Ransomware w polskiej spółce operującej uzdrowiskiem. Kara z RODO.

Decyzja UODO jest dość obszerna. Poniżej przygotowałem skrót subiektywnie najważniejszych faktów. Jeśli ktoś chce dowiedzieć się o samej karze – tym razem tę informację przemyciliśmy na końcu wpisu.

Co się wydarzyło?

Spółka określiła skalę powstałego naruszenia, która wykazała, że zaszyfrowane [w kwietniu 2020r.] bazy danych obejmowały około 80 000 rekordów danych pracowników, klientów oraz pacjentów w zakresie imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.

Jaki typ ransomware?

Złośliwe oprogramowanie szyfrujące „Devos” dezaktywowało ochronę antywirusową, co skutkowało uniemożliwieniem zadziałania mechanizmów bezpieczeństwa systemów operacyjnych.

Na dzień infekcji (2020 rok) – nie było (i nie ma nadal) dostępnego dekryptora. Na marginesie – kto z Was jeszcze wierzy mit: „mamy oprogramowanie antywirusowe – jesteśmy bezpieczni„?

Jak do tego doszło?

Przeprowadzono analizę zainfekowanych urządzeń, jednak ze względu na zróżnicowanie infrastruktury IT nie udało się jednoznacznie określić źródła oraz przyczyny powstania naruszenia.

Ciekawostka 1.

Zgodnie z informacją pozyskaną od dostawcy usług internetowych, w okresie poprzedzającym zaszyfrowanie danych nie zaobserwowano zwiększonego ruchu sieciowego do sieci Internet sugerującego wyprowadzenie danych. Nie zaobserwowano także podejrzanego ruchu sieciowego sugerującego atak z zewnątrz.

Nie zaobserwowano podejrzanego ruchu sieciowego, ale jednak zakładamy że atak przyszedł „z zewnątrz” (ransomware nie został raczej napisany przez pracownika Spółki…). Sama baza 80 000 rekordów nie jest duża i jej wysłanie na zewnątrz – naszym zdaniem – nie spowodowałoby jakiegoś dużego „piku” w ruchu (niech będzie średnio 300 bajtów na rekord – mamy tu raptem 24 megabajty danych).

Spostrzeżenie: jeśli jakieś systemy czegoś nie zaobserwowały, to może jest to bardziej kwestia problematycznej konfiguracji tych systemów niż dowód na to że „nic się nie stało” ?

Ciekawostka 2.

Proces odzyskiwania zaszyfrowanych danych zlecono wyspecjalizowanej firmie zewnętrznej.

Czy firma zewnętrzna byłaby potrzebna do zwykłego odzyskiwania danych z backupów? (być może tak, jeśli np. proces backupów jest zlecany do firm zewnętrznych – choć to raczej rzadkość). A może to firma zewnętrzna zapłaciła okup i odzyskała w ten sposób dane? (nie wartościuję tutaj czy to dobre czy złe).

Ciekawostka 3.

Pierwotna analiza uwzględniała podatności i zagrożenia dla tych systemów oraz ich możliwe skutki, zatem podjęto działania minimalizujące ryzyko ich wystąpienia. Są to bieżące aktualizacje oprogramowania i sprzętu, a także odseparowanie sieci WiFi dla gości

Wytłuszczenie z naszej strony; czyżby sieć WiFi dla gości nie była odseparowana od produkcyjnej infrastruktury Spółki? Niektórzy nie chcą wierzyć, że takie rzeczy się zdarzają. W rzeczywistości jest to jednak dość często spotykana architektura (!)

Ciekawostka 4.

Jak wyglądały testy bezpieczeństwa?

Testy dotyczyły głównie wydajności komponentów w ramach użytkowanego oprogramowania oraz odporności na awarie (awaria zasilania, awaria dysków, awaria komponentów). Przeprowadzano również audyty legalności oprogramowania.

Wytłuszczenie nasze; z doświadczenia często testy „bezpieczeństwa” w instytucjach okołorządowych sprowadzają się do „testów legalności oprogramowania” (!) ewentualnie również wydajności czy zwykłych awarii. Gdzie testy penetracyjne?

Ciekawostka 5.

Spółka używała nieaktualnych systemów operacyjnych (prawdopodobnie Windows 7) i innych komponentów bez aktualizacji bezpieczeństwa

Na podstawie wykazu zmian przeprowadzonych przez Spółkę po zaistniałym naruszeniu,  zmierzających do właściwego zabezpieczenia przetwarzanych danych, w zakresie wymiany oprogramowania stwierdzono, że do pracy wykorzystywano system operacyjny E, dla którego zgodnie z informacją podaną na stronie producenta termin wsparcia technicznego zakończył się […] stycznia 2020 r. (https:// […]) oraz system baz danych B, dla którego wsparcie techniczne zakończono […] lipca 2019 r.

Ciekawostka 6.

Spółka planuje realizację „audytu infrastruktury IT”. Jest to bardzo rozsądne działanie, choć mamy nadzieję, że przyjmie ono formę klasycznych testów penetracyjnych, a nie np. przeglądu checklisty…

W ramach dodatkowej kontroli zewnętrznej, mającej na celu weryfikację przeprowadzonych działań uszczelniających infrastrukturę i minimalizujących podatności, planowany jest audyt infrastruktury przez niezależną, zewnętrzną firmę specjalistyczną.

Obiecana informacja o karze

Spółka została ukarana upomnieniem.

Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora (…)

–ms