ICO – İhlal Kararı- Cathay Pasific Airways Limited – 500.000£

Cathay Pacifi,  veritabanlarına  yapılan, sayısız şifre veya kelimenin, nihayetinde doğru tahmin edileceği umuduyla girilmesi şeklinde gerçekleşen,  kaba kuvvet saldırısının gerçekleştiği Mart 2018’deki şüpheli aktiviteler sonucunda durumun farkına vardı.Olay Cathay Pacific’i bir siber güvenlik şirketini işe almaya yöneltti ve ardından onlar da durumu ICO’ya bildirdiler.

ICO,  Cathay Pacific’e intenete bağlı bir server üzerinden girildiğini ve veri toplamak için bir malware yüklendiğini açığa çıkardı. ICO’nun soruşturması sırasında bulunan bir dizi hata şunlardır: Yedek dosyaları şifre korumalı olmaması, yamalanmamış internet dağıtım server’ı (unpatched internet-facing servers), geliştirici tarafından artık desteklenmeye işletim sistemi kullanılması ve yetersiz antivirüs koruması

ICO, soruşturmalar müdürü Steve Eckersley, diyor ki:

“Kişisel verilerini bir şirkete sunan kişiler haklı olarak bu detaylarının herhangi bir potansiyel zarar ya da dolandırıcılığa karşı korunması sağlanacak şekilde saklanmasını beklerler. Burada ise durum böyle değildi.

Bu ihlal, özellikle Cathay Pacific’in temel güvenlik yetersizliklerinin sayısı dikkate alındığında, hackerlara kolayca sisteme giriş imkanı vermiştir. Bulduğumuz çok sayıdaki ciddi eksiklik, beklediğimiz standartın çok altında yer almaktadır. En temel düzeyde, havayolları Ulusal Siber Güvenlik Merkezi’nin temel Siber Gereklilikler Rehberinde yer alan 5 kuraldan 4’ünü karşılayamamıştır.

Veri Koruma Kanunu çerçevesinde kurumlar, uygun güvenlik önlemlerine ve bilgisayar sistemlerine herhangi sızma girişimini mümkün olduğu kadar zorlaştırmayı sağlayacak şekilde güçlü politikalara sahip olmalıdırlar.”

Güçlendirilmiş Birleşik Krallık ve Avrupa veri koruma kanunları 2018 yılında yürürlüğe girmiştir, ancak bu olayların meydana geldikleri tarihler nedeniyle, ICO soruşturmasını 1998 tarihli Veri Koruma Kanunu  çerçevesinde gerçekleştirmiştir. ICO, bu ihlalin 1998 Tarihli Veri Koruma Kanunu’nun, yetkisiz erişimlerin ya da hukuka aykırı şekilde kişisel veri işlenmesinin önlenmesi adına uygun teknik ve idari tesbirlerin alınması gerektiğini belirten, 7. Maddesine ciddi bir şekilde aykırı olduğunu tespit etmiştir.

Ek olarak lider  bir siber güvenlik şirketinden derhal uzman desteği almak adına harkete geçmenin yanı sıra   Cathay Pacific etkilenen bireylere uygun şekilde bilgilendirme sağlamış ve ICO soruşturmasında işbirliği yapmıştır.

Soruşturmanın detaylı bilgileri para cezası bildiriminde bulunabilir.

Editörlere Notlar

1. 2010 tarihli Veri Koruma (Para Cezaları) Kararının 4. maddesine  uyarınca, para cezası bildiriminin 18. maddesi aşağıdaki şekilde değiştirilmiştir:

a) Cathay Pacific’s sistemlerine en eski yetkisiz erişim tarihi  15 Ekim 2014 değil,  14 Ekim 2014’tür.

b) Kişisel veriye yetkisiz şekilde erişilen en eski tarih 2 Temmuz 2015 değil, 7 Şubat 2015’tir.

2. Bilgi Komiserleri Ofisi (ICO) Birleşik Krallık’ta veri koruma ve bilgi alma hakkı hukukunda bağımsız bir düzenleyici kurumdur, kamu yararı adına bilgi alma hakkını üstün tutar, kamu kurumlarının açıklığını ve bireyler için veri gizliliğini teşvik eder.

3. ICO’nun, 2018 tarihli Veri Koruma Kanunu (DPA2018), Genel Veri Koruma Tüzüğü (GDPR), 2000 tarihli  Bilgi Özgürlüğü Kanunu  (FOIA), 2004 tarihli Çevresel Bilgi Düzenlemeleri (EIR) ve 2003 tarihli Gizlilik ve Elektronik İletişim  Düzenlemeleri (PECR)’nde belirtilen belili sorumlulukları vardır.

4. Genel Veri Koruma Tüzüğü (GDPR) 25 Mayıs 2018’den itibaren Birleşik Krallık’ta uygulanmaya başlamış olan yeni bir veri koruma kanunudur. Bu kanunun hükümleri 2018 Tarihli Veri Koruma Kanunu’nda da yer almaktadır. Kanun ayrıca hukuki yaptırımlar ve güvenlik gibi GDPR’da yer almayan alanlarda daha geniş bir veri koruma reformu ile ilgili tedbirler içermektedir. Birleşik Krallık’ın AB’den çıkma kararı GDPR’ın uygulanmasını etkilemeyecektir.

5. Soruşturma konusu olayların meydana geldiği tarih nedeniyle, para cezası daha önceki 1998 Tarihli Veri Koruma Kanunu çerçevesinde verilmiştir. Önceki kanunlara göre, hukuk davalarındaki maksimum mali ceza 500,000£’dir.

6. Geçmiş tarihli ve şu an ki kanuna göre, ICO, kişisel bilgi toplayan, kullanan ve saklayan kurumların ve bireylerin davranışını değiştirecek aksiyonu alabilir. Bu aksiyon cezai soruşturma, cezai olmayan yaptırım ve soruşturmayı içerir.

7. 25 Mayıs 2018’den bu yana, ICO, bir veri sorumlusuna 17 milyon £ (20m Euro) ve toplam cirosunun %4’üne kadar bir hukuki para cezası (CMP) uygulama gücüne sahiptir.

8. Ödenecek herhangi bir para cezası Hazine Konsolide Fonu’na ödenir ICO’da tutulmaz.

9. ICO’ya iletmek istediğiniz herhangi bir husus için ico.org.uk/concerns adresine gidiniz.