Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ransomware w polskim mieście. UODO nakłada na burmistrza karę 30 000 zł
W treści decyzji mowa jest jedynie o enigmatycznym „mieście Z.”, a incydent miał miejsce w 2022 roku.
naruszenie dotyczyło około 9400 osób. Administrator wskazał, że kategorie danych osobowych, które zostały naruszone to: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek.
Powodem wskazania potencjalnego wycieku, był ransomware. Jak czytamy:
oprogramowanie wykorzystane do ataku ransomware to L. [najpewniej chodzi o LockBit; grupa ta rzeczywiście publikuje dane z wycieków – przyp. sekurak]
Wygląda też na to, że Miasto miało pewne problemy z kopiami zapasowymi:
serwer, na którym były przetrzymywane kopie zapasowe uległ awarii
nie przewidziano procedur tworzenia kopii zapasowych, nie był wykonywany regularny backup serwerów, aplikacji, plików, konfiguracji, a także nie były przeprowadzane testy możliwości odtworzenia kopii.
Jak wynika ze zgromadzonego materiału dowodowego zaszyfrowane zostały również kopie zapasowe.
Co dalej? Administrator wskazał:
że podatnością systemu informatycznego wykorzystaną do przeprowadzania ataku była niezaktualizowana baza danych wirusów.
Hmmm, bardziej słabością było prawdopodobne otworzenie zainfekowanego załącznika do e-maila przez jednego z pracowników. Co więcej, czasem ransomware dostaje się i w przypadku gdy mamy w pełni zaktualizowaną bazę systemu AV. Ransomware na jednym komputerze – i to bez praw administratora – to często jeszcze nie tragedia. Żeby przejąć więcej wrażliwych miejsc, wymagana jest eskalacja ataku – zdobycie uprawnień administratora, przejęcie kolejnych systemów, … a do tego potrzebne są kolejne „grubsze” podatności.
Uwagę zwraca też ten fragment:
Testom nie były poddawane zabezpieczenia techniczne oraz organizacyjne w odniesieniu do systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. W związku z powyższym Burmistrz nie był w stanie wykazać, ani stwierdzić, że zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności.
Czyli w pewnym uproszczeniu RODO było tutaj mocne w dokumentacjach / w procedurach, ale już gorzej w realnych zabezpieczeniach. Przecież gangu ransomware nikt nie zatrzyma odpowiednio mocną „procedurą”…
~ms
Pisaliście o enigmatycznym „mieście Z.”:
https://sekurak.pl/ransomware-w-kolejnym-urzedzie-w-polsce-w-tle-rowniez-wyciek-danych-zambrow/
Ogólnie to anonimizacja tego elementu decyzji jest kuriozalna.
Osoby, których danych dotyczyl atak widać wg. UODO nie powinny wiedzieć jaką decyzję podjął urząd. Ciekawe czy będzie to stała praktyka.
Jest kuriozalna…
przeszedłem do komentarzy mając na myśli napisanie tego samego: jest to dziwaczne. Z drugiej strony prawdopodobnie osoby których dane wyciekły pewnie musiały zostać poinformowane? Z trzeciej: jak? Nie każdy czyta maila… czyli publiczny szum medialny w miejskich mediach i poczta pantoflowa to chyba jedyny – sprawdzony od stuleci – pewny sposób rozchodzenia się informacji
Na stronie urzędu i na tablicy wywiesili listę osób (i w kościele), których dane wyciekły, żeby wiedziały i mogły sobie podejść i sprawdzić co im wyciekło :-)
* UODO pobiera z kasy podatników 30 000 zł, bo ktoś obcy zaatakował Państwowy serwer.
Dokładnie, to z kasy m.in. poszkodowanych podatników.
Dlatego właśnie zrezygnowałem z AD wszystko co się dzieje zmierza w kierunku AD a jak skutecznie ominie zabezpieczenie to jest gamę over ;)
AD czyli Active Directory?
Tam nie było AD.
Tak sie dzieje, jak góra nie ma zielonego pojęcia o zagrożeniach w IT i nie daje środków na odpowiednie zabezpieczenia programowe i sprzętowe bo jest informatyk od tego – potem taki głąb ( najcześciej dyrektor lub ktoś z wyższej kadry otwiera załącznik faktura.rar ( przykładowo) i wszystko leży. Ciemnogród jeszcze jest normą. Audyty, zabezpieczenia, backupy nic nie dadzą jak kadra i zarząd nie myśli. Dodajmy jeszcze do tego oprogramowanie małomiękkiego i sprzęt od HuncyPała i ból dupy gotowy