Η ICO του Ηνωμένου Βασιλείου εκδίδει ειδοποίηση χρηματικής ποινής σε εταιρεία παροχής επαγγελματικών υπηρεσιών μετά από επίθεση ransomware

0
Η ICO του Ηνωμένου Βασιλείου εκδίδει ειδοποίηση χρηματικής ποινής σε εταιρεία παροχής επαγγελματικών υπηρεσιών μετά από επίθεση ransomware

Στις 10 Μαρτίου 2022, το Γραφείο του Επιτρόπου Πληροφοριών (ICO) εξέδωσε ειδοποίηση χρηματικής ποινής σε εταιρεία επαγγελματικών υπηρεσιών (η Εταιρεία) ύψους 98.000 £ για παραβίαση του άρθρου 5 παράγραφος 1 στοιχείο στ) του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).

Η εταιρεία έπεσε θύμα επίθεσης ransomware για την οποία αντιλήφθηκε για πρώτη φορά στις 24 Αυγούστου 2020 και αναφέρθηκε στο ICO στις 25 Αυγούστου 2020. Το ICO έκρινε ότι η αποτυχία της εταιρείας να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για ορισμένα ή όλα τα σχετική περίοδος την κατέστησε ευάλωτη στην επίθεση που είχε ως αποτέλεσμα την κρυπτογράφηση 972.191 αρχείων, εκ των οποίων τα 24.712 αφορούσαν πακέτα δικαστηρίων. Από τα κρυπτογραφημένα αρχεία, 60 πακέτα δικαστηρίων εκμεταλλεύτηκαν οι επιτιθέμενοι και τα δεδομένα μέσα σε αυτά τα πακέτα δημοσιεύτηκαν στον σκοτεινό ιστό. Αυτές οι δέσμες περιείχαν τόσο προσωπικά δεδομένα όσο και δεδομένα ειδικής κατηγορίας, συμπεριλαμβανομένων πληροφοριών για ιατρικούς φακέλους, καταθέσεις μαρτύρων και ονόματα θυμάτων και μαρτύρων.

Συγκεκριμένα, το ICO εντόπισε τρεις τομείς στους οποίους η Εταιρεία απέτυχε να αποδείξει τη συμμόρφωσή της με το άρθρο 5 παράγραφος 1 στοιχείο στ) GDPR:

α) Έλλειψη ελέγχου ταυτότητας πολλαπλών παραγόντων (Υπουργείο Εξωτερικών)

  • Η Εταιρεία δεν χρησιμοποίησε MFA για απομακρυσμένη πρόσβαση στο σύστημά της. Το ICO δήλωσε ότι αυτή η πρακτική συνιστάται από το 2018, επικαλούμενος οδηγίες που δημοσιεύθηκαν από την Αρχή Κανονισμού των Δικηγόρων το 2018 σχετικά με τη χρήση του MFA όπου είναι δυνατόν.
  • Το ICO είπε ότι η χρήση του MFA ήταν ένα «συγκρίσιμα χαμηλού κόστους προληπτικό μέτρο που θα έπρεπε να είχε εφαρμόσει η Εταιρεία», το οποίο θα ενίσχυε την προστασία της μη εξουσιοδοτημένης πρόσβασης στο σύστημά της. Χωρίς τη χρήση MFA, οι εισβολείς θα μπορούσαν να εισέλθουν στο δίκτυο εκμεταλλευόμενοι ένα μόνο όνομα χρήστη και κωδικό πρόσβασης.

β) Διαχείριση μπαλωμάτων

  • Η εταιρεία έλαβε μια ενημέρωση κώδικα για να διορθώσει ορισμένα γνωστά τρωτά σημεία. Η ενημερωμένη έκδοση κώδικα κυκλοφόρησε στις 19 Ιανουαρίου 2020, ωστόσο η εταιρεία εγκατέστησε την ενημερωμένη έκδοση κώδικα τον Ιούνιο του 2020, περισσότερο από τέσσερις μήνες μετά την κυκλοφορία του. Δεδομένων των εξαιρετικά ευαίσθητων προσωπικών δεδομένων που αποθήκευε και του σχετικά χαμηλού κόστους εφαρμογής της ενημέρωσης κώδικα, η ICO δήλωσε ότι η Εταιρεία δεν έπρεπε να συνεχίσει την επεξεργασία προσωπικών δεδομένων με γνωστά κρίσιμα τρωτά σημεία.

γ) Μη κρυπτογράφηση προσωπικών δεδομένων

  • Η Εταιρεία δεν είχε κρυπτογραφήσει τα προσωπικά της δεδομένα που ήταν αποθηκευμένα σε διακομιστή αρχειοθέτησης που υπέστη την επίθεση. Το ICO είπε ότι, παρόλο που η κρυπτογράφηση μπορεί να μην είχε αποτρέψει την επίθεση ransomware, θα είχε μετριάσει τους κινδύνους που ενέχουν τα επηρεαζόμενα υποκείμενα των δεδομένων.
  • Το ICO έκρινε ότι λόγω της φύσης των προσωπικών δεδομένων που επεξεργαζόταν η Εταιρεία και λαμβάνοντας υπόψη το κόστος υλοποίησης, η Εταιρεία δεν έπρεπε να έχει αποθηκεύσει αυτές τις δέσμες σε «μη κρυπτογραφημένη μορφή απλού κειμένου».

Αυτή είναι η πρώτη ειδοποίηση χρηματικής ποινής που εκδίδεται σε εταιρεία επαγγελματικών υπηρεσιών για παραβίαση του άρθρου 5 παράγραφος 1 στοιχείο στ) μετά από επίθεση ransomware. Η απόφαση ενισχύει τη σημασία που αποδίδει το ICO στην ασφάλεια απομακρυσμένης πρόσβασης, καθώς και στην προστασία των προσωπικών δεδομένων σε κατάσταση ηρεμίας σε περίπτωση παραβίασης της περιμέτρου μιας εταιρείας.

Για περισσότερες πληροφορίες σχετικά με την απόφαση του ICO, διαβάστε την πλήρη ειδοποίηση χρηματικής ποινής που εκδόθηκε εδώ.

Οι συγγραφείς θα ήθελαν να ευχαριστήσουν την Elizabeth Yong για τη βοήθειά της με αυτήν την ανάρτηση ιστολογίου.

Schreibe einen Kommentar