Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Zabezpieczenia organizacyjne i techniczne

28-01-2020 Autor: Jarosław Rowiński
Prezes Urzędu Ochrony Danych Osobowych kilka miesięcy temu nałożył najwyższą dotychczas karę za nieodpowiednie zabezpieczenie danych osobowych klientów sklepu internetowego, które doprowadziło do ich kradzieży. Na podstawie dostępnych danych spróbujemy przeanalizować, jakie środki techniczne i organizacyjne powinny zostać zastosowane, aby temu zapobiec.
 
Prezes UODO 10 września 2019 r. nałożył rekordową prawie 3-milionową (2,83 mln złotych) karę na operatora sklepu internetowego Morele.net. Wcześ­niej z tego portalu odnotowano kradzież danych osobowych 2,2 mln osób, klientów sklepu. W uzasadnieniu Urząd jako przyczynę nałożenia tak wysokiej kary podał zastosowanie niewystarczających środków organizacyjnych i technicznych do ochrony przechowywanych danych.
 
Analiza tego przypadku pokazuje, że hakerowi udało się dostać do systemów przechowujących dane osobowe, a następnie wytransferować je na zewnątrz. Z danych prasowych wynika, że włamywacz próbował negocjować okup z Morele.net, wykazując serię błędów w ich zabezpieczeniu i użytkowaniu systemów informatycznych:
  • Udało się wykraść bazę 2,2 mln kont wraz z zamaskowanymi hasłami oraz innymi danymi związanymi z kontami (w tym numerami PESEL).
  • Okazało się, że w bazie danych ciągle figurują dane osób, które wydały dyspozycję skasowania konta – zostały jedynie oznaczone jako usunięte. W tym przypadku jest to ewidentne naruszenie rodo, gdzie zgodnie z art. 17 administrator ma obowiązek usunąć dane osobowe, jeżeli zostanie wystosowane takie uzasadnione żądanie.
  • Włamywacz twierdził, że poza bazą danych ma dostęp do skanów dowodów osobistych osób występujących o kredyty konsumpcyjne za pośrednictwem Morele.net.
Z wiadomości prasowych wynika także, że administratorzy systemów informatycznych firmy nie przeprowadzili co najmniej dwóch ważnych czynności powłamaniowych, które zapewniłyby poszkodowanym większe bezpieczeństwo: zmiany wszystkich haseł na losowe ciągi znaków (zmiana nastąpiła długo po wykryciu kradzieży, a nawet po przesłaniu informacji o jej wykryciu do osób poszkodowanych) oraz usunięcia wszelkich aktywnych sesji, tak aby osoby, które były zalogowane, „ciągle” musiały od nowa wprowadzać swoje uprawnienia.
 
Zgodnie z komunikatem UODO nie wykryto anomalnie dużego ruchu (kopiowania wpisów bazy danych na zewnętrzne serwery) ani też samego faktu naruszenia bezpieczeństwa infrastruktury systemowej. Wszystko to razem pozwala domyślać się, dlaczego została nałożona tak wysoka kara.
 
Środki techniczne
 
W komunikacie instytucji nadzorującej brakuje informacji o zastosowanych lub nie środkach technicznego zabezpieczenia, poza wskazówką o niewykryciu i zablokowaniu anomalnego ruchu ze środowiska na zewnątrz. Można więc domyślać się, że administratorzy sprawowali niewystarczający nadzór nad powierzoną infrastrukturą.
 
W infrastrukturze mającej bezpośredni styk z internetem, która służy do obsługi klientów zewnętrznych, należy zadbać nie tylko o zabezpieczenie systemów, ale też o odpowiednie zbieranie i analizę logów systemów i urządzeń sieciowych na osobnym, dedykowanym do tego rozwiązaniu, które jest odseparowane od reszty infrastruktury. Już samo zastosowanie takiego rozwiązania wraz ze skonfigurowanymi alertami i metodami ich dystrybucji do administratorów może pomóc w zebraniu danych czy też w analizie powypadkowej. Gdy system analizuje zdarzenia, wychwytuje i raportuje anomalie, to jest mocnym narzędziem w walce z atakiem.
  1. System monitoringu

Sam system zbierania i analizy zdarzeń może nie wystarczyć do informowania administratorów o anomaliach, które mieszczą się w zakresie normalnego działania urządzeń, ale wykraczają poza standardowe parametry działania dla tego systemu. System monitoringu przez regularne mierzenie parametrów działania systemów i sieci może pokazywać i wychwytywać zachowania, które poza nie wykraczają (np. wysokie obciążenie czy duży ruch na normalnie niewykorzystywanym łączu). Sam system monitoringu choć nie jest jednak konieczny, to wystarczy w takim przypadku. Aby uchronić się przed wyciekiem danych na podstawie wykrycia niestandardowego ruchu wychodzącego, należałoby zastosować rozwiązanie SIEM.

 

[...]

 

Autor jest kierownikiem zespołu usług i rozwiązań sieciowych z doświadczeniem w obszarach bezpieczeństwa, wysokiej dostępności, integracji systemów bezpieczeństwa, sieci Data Center, bezprzewodowych. Współpracuje z wieloma firmami i instytucjami z obszaru finansów, administracji publicznej, energetyki.
 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.