2016 yılında yaşadığı siber saldırıda hesap sahiplerini koruyamadığı iddia edilen Tesco Bank, 16,4 milyon sterlin cezaya çarptırıldı.
Tesco Bank, Kasım 2016’da gerçekleşen siber saldırı olayında bankadaki hesap sahiplerini korumadığı için Mali İdare Kurulu (Financial Conduct Authority – FCA) tarafından 16,4 milyon sterlin (yaklaşık 30 milyon dolar) para cezasına çarptırıldı. Genel mali suç kontrolleri yapan FCA, Tesco Bank’ın banka kartlarının altyapısında “öngörülebilir riskler” şeklinde tanımladığı açıklar tespit etti. Bahsi geçen bu güvenlik açıklarının siber suçlular tarafından 48 saatten fazla süre kullanıldığı, müşterilerin bilgileriyle birlikte 2,26 milyon sterlin paranın da çalındığı kurum tarafından açıklandı.
Siber saldırıları bankalardan çok regülatörler ciddiye alıyor
Bankayı inceleme altına alan yetkililer, müşterilerine yeterli güvenliği sağlayamadıkları için Tesco Bank’a ceza yağdırdılar.
FCA Piyasa Gözetimi ve İcra Direktörü Mark Steward, “Saldırı başladıktan sonra Tesco Bank’ın olması gerektiği ölçüde önlem almadığını tespit ettik. Bankanın uyarı mekanizması çok ama çok geç çalıştı. Normal şartlarda müşteriler hiç riske maruz kalmamış olmalıydı” açıklamasında bulundu.
Tesco Bank Müdürü Gerry Mallon ise, “Bu dolandırıcılık saldırısının müşterilerimiz üzerindeki etkisinden dolayı çok üzüldük. Önceliğimiz, her zaman müşterilerimizin hesaplarının güvenliği olup, FCA’nın bildirimini tamamen kabul etmekteyiz. Müşterilerimizin hesaplarının en yüksek düzeyde koruma düzeyine sahip olmasını sağlamak için güvenlik önlemlerimizi önemli ölçüde geliştirdik” ifadeleriyle bankasını savundu.
Ceza çok daha büyük olabilirdi
FCA, normal şartlarda Tesco Bank’ın 30 milyon sterlinin üzerinde bir cezayla karşı karşıya kalması gerektiğini vurguladı. Düzenleyiciler tarafından yapılan açıklamada, bankanın yüksek düzeyde iş birliği sağlamasının yanı sıra, yetkisiz biçimde gerçekleştirilen işlemlerin önemli bir yüzdesini durdurmayı başardıkları için cezada indirime gittikleri vurgusu yer aldı.
İlk yapılan tespitlerde, 40 bin Tesco Bank müşterisinin parasının çalındığı düşülmüştü. Detaylı biçimde gerçekleştirilen incelemenin ardından, tahmin edilenden yüzde 50 daha az mağdur müşteri olduğu anlaşıldı. Saldırıya maruz kaldıkları tespit edilen kullanıcılara hem paraları, hem de tazminatları teslim edildi.
FCA, saldırı olasılığını daha önceden tespit edebilen ve riskleri azaltacak altyapılar kurulması konusunda bankaya uyarılarda bulundu.
Gelecekte daha yüksek cezalar verilecek
Barclays İnovasyon Birimi Eski Başkanı Paul Farrington verdiği demeçte, FCA tarafından yapılan soruşturmayı ve Tesco Bank’a verilen cezayı olumlu karşıladığını söyledi. Siber saldırılara karşı bankaların savunmasız kalmalarının bugün bile yaşanabileceğini, gelecekte yaşanacak siber saldırılarda bankaların daha büyük cezalarla karşı karşıya kalabileceklerini aktardı.
Farrington yaptığı açıklamada, “Tesco saldırısı, GDPR gibi yeni veri koruma düzenlemelerinin uygulanmasından önce gerçekleşti. Bu nedenle düzenleyiciler, faaliyet gösterebildikleri yetkiyle uygun eylemde bulundular. Bu para cezası, kuruluşların zayıflıklarını ve sınırlarını dikkate almanın ne kadar kritik olduğunu hatırlatıyor. Gelecekte daha sert cezalar olacak. Kurumlar bilişim altyapılarını yeniden değerlendirmeli. Hassas verileri koruma ve uyumluluğun sağlanmasına yardımcı olmak adına yazılımlarını, web uygulamalarını ve ağlarını güvence altına almalılar” ifadelerini kullandı.