Fransız Elektrik Sağlayıcısına, Kullanıcı Şifrelerini Zayıf Algoritmayla Sakladığı İçin Ceza Kesildi

Fransız veri koruma gözlemcisi, Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) gerekliliklerini ihlal ettiği için elektrik sağlayıcısı Électricité de France'a (EDF) 600.000 € para cezası verdi.

Commission nationale de l'informatique et des libertés (CNIL), elektrik şirketinin Temmuz 2022'de MD5 algoritmasını kullanarak 25.800'den fazla hesabın şifrelerini saklayarak Avrupa yönetmeliğini ihlal ettiğini söyledi.

Bir mesaj özet algoritması olan MD5'in, çarpışma saldırıları riski nedeniyle Aralık 2008 itibariyle kriptografik olarak bozuk kabul edildiğini belirtmekte fayda var.

Soruşturma ayrıca, GDPR veri saklama politikalarına uymadığı ve "toplanan verilerin kaynağı hakkında yanlış bilgi" sağladığı için EDF'yi işaret etti.

CNIL, "Para cezasının miktarına, gözlemlenen ihlaller ve şirketin işbirliği ve iddia edilen tüm ihlallere uyum sağlamak için yargılama sırasında aldığı tüm önlemler dikkate alınarak karar verildi."

Ceza, CNIL'in etkin olmayan hesaplar için veri saklama sürelerine uymaması ve güçlü bir parola politikası uygulamaması nedeniyle Discord'a 800.000 € para cezası vermesinden iki haftadan kısa bir süre sonra geldi.

Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;

• Kurumlarda KVKK, ISO27001 gibi standartlara uyumlulukta yüksek hassasiyet gösterilmelidir.

• Uyumluluğun sadece sertifikasyon sürecinde değil; sonrasında da devam etttiği kurum çalışanlarına hatırlatılmalıdır.

• Kurumlarda kullanılan güvenlik yöntemleri her zaman en güncel yöntemler olmalıdır.

• Kurum çalışanları siber güvenlik eğitimleri ile bilinçlendirilmelidir.

• Kurum çalışanlarına ve müşterilerine, KVKK hakkında gerekli bilgilendirilme yapılmalıdır.

Detaylı bilgi için ticket@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.