Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ransomware w polskiej spółce operującej uzdrowiskiem. Kara z RODO.
Decyzja UODO jest dość obszerna. Poniżej przygotowałem skrót subiektywnie najważniejszych faktów. Jeśli ktoś chce dowiedzieć się o samej karze – tym razem tę informację przemyciliśmy na końcu wpisu.
Co się wydarzyło?
Spółka określiła skalę powstałego naruszenia, która wykazała, że zaszyfrowane [w kwietniu 2020r.] bazy danych obejmowały około 80 000 rekordów danych pracowników, klientów oraz pacjentów w zakresie imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.
Jaki typ ransomware?
Złośliwe oprogramowanie szyfrujące „Devos” dezaktywowało ochronę antywirusową, co skutkowało uniemożliwieniem zadziałania mechanizmów bezpieczeństwa systemów operacyjnych.
Na dzień infekcji (2020 rok) – nie było (i nie ma nadal) dostępnego dekryptora. Na marginesie – kto z Was jeszcze wierzy mit: „mamy oprogramowanie antywirusowe – jesteśmy bezpieczni„?
Jak do tego doszło?
Przeprowadzono analizę zainfekowanych urządzeń, jednak ze względu na zróżnicowanie infrastruktury IT nie udało się jednoznacznie określić źródła oraz przyczyny powstania naruszenia.
Ciekawostka 1.
Zgodnie z informacją pozyskaną od dostawcy usług internetowych, w okresie poprzedzającym zaszyfrowanie danych nie zaobserwowano zwiększonego ruchu sieciowego do sieci Internet sugerującego wyprowadzenie danych. Nie zaobserwowano także podejrzanego ruchu sieciowego sugerującego atak z zewnątrz.
Nie zaobserwowano podejrzanego ruchu sieciowego, ale jednak zakładamy że atak przyszedł „z zewnątrz” (ransomware nie został raczej napisany przez pracownika Spółki…). Sama baza 80 000 rekordów nie jest duża i jej wysłanie na zewnątrz – naszym zdaniem – nie spowodowałoby jakiegoś dużego „piku” w ruchu (niech będzie średnio 300 bajtów na rekord – mamy tu raptem 24 megabajty danych).
Spostrzeżenie: jeśli jakieś systemy czegoś nie zaobserwowały, to może jest to bardziej kwestia problematycznej konfiguracji tych systemów niż dowód na to że „nic się nie stało” ?
Ciekawostka 2.
Proces odzyskiwania zaszyfrowanych danych zlecono wyspecjalizowanej firmie zewnętrznej.
Czy firma zewnętrzna byłaby potrzebna do zwykłego odzyskiwania danych z backupów? (być może tak, jeśli np. proces backupów jest zlecany do firm zewnętrznych – choć to raczej rzadkość). A może to firma zewnętrzna zapłaciła okup i odzyskała w ten sposób dane? (nie wartościuję tutaj czy to dobre czy złe).
Ciekawostka 3.
Pierwotna analiza uwzględniała podatności i zagrożenia dla tych systemów oraz ich możliwe skutki, zatem podjęto działania minimalizujące ryzyko ich wystąpienia. Są to bieżące aktualizacje oprogramowania i sprzętu, a także odseparowanie sieci WiFi dla gości
Wytłuszczenie z naszej strony; czyżby sieć WiFi dla gości nie była odseparowana od produkcyjnej infrastruktury Spółki? Niektórzy nie chcą wierzyć, że takie rzeczy się zdarzają. W rzeczywistości jest to jednak dość często spotykana architektura (!)
Ciekawostka 4.
Jak wyglądały testy bezpieczeństwa?
Testy dotyczyły głównie wydajności komponentów w ramach użytkowanego oprogramowania oraz odporności na awarie (awaria zasilania, awaria dysków, awaria komponentów). Przeprowadzano również audyty legalności oprogramowania.
Wytłuszczenie nasze; z doświadczenia często testy „bezpieczeństwa” w instytucjach okołorządowych sprowadzają się do „testów legalności oprogramowania” (!) ewentualnie również wydajności czy zwykłych awarii. Gdzie testy penetracyjne?
Ciekawostka 5.
Spółka używała nieaktualnych systemów operacyjnych (prawdopodobnie Windows 7) i innych komponentów bez aktualizacji bezpieczeństwa
Na podstawie wykazu zmian przeprowadzonych przez Spółkę po zaistniałym naruszeniu, zmierzających do właściwego zabezpieczenia przetwarzanych danych, w zakresie wymiany oprogramowania stwierdzono, że do pracy wykorzystywano system operacyjny E, dla którego zgodnie z informacją podaną na stronie producenta termin wsparcia technicznego zakończył się […] stycznia 2020 r. (https:// […]) oraz system baz danych B, dla którego wsparcie techniczne zakończono […] lipca 2019 r.
Ciekawostka 6.
Spółka planuje realizację „audytu infrastruktury IT”. Jest to bardzo rozsądne działanie, choć mamy nadzieję, że przyjmie ono formę klasycznych testów penetracyjnych, a nie np. przeglądu checklisty…
W ramach dodatkowej kontroli zewnętrznej, mającej na celu weryfikację przeprowadzonych działań uszczelniających infrastrukturę i minimalizujących podatności, planowany jest audyt infrastruktury przez niezależną, zewnętrzną firmę specjalistyczną.
Obiecana informacja o karze
Spółka została ukarana upomnieniem.
Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora (…)
–ms
upomnienie, znaj łaskę pana… a mogli całkowicie pogrążyć firmę i doprowadzić do jej upadłości, a co
to wygląda mocno rozsądnie: najpierw upomnienia a jak nie działają to dopiero kary
Ktoś kiedyś mądry powiedział mi, że instytucje Państwo dają karę taką, żeby dana firma udźwigła ją. Bo po co zażynać kure znoszącą złote jaja. Jak można cały czas taką kurę skubać.
Myślę, że kluczowe znaczenie w tym przypadku miało to, że ta spółka jest instytucją okołorządową. Gdyby to była firma prywatna, pewnie sowicie połatałaby budżet. Z drugiej strony to bardzo cenne orzeczenie, bo skoro przy takiej skali niedbalstwa i niefrasobliwości sprawa się kończy upomnieniem, to prawo chyba powinno być jednakowe dla wszystkich i przy zachowaniu minimum staranności powinno być niemożliwe żeby dostać surowszą karę.
Jak widzę komentarze o testach penetracyjnych w administracji publicznej, to mi uśmiech wyskakuje na twarzy. Wszędzie poza dużymi miastami są jeszcze Windowsy xp, na pojedynczych maszynach, a negocjacje odnośnie budżetu z działem IT wyglądają tak – no tyle nie możecie dostacy. – ale tyle mieliśmy w zeszłym roku, a i tak brakowało. – ciężkie czasy, z czego rezygnujecie?