Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ransomware w polskim mieście. UODO nakłada na burmistrza karę 30 000 zł

30 czerwca 2023, 12:57 | W biegu | komentarzy 10

W treści decyzji mowa jest jedynie o enigmatycznym „mieście Z.”, a incydent miał miejsce w 2022 roku.

naruszenie dotyczyło około 9400 osób. Administrator wskazał, że kategorie danych osobowych, które zostały naruszone to: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek.

Powodem wskazania potencjalnego wycieku, był ransomware. Jak czytamy:

oprogramowanie wykorzystane do ataku ransomware to L. [najpewniej chodzi o LockBit; grupa ta rzeczywiście publikuje dane z wycieków – przyp. sekurak]

Wygląda też na to, że Miasto miało pewne problemy z kopiami zapasowymi:

serwer, na którym były przetrzymywane kopie zapasowe uległ awarii

nie przewidziano procedur tworzenia kopii zapasowych, nie był wykonywany regularny backup serwerów, aplikacji, plików, konfiguracji, a także nie były przeprowadzane testy możliwości odtworzenia kopii.

Jak wynika ze zgromadzonego materiału dowodowego zaszyfrowane zostały również kopie zapasowe.

Co dalej? Administrator wskazał:

że podatnością systemu informatycznego wykorzystaną do przeprowadzania ataku była niezaktualizowana baza danych wirusów.

Hmmm, bardziej słabością było prawdopodobne otworzenie zainfekowanego załącznika do e-maila przez jednego z pracowników. Co więcej, czasem ransomware dostaje się i w przypadku gdy mamy w pełni zaktualizowaną bazę systemu AV. Ransomware na jednym komputerze – i to bez praw administratora – to często jeszcze nie tragedia. Żeby przejąć więcej wrażliwych miejsc, wymagana jest eskalacja ataku – zdobycie uprawnień administratora, przejęcie kolejnych systemów, … a do tego potrzebne są kolejne „grubsze” podatności.

Uwagę zwraca też ten fragment:

Testom nie były poddawane zabezpieczenia techniczne oraz organizacyjne w odniesieniu do systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. W związku z powyższym Burmistrz nie był w stanie wykazać, ani stwierdzić, że zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności.

Czyli w pewnym uproszczeniu RODO było tutaj mocne w dokumentacjach / w procedurach, ale już gorzej w realnych zabezpieczeniach. Przecież gangu ransomware nikt nie zatrzyma odpowiednio mocną „procedurą”…

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. panJan
    Odpowiedz
    • Jest kuriozalna…

      Odpowiedz
    • Wojciech

      przeszedłem do komentarzy mając na myśli napisanie tego samego: jest to dziwaczne. Z drugiej strony prawdopodobnie osoby których dane wyciekły pewnie musiały zostać poinformowane? Z trzeciej: jak? Nie każdy czyta maila… czyli publiczny szum medialny w miejskich mediach i poczta pantoflowa to chyba jedyny – sprawdzony od stuleci – pewny sposób rozchodzenia się informacji

      Odpowiedz
      • Na stronie urzędu i na tablicy wywiesili listę osób (i w kościele), których dane wyciekły, żeby wiedziały i mogły sobie podejść i sprawdzić co im wyciekło :-)

        Odpowiedz
  2. przekręt

    * UODO pobiera z kasy podatników 30 000 zł, bo ktoś obcy zaatakował Państwowy serwer.

    Odpowiedz
    • takitam

      Dokładnie, to z kasy m.in. poszkodowanych podatników.

      Odpowiedz
  3. ObywatelMiś

    Dlatego właśnie zrezygnowałem z AD wszystko co się dzieje zmierza w kierunku AD a jak skutecznie ominie zabezpieczenie to jest gamę over ;)

    Odpowiedz
    • Krzysiek

      AD czyli Active Directory?

      Odpowiedz
      • X z Z

        Tam nie było AD.

        Odpowiedz
  4. Michał

    Tak sie dzieje, jak góra nie ma zielonego pojęcia o zagrożeniach w IT i nie daje środków na odpowiednie zabezpieczenia programowe i sprzętowe bo jest informatyk od tego – potem taki głąb ( najcześciej dyrektor lub ktoś z wyższej kadry otwiera załącznik faktura.rar ( przykładowo) i wszystko leży. Ciemnogród jeszcze jest normą. Audyty, zabezpieczenia, backupy nic nie dadzą jak kadra i zarząd nie myśli. Dodajmy jeszcze do tego oprogramowanie małomiękkiego i sprzęt od HuncyPała i ból dupy gotowy

    Odpowiedz

Odpowiedz