Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Krakowskie Miejskie Przedsiębiorstwo Komunikacyjne zhackowane. Prawdodpobnie ransomware.
Strona krakowskiego MPK nie działa (podobnie jak inne systemy IT), a o ataku hackerskim można dowiedzieć się z profilu twitterowego MPK:
tryb i skala ataku hackerskiego wskazuje, że głównym celem działania był paraliż operacyjny krakowskiej komunikacji miejskiej
I dalej:
[cyberatak] Został przeprowadzony wcześnie rano, we wtorek 3 grudnia. Z uzyskanych informacji wynika, że jest to międzynarodowa grupa hackerska przeprowadzająca na zlecenie ataki na przedsiębiorstwa.
Kontrolerzy biletowi podczas kontroli w tramwajach i autobusach respektują wszelkie potwierdzenia płatności, w tym mailowe.
W przypadku stwierdzenia naruszenia poufności danych MPK będzie informować odrębnym komunikatem osoby, których potencjalnie może to dotyczyć. Niezależnie od powyższych działań MPK prosi wszystkich klientów, współpracowników i pracowników, którzy posiadają dane w systemie o zwrócenie szczególnej uwagi na dziwne i nietypowe maile, telefony, próby kontaktu. Zalecane jest również zastrzeżenie numeru PESEL.
Bilety można kupić w aplikacjach mobilnych / prawdopodobnie też w samych pojazdach (automaty).
~ms
Jeśli celem był paraliż, to ciekawe jak ktoś na nim zarobił.
Mi bardziej pasuje że celem był zarobek, szantaż, wyłudzenie, okup.
Przy powtórce paraliż będzie mniejszy.
gazetakrakowska.pl – Jednocześnie MPK w Krakowie kieruje zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych o potencjalnej możliwości kradzieży danych osobowych pracowników MPK oraz pasażerów.
To tak można? Zapobiegawczo, przed stwierdzeniem naruszenia?
Ojoj! Nie zamawiali pentestów?
Incydent związany z zaszyfrowaniem serwerów Miejskiego Przedsiębiorstwa Komunikacyjnego S.A. (MPK) w Krakowie w wyniku ataku hakerskiego ujawnia poważne zaniedbania w zakresie ochrony danych osobowych. Z perspektywy bezpieczeństwa informatycznego, tego rodzaju ataki – często z użyciem ransomware – bazują na kilku kluczowych słabościach:
– Zgodnie z art. 32 RODO administrator danych ma obowiązek wdrożyć odpowiednie środki techniczne, takie jak wielowarstwowe systemy ochrony, regularne aktualizacje oprogramowania czy mechanizmy wykrywania zagrożeń (np. IDS/IPS). Wygląda na to, że MPK i ZTP nie wdrożyły skutecznych rozwiązań, co umożliwiło atak.
– Przestępcy często wykorzystują techniki socjotechniczne, takie jak phishing, by uzyskać dostęp do systemów. To wskazuje na brak odpowiedniego przeszkolenia personelu w zakresie rozpoznawania zagrożeń. Nie jest wykluczone, że zawinił pracownik, który mógł kliknąć w podejrzany link lub uruchomić zainfekowany plik. Art. 29 RODO wymaga, by przetwarzanie danych odbywało się wyłącznie przez kompetentnych i przeszkolonych pracowników, co w tej sytuacji budzi wątpliwości.
– Często problemem jest brak kontroli nad użytkowaniem sprzętu służbowego do celów prywatnych. Pracownicy mogą instalować nieautoryzowane oprogramowanie lub odwiedzać strony internetowe, które stają się źródłem złośliwego oprogramowania. Jest to naruszenie zasad ochrony danych, o których mowa w art. 5 ust. 1 lit. f RODO („przetwarzanie danych w sposób zapewniający ich integralność i poufność”).
– Administrator danych jest zobowiązany do przeprowadzania regularnych audytów bezpieczeństwa, zgodnie z art. 24 i 32 RODO. Brak skutecznych testów zabezpieczeń oraz symulacji ataków (np. pentestów) to kolejny dowód na niedostateczne zarządzanie bezpieczeństwem w MPK.
Naruszenie danych osobowych niesie za sobą realne ryzyko dla poszkodowanych. Skopiowanie danych przez hakerów może prowadzić do kradzieży tożsamości, wyłudzeń finansowych czy innych form cyberprzestępczości. Państwowe instytucje, takie jak MPK i ZTP, mają obowiązek szczególnie chronić dane swoich użytkowników, a niedopełnienie tych obowiązków stanowi naruszenie polskiego prawa, w tym:
– Ustawy o ochronie danych osobowych z 10 maja 2018 r.,
– Kodeksu karnego (art. 267 i art. 287 dotyczące nieuprawnionego dostępu do informacji oraz przestępstw komputerowych),
– oraz RODO które przewiduje wysokie kary administracyjne za zaniedbania w ochronie danych.
Zarówno ZTP, jak i MPK, muszą publicznie wyjaśnić:
– Jakie środki bezpieczeństwa zostały wcześniej wdrożone i dlaczego okazały się niewystarczające?
– Jak doszło do infekcji serwerów i czy pracownicy przyczynili się do tego poprzez zaniedbania?
– Jakie kroki podjęto, by w przyszłości zapobiec podobnym incydentom?
Odpowiedzialność powinna dotyczyć nie tylko pracowników bezpośrednio związanych z incydentem, ale także kadry zarządzającej, która nadzorowała ochronę danych.
Naruszenie ochrony danych osobowych to poważny sygnał ostrzegawczy. Takie sytuacje powinny prowadzić do systemowych zmian w instytucjach publicznych, a osoby poszkodowane mają pełne prawo domagać się odszkodowania za potencjalne szkody wynikające z zaniedbań.
Kolejny mądrala cytujący ustawę i zalecenia ISO, który nie wie że w spółkach rządowych, samorządowych, wojsku, policji, lasach państwowych itd. odstępstwa od SZBI robi się na żądanie polityczne przez nieformalną (!) presję na administratorów, żeby nie radzący sobie z technologią członek zarządu, rady nadzorczej, pułkownik mógł sobie ze swojego służbowego laptopa załatwiać swoje prywatne sprawy. I to jest najczęściej przyczyną incydentów takich jak w MPK. (Obserwacja własna audytora i likwidatora szkód wywołanych przez takie incydenty)
„Zalecane jest również zastrzeżenie numeru PESEL”
A po jaką cholerę zbierali PESELe od pasażerów??? Po kiego grzyba taki wymóg, żeby kupić bilet.
Za to powinni karę dostać.