209.000 müşteriye ait kredi kartı bilgisi ile kredi raporu anlaşmazlıklarında yer alan yaklaşık 182.000 müşterinin kimlik bilgisini içeren kişisel verileri ele geçirdi.
44 milyon İngiliz’in kişisel bilgileri risk altında
İhlal nedeniyle yalnızca ABD'li tüketiciler risk altında değil. Equifax, İngiltere ve Kanada’daki bazı müşterilerin de sınırlı kişisel bilgilerine yetkisiz erişim tespit ettiklerini kabul etti. The Telegraph'ın yayınladığı bir rapora göre ise potansiyel İngiliz kurbanların sayısı 44 milyon olarak belirlendi. Birleşik Krallık'ın tahmini nüfusunun yaklaşık 65 milyon olduğu düşünülürse, bu ihlal açık bir felaket niteliğinde. İngiltere'de birçok şirket Equifax'ın kredi kontrol servislerini, birini müşteri olarak kabul etmek isteyip istemediklerine karar verirken kullanıyor. Kısacası, Equifax'la asla doğrudan bir anlaşma yapmamış olanların bile kişisel verileri bilgisayar korsanlarının elinde olabilir.
İngiltere Bilgi Komisyonu Ofisi (ICO), siber suçluların saldırısından etkilenen İngiliz müşterilerin mümkün olan en kısa sürede uyarılması için Equifax’a çağrıda bulundu ve İngiliz vatandaşları adına ABD’li yetkili makamlar ile birlikte çalışacağını açıkladı. ICO’dan James Dipple-Johnstone, "Equifax'ta yaşanan önemli veri ihlalinin İngiliz vatandaşlarının üzerindeki potansiyel etkileri endişe veriyor. İngiltere’deki kaç kişinin etkilendiği ve ne tür kişisel verilerin ele geçirildiğini tespit etmek için Equifax ile doğrudan temas halindeyiz.” ifadelerinde bulundu.
Halihazırda kimlik bilgilerinin tehlikede olduğunu ve gelecekte yaşayabilecekleri potansiyel sorunları bilmemekte olan milyonlarca tüketici var. Kimlik hırsızları, kimsenin haberi olmadan doğum tarihi, isim, adres ve sosyal güvenlik numarası gibi kişisel bilgileri sahte hesap açmak, kredi veya kredi kartı almak hatta bir ev almak için bile kullanabilirler.
Equifax’ın kaybı büyük
Equifax, üç büyük kredi derecelendirme şirketinden biri ve 820 milyondan fazla bireysel tüketicinin yanı sıra 91 milyon işletmenin de bilgilerine sahip. Equifax ihlalinin, geçen yıl Yahoo'nun 1.5 milyar müşterisinin bilgilerini etkileyen saldırının ardından ikinci büyük veri ihlali olduğu, etkilenen kişi sayısının ise üç yıl önce JPMorgan Chase & Co.'nun uğradığı finans sektöründeki en büyük veri ihlalinden neredeyse iki kat fazla olduğu belirtiliyor.
Equifax hisse senetlerinin değeri ihlalin açıklanmasından bu yana %20’den fazla düşüş gösterdi. Şirket, Equifax yetkililerinin ihlal tespit edildikten kısa bir süre sonra ihlali gizleyerek 1.8 milyon dolar değerinde hisse sattıkları iddiasına karşı, yöneticilerin o sırada bir saldırı gerçekleştiğine dair hiçbir bilgiye sahip olmadıklarını belirtti.
Wall Street’e göre, Equifax'ın devasa veri ihlali şirkete 4 milyar dolara mal oldu. William Blair'deki analistler ise, Equifax'ın bu krizle baş etmeyle ilgili maliyetlerinin 200 milyon dolar ile 300 milyon dolar arasında gerçekleşebileceğini tahmin ediyor.
Ponemon Institute tarafından yapılan son araştırma, veri ihlallerinin hisse değerini ve müşteri bağlılığını nasıl etkilediğini açıkça gözler önüne sermişti. İhlalin ilanından önceki 30 gün ve sonrasındaki 90 gün hisse senedi değerlerini takip ederek yapılan analiz sonucunda, ihlalin açığa çıkmasının hemen ardından hisse senedi değerinin ortalama %5 düştüğü ortaya çıkmıştı. Araştırmaya katılan 113 şirket arasında %2’den az müşteri kaybı oranına sahip olanların ortalama 2.67 milyon dolar, müşterilerinin %5’inden fazlasını kaybeden şirketlerin ise ortalama 3.94 milyon dolarlık gelir kaybı yaşadığı görülmüştü.
Şirketinizi korumak için ne yapmalısınız?
Veri ihlalinin sonuçları şirketleri dalgalandırabilir, yıkıcı ve uzun vadeli mali sonuçlar doğurabilir. Bunlar arasında itibar ve müşteri kaybı, gelirlerde düşüş, rekabet avantajı kaybı ve çalışanların üretkenlikte yetersiz kalmaları sayılabilir. ABD'de yaşayanların neredeyse yarısını, İngiltere’de yaşayanların ise yaklaşık 3’te 2’sini potansiyel olarak etkileyen Equifax saldırısına benzer veri ihlallerine karşı şirketinizi nasıl koruyacağınızı merak ediyor olabilirsiniz. Dünyada 500 milyondan fazla kullanıcıyı koruyan global güvenlik yazılımları şirketi Bitdefender Antivirüs, şirketleri siber saldırganların kurbanı olmamaları için uyarıyor ve önemli tavsiyelerde bulunuyor.
• Dijital varlıklarınızın envanterini ve bulunduğu yeri temiz tutun, böylece siber suçlular sizin haberiniz olmadan sisteminize saldıramaz.
• İşletim sisteminiz ve uygulamalarınız dahil bütün yazılımları güncelleyin.
• Personellerin cihazlarındaki bilgiler dahil, bütün verileri her gün yedekleyin. Böylece eğer saldırıya uğrarsanız, şifrelenen verileri geri yükleyebilirsiniz. Önemli verileri mutlaka bilgisayarınıza ve ağınıza bağlantısı olmayan güvenli bir ortamda da yedekleyin.
• Bütün verileri şirketinizin ortak dosya paylaşım ağına koymayın. Paylaşım ağınızı bölümleyin.
• Şirket çalışanlarını siber güvenlik hakkında bilgilendirin. Bilinmeyen kaynaklardan gelen e-posta eklerini ve linkleri açmamaları konusunda onları uyarın. Unutmayın ki, bir şirket ancak en zayıf halkası kadar güvendedir.
• Eğer bir virüs şirket ağına erişirse, çalışanları bilgilendirecek bir iletişim stratejisi geliştirin.
• Herhangi bir saldırı olmadan önce, olması durumunda ne yapacağınızı yönetim kurulu ile kararlaştırın.
• Belirli cihaz ya da uygulamaların, satıcılarıyla iletişime geçip, yaşam döngülerinde siber güvenliklerini tekrar gözden geçirerek tehdit analizi uygulaması yapın.
• Bilgi güvenliği ekibine penetrasyon testi uygulamaları ve bir güvenlik açığı varsa bulmaları için talimat verin.
•Tüm cihazlarınız için zararlı yazılımları, kimlik avı ve saldırı girişimlerini tespit edip engelleyecek akıllı bir güvenlik çözümü edinin.
