La Ulusal Sigorta ve Tahvil Komisyonu (CNSF)Meksika'daki sigorta ve kefalet sektörünün düzenleyici kurumu, bir sıkıntı yaşadığını kabul etti. siber güvenlik olayı Bu durum, aracı kimlik doğrulama sistemine yetkisiz erişimin önünü açtı. Olay, şu tarihte tespit edildi: Ocak 30Piyasada ortaya çıkan bilgi miktarı ve bunun aracıların ve kullanıcıların güveni üzerindeki olası etkisi nedeniyle endişeler artmıştır.
Komisyonun kendisi ısrarla şunu belirtse de Kritik sistemlerin veya hassas son kullanıcı veritabanlarının hiçbirine zarar verilmemiştir.Bu dava, Meksika kamu kurumlarına yönelik siber saldırıların gündemde olduğu ve mevcut koruma önlemlerinin giderek daha karmaşık hale gelen siber suçlu gruplarını durdurmak için yeterli olup olmadığı konusunda soruların gündeme geldiği bir dönemde ortaya çıktı.
CNSF saldırısı nasıl gerçekleşti ve hangi bilgiler açığa çıktı?
Yapılan açıklamaya göre CNSF ve Maliye ve Kamu Kredisi BakanlığıAjans tespit etti Sunucunuzda barındırılan bilgilere yetkisiz erişim kimlik kartı sistemi Sigorta ve kefalet sektöründeki aracıların resmi akreditasyonunu sağlayan kayıtlar bunlar. sigorta ve kefalet acenteleriHem bireylerin hem de tüzel kişilerin Meksika topraklarında faaliyet göstermesine izin verilmesi.
Komisyon şunu vurgulamaktadır: Sızdırılan verilerin çoğu kamuya açık bilgilerdir.Bu bilgiler zaten profesyonel ve aracı lisanslarında yer alıyor: acentenin adı, lisans numarası, yetkilendirme türü ve hatta birçok durumda vergi kayıtlarına ilişkin referanslar. Bununla birlikte, çeşitli raporlar başka bilgilerin de ifşa edilmiş olabileceğini gösteriyor. CURP, RFC ve fotoğraflar Sektördeki binlerce profesyonelden.
Piyasa kaynakları, sızdırılan bilgi miktarının önemli olduğunu gösteriyor: sosyal medyada şu konulardan bahsediliyor: yaklaşık 95.000 sigorta ve kefalet acentesi lisansı Bu dosyalar, çoğu durumda PDF formatında olmak üzere, birkaç saat içinde indirilebilirdi; bu da üçüncü taraflarca yeniden kullanılmalarını daha da kolaylaştırır.
CNSF ısrarla şunu belirtiyor: hiçbir kanıt yok diğer kritik sistemlerin veya veritabanlarının tehlikeye girmiş olmasıAçıklamada, olayın yalnızca kimlik kartlarının yönetildiği belirli sistemle sınırlı olduğu vurgulanıyor. Bu açıklama, şu an için sigortalı verilerinin, poliçe dosyalarının veya diğer son derece hassas finansal bilgilerin sızdırılmasının tespit edilmediğini iletmeyi amaçlıyor.
Şu an netleşmiş durumda ki... Düzenleyici kurumun sistemlerinde yetkisiz erişim meydana geldi.ve kuruluşun, saldırının gerçek boyutunu anlamak ve tespit edilen güvenlik açıklarını gidermek için teknolojik altyapısını kapsamlı bir şekilde gözden geçirmek zorunda kaldığı belirtildi.
Resmi açıklama: Acil durum protokolleri ve kimlik kartlarının kullanım süresinin uzatılması
Olayın doğrulanmasının hemen ardından CNSF, dahili güvenlik ve olay müdahale protokollerini devreye aldı.Acil durum ve iş sürekliliği planlarıyla birlikte. Uygulamada bu, erişimin gözden geçirilmesi, güvenlik önlemlerinin güçlendirilmesi, ele geçirilmiş kimlik bilgilerinin devre dışı bırakılması ve doğrulama işlemleri tamamlanana kadar belirli işlemlerin geçici olarak sınırlandırılması anlamına gelmiştir.
İlk adımlardan biri, sektöre yönelik bir destek önlemi almak oldu: Mevcut tüm geçerli aracı sertifikalarının geçerlilik süresini uzatmakKomisyon, bu belgelerin geçerliliğini koruyacağını belirtti. 28 Şubat'a kadarBu önlemlerin amacı, siber saldırıların acenteler ve şirketler için yönetimsel engellere veya operasyonel sorunlara yol açmasını önlemektir.
Bu geçici uzatma, kuruluşa zaman tanımayı amaçlamaktadır. Yeni kimlik kartlarının incelenmesi, onaylanması ve verilmesi sürecine devam edin. Piyasayı felç etmeden. Bu arada, CNSF, saldırıdan sonra belgelerin bütünlüğünü garanti altına almak için belgelerin ve kayıtların daha kapsamlı bir şekilde incelendiğini belirtiyor.
Komisyon ayrıca şunu da teyit etti: Olayı ilgili makamlara bildirmiştir. ve bu da hazırlığı sağlar ilgili yasal işlemlerOlayların bilgi güvenliğiyle ilgili suçlar ve bilgisayar sistemlerine yasa dışı erişim teşkil edebileceği göz önünde bulundurulmuştur.
Düzenleyici kurum, kamuoyuna yaptığı açıklamalarda bunu defalarca yineledi. Bilgi korumasına, şeffaflığa ve hesap verebilirliğe bağlılıkAyrıca, hem sektöre hem de kamuoyuna ilgili gelişmeleri bildirmeye devam edeceğine dair güvence verdi.
Acentelerin karşı karşıya kaldığı riskler nelerdir: kimlik hırsızlığı ve olası dolandırıcılık
Kimlik kartlarındaki bilgiler büyük ölçüde kamuya açık olsa da, olay endişelere yol açtı. sigorta acenteleri, aracı kurumlar ve şirketlerSebebi basit: Tam ad, kimlik numarası, fotoğraf, CURP (Meksika ulusal kimlik numarası) ve RFC (Meksika vergi kimlik numarası) gibi verilere sahip olmak, bir şirket kurmak için çok cazip bir temel oluşturuyor. kimlik hırsızlığı kampanyaları.
Sektör uzmanları, bu veri kombinasyonunun siber suçluların başkalarının kimliğine bürünmesine olanak sağlayacağı konusunda uyarıyor. resmi olarak yetkilendirilmiş temsilcilerBu, potansiyel müşterilerle iletişime geçmeyi ve sahte poliçeler sunmayı veya meşru sözleşmelerin şartlarını değiştirmeyi içerir. Risk sadece profesyonellerle sınırlı değildir, aynı zamanda... sigortalı taraflar ve şirketler Görünüşte düzenleyici kurumun koruması altında faaliyet gösteriyormuş gibi görünen aktörler tarafından aldatılabilecek kişiler.
Meksika'da faaliyet gösterdikleri yerler... 90.000 sigorta ve kefalet acentesiFaaliyetleri tamamen CNSF tarafından verilen sertifikaların yarattığı güvene dayanan bir kuruluş. Bu sertifika şu işlevi görüyor: resmi destek Söz konusu profesyonelin eğitimli olması ve bir dizi düzenleyici ve teknik gereksinimi karşılaması gerekir; bu nedenle, yaşanan büyük sızıntı, hafife alınmaması gereken bir belirsizlik penceresi açmaktadır.
Siber güvenlik analistleri, tıbbi veya bankacılık veritabanlarının sızdırılmasıyla ilgili bir durumla karşı karşıya olmasak da, durumun ciddiyetini vurguluyorlar. kişisel ve profesyonel verilerin birleşimi Bu belgelerden elde edilebilecek bilgiler, sosyal mühendislik ve hedefli dolandırıcılık yöntemlerini kullanan suç grupları için çok değerlidir.
Aracılar için bu, şu ihtiyaç anlamına gelir: Dikkatli olmayı artırmakMüşteri olduklarını iddia eden kişilerin kimliklerini daha detaylı bir şekilde doğrulayın. Adınızın veya kimlik numaranızın kullanımını izlemek dijital kanallar Ayrıca, birinin izniniz olmadan kimlik bilgilerinizi kullandığı şüpheli iletişimlere karşı dikkatli olun.
Hazine Bakanlığı'nın konumu ve CNSF'nin finansal sistemdeki rolü
La Maliye ve Kamu Kredisi Bakanlığı (SHCP)Merkezi olmayan bir kuruluş olarak denetimini üstlendiği CNSF, olayın şu şekilde gerçekleştiği versiyonunu destekledi: Bu durum, vergi mükelleflerinin vergi veya mali bilgilerine sahip diğer departmanları veya sistemleri etkilememiştir.SHCP'ye göre, saldırı sigorta ve kefalet sektöründeki aracıların sertifikalarıyla sınırlı kaldı.
Unutulmamalıdır ki, CNSF, sigorta ve kefalet şirketlerinin faaliyetlerini denetlemek, düzenlemek ve yetkilendirmekle sorumlu kuruluştur.Sorumlulukları arasında şirketlerin ödeme gücünü sağlamak, finansal istikrarlarını garanti altına almak ve sigorta ve kefalet ürünlerinin kullanıcılarını korumak için mevcut düzenlemelere uyduklarını doğrulamak yer almaktadır.
Piyasa işleyişinin düzgün olması için düzenleyici kurumun rolü çok önemlidir, bu nedenle teknolojik altyapısını etkileyen herhangi bir olay Bu durum, itibar açısından anında olumsuz bir etki yarattı. Komisyon, saldırının kapsamını sınırlamaya çalışmış olsa da, başarılı bir saldırının kurbanı olması gerçeği, sistemlerinin geri kalanının yeterince güvenli olup olmadığı sorusunu gündeme getiriyor.
Kurumun başında şu kişi bulunmaktadır: Ricardo Ernesto Ochoa Rodríguez2018 yılının sonundan beri CNSF başkanlığını yürüten kişi, şimdi giderek dijitalleşen bir ortamda kurumun yönettiği verileri koruma ve sektör üzerindeki denetimi sürdürme yeteneğine olan güveni güçlendirme zorluğuyla karşı karşıya.
Şimdilik, ilgili dernekler şunlardır: Meksika Sigorta ve Kefalet Acenteleri Birliği (Amasfac) o Meksika Sigorta Kurumları Birliği (AMIS) Olayla ilgili ayrıntılı bir kamuoyu açıklaması yapılmadı, ancak sektör içinde konunun yakından incelendiği tahmin ediliyor.
Kurumsal siber güvenliğe yönelik artan baskının bir belirtisi
CNSF saldırısı birdenbire ortaya çıkmadı. Son yıllarda, Meksika, bölgede siber saldırı sayısının en yüksek olduğu ülkelerden biri haline geldi. Kamu kurumları ve finans sektöründeki kuruluşları hedef almaktadır. Danışılan uzmanlar, prosedür ve hizmetlerin hızlandırılmış dijitalleşmesinin her zaman güvenlik alanındaki eşdeğer yatırımlarla birlikte gerçekleşmediğine dikkat çekiyor.
Araştırmacı Ignacio VillaseñorKamu kurumlarındaki siber güvenlik sorunlarını yakından takip eden [İsim], sosyal medyada bu tür vakaların şunu gösterdiğini belirtti: önemli devlet sistemlerindeki kalıcı güvenlik açıklarıHatta piyasanın işleyişi için stratejik bilgileri yöneten departmanlarda bile.
Özel siber güvenlik alanından, şu gibi sesler geliyor: Silikn firmasının kurucusu Victor RuizBir süredir varlığı konusunda uyarıda bulunuyorlardı. yapısal boşluklar Kamu sektörüne ait dijital platformların tasarlanma ve işletilme biçiminde yaşananlar da bu duruma katkıda bulunuyor. Görevlilerin kimlik kartlarının sızdırılması, Meksika'daki çeşitli kurumları etkileyen diğer son olaylara bir yenisini ekliyor.
Bu bağlamda, organize siber suç gruplarının kamu yönetimine karşı eylemlerini yoğunlaştırdığı ve şu amaçlarla hareket ettiği belirtilmiştir: devasa veri sızdırma Şantaj ve karanlık web'de yayınlama tehditleri de dahil olmak üzere, yüksek profilli olaylar, şu gibi gruplara atfediliyor: ChronusBu durum, yirmiyi aşkın kuruluşu kapsayacak şekilde genişledi ve milyonlarca insanı etkileyeceği tahmin ediliyor.
Dijital Dönüşüm ve Telekomünikasyon Ajansı (ATDT) diğer olaylarda da şu iddiada bulunmuştur: Federal hükümetin merkezi altyapısı her zaman sızıntıların kaynağı değildir.Bu durum bazen güncelliğini yitirmiş platformlara veya belirli kuruluşlar için harici sağlayıcılar tarafından yönetilen platformlara işaret eder. Bununla birlikte, uzmanlar veri güvenliğinden nihai sorumluluğun verileri toplayan ve kullanan kurumlarda olduğunu vurgulamaktadır.
Sigorta sektörü için çıkarılacak dersler ve önümüzdeki zorluklar
Meksika sigorta piyasası için, CNSF'ye yapılan siber saldırı şu anlama geliyor: Güvenlik ihlallerinin düzenleyici altyapı üzerindeki etkisine dair net bir uyarı.Müşterilerin poliçe geçmişleri doğrudan tehlikeye atılmamış olsa bile, aracı verilerin sızdırılmış olması, tüm hizmet sunum zincirine olan güveni zedeleyebilir.
Sigortacılar, kefalet şirketleri ve acente ağları da dahil olmak üzere sektördeki kuruluşlar şu zorunlulukla karşı karşıya kalıyor: Kendi siber güvenlik protokollerinizi gözden geçirin. ve müdahale planları. Birçok uzman, dahili platformlarda temsilci kimlik doğrulama kontrollerinin güçlendirilmesini, kimliklerin doğrulanması için net kanallar oluşturulmasını ve potansiyel olarak şüpheli işlemlerle ilgili olarak müşterilerle iletişimin iyileştirilmesini önermektedir.
Bu olaydan çıkardığımız bir diğer ders ise, şu hususun gerekliliğidir: Düzenleyici kurumlar, şirketler ve meslek birlikleri arasındaki koordinasyonu artırın. Güvenlik olaylarının yönetiminde, hızlı ve şeffaf bir müdahale, etkilenenler için pratik önerilerle birlikte, hasarın sınırlandırılmasında büyük fark yaratabilir.
Tartışma hakkında Kamu sistemlerinde verilerin nasıl saklandığı ve paylaşıldığıBüyük miktarda bilginin yeterli güvenlik önlemleri olmadan merkezi platformlarda toplanması, özellikle organize siber suç grupları için cazip olan tek hata noktaları yaratmaktadır.
Kısa vadede odak noktası, aşağıdakilerin kontrol edilmesi olacaktır: CNSF, bu saldırıda istismar edilen güvenlik açığını tamamen kapatmayı başardı.Bu durum, savunma mekanizmalarının güçlendirilmesine ve sızdırılan verilerin karanlık ağ veya özel forumlar gibi kanallar aracılığıyla nasıl yayıldığının açıklığa kavuşturulmasına bağlıdır. Orta ve uzun vadede, zorluk hem yetkilileri hem de denetledikleri şirketleri kapsayan bir güvenlik kültürünün oluşturulmasında yatmaktadır.
Ne oldu da... CNSF kimlik kartı sisteminin hacklenmesi Bu olay, siber güvenliğin Meksika sigorta piyasasının istikrarı için merkezi bir unsur haline geldiğini açıkça ortaya koymaktadır: Her ne kadar aracı verilerine odaklanmış olsa da müşteri poliçelerini doğrudan etkilemeyen bu olay, düzenleyici kurumun müdahale protokollerini test etmiş, dolandırıcılık riski konusunda endişeleri artırmış ve kullanıcıları korumakla görevli kurumların dijital dayanıklılığı konusundaki tartışmayı yeniden başlatmıştır.
