Totalizator Sportowy informuje o incydencie bezpieczeństwa. E-mail na prywatną skrzynkę, z załącznikiem zawierającym dane osobowe pracowników / współpracowników

Jeden z naszych czytelników przesłał do nas wiadomość, zawierającą m.in. takie informacje:

Przed publikacją notki, zadaliśmy pytania Totalizatorowi Sportowemu; otrzymaliśmy po ~krótkim czasie następujące odpowiedzi:

[sekurak] Czy incydentem bezpieczeństwa objęci zostali wszyscy pracownicy/współpracownicy (lub większość) – czy np. tylko niewielki ich procent?

[Totalizator Sportowy – TS] Incydent dotyczył danych niewielkiej części pracowników i współpracowników Totalizatora Sportowego (m.in. kolektorów, agentów, pracowników agentów).

[sekurak] W jaki sposób doszło do wykrycia incydentu?
[TS] Incydent został wykryty przez systemy monitorujące bezpieczeństwo infrastruktury.

[sekurak] Czy przekazane na prywatny adres dane zostały trwale usunięte (przez właściciela adresu e-mail)?

[TS] Właściciel zewnętrznego adresu mailowego, na który przesłano wiadomość został zobowiązany do natychmiastowego trwałego usunięcia wiadomości oraz wszelkich załączonych do niej danych.
Ponadto, w celu zminimalizowania skutków zaistniałego incydentu Totalizator Sportowy podjął niezwłocznie następujące działania:

• udoskonalenie reguł systemu bezpieczeństwa umożliwiających weryfikację zakresu danych osobowych przesyłanych pocztą elektroniczną;
• zwiększenie częstotliwości analiz zdarzeń z systemów monitorujących bezpieczeństwo;
• przeprowadzenie dodatkowych szkoleń z zakresu przetwarzania i udostępniania informacji;
• wdrożenie mechanizmów chroniących informacje przetwarzane w Totalizatorze Sportowym, zwłaszcza w kontekście ochrony przed wyciekiem oraz nieuprawnionym dostępem.

Ponadto Totalizator Sportowy poinformował Prezesa Urzędu Ochrony Danych Osobowych o zaistnieniu przedmiotowego incydentu.

Komentarz z naszej strony. Pamiętajcie żeby:

• edukować pracowników o nie wysyłaniu danych firmowych na prywatne skrzynki pocztowe (dotyczy to również prywatnych nośników przenośnych czy komunikatorów…); Warto edukować pracowników ogólnie w tematyce wycieków danych
• rozważyć wdrożenie systemu klasy DLP (Data Leak Prevention), który analizuje ewentualne próby wysyłania wrażliwych danych / dużej ilości danych poza systemy firmowe

Samo trwałe usuwanie danych (takie naprawdę trwałe) z prywatnych skrzynek może być utrudnione (ekstremalny przypadek: wyobrażacie sobie, że prosicie Google o usunięcie określonych maili z ich kopii zapasowych? Gmail). Na szczęście ryzyko, że ktoś odzyska dane z systemów Google / ich kopii zapasowych – jest praktycznie zerowe. Pamiętajcie jednak żeby poprosić również o usunięcie danych z „kosza” (skrzynka pocztowa).

~Michał Sajdak