Când am fost în 2019 la cursul de European Centre on Privacy and Cybersecurity Data Protection Officer la Universitatea din Maastricht, unul dintre lectorii de la ENISA ne-a spus că fiecare dintre noi va trece la un moment dat printr-un data breach. Că statistic nu ai cum să scapi de așa ceva – o dată în viață vei trece prin așa ceva, indiferent de ce se va întâmpla. Drept urmare, ce contează mai mult decât orice este să fii pregătit pentru așa ceva. Deoarece ai o fereastră de timp extrem de limitată pentru a acționa.
Dacă data breach-ul implică și date cu caracter personal, s-ar putea să ai maxim 72h de la detecție pentru a raporta autorității (atenție, nu întotdeauna breach-ul trebuie raportat). Ce înseamnă un personal data breach? Conform GDPR înseamnă „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea”. Cine știe să citească înțelege rapid că nu este nevoie ca hackerii să îți spargă serverul ca să pățești un data breach, este destul să pierzi un laptop (dacă hard-disk-ul nu era criptat – pentru a asigura imposibilitatea accesului neautorizat și dacă datele nu era back-up-ate – pentru a asigura faptul că nu sunt distruse datele), să trimiți un email cu toată lumea în CC sau în To (în cazul în care destinatarii nu se cunosc între ei), să trimiți o factură sau contract cu date personale unei persoane greșite. Procentual acestea sunt data breach-urile cele mai des întâlnite.
Și da, ținând cont că statistic este foarte probabil ca un angajat să facă buba și să facă o nefăcută, este extrem, extrem de important să îți faci un audit de conformitate GDPR împreună cu un audit de securitate pentru a identifica TOATE sursele posibile de data breach și pentru a lua măsurile necesare limitării posibilității ca așa ceva să se întâmple. Că surse sunt, har Domnului, destule…
Astăzi vorbim de un data breach major la imobiliare.ro, cel mai mare site de anunțuri imobiliare din România. 200.000 de persoane s-au trezit cu datele personale expuse, ceea ce cam este un record pentru România. Nu știm dacă ANSPDCP a fost anunțată despre acest data breach în 72h de la detecție, așa cum cere legea, nu știm dacă persoanele vizate au fost informate despre acest data breach și despre riscurile la care se expun, însă știm ce a cauzat data breach-ul: „the affected company had left its AWS S3 Bucket unsecured”. De problema configurării greșite a S3 se știe de ceva timp (articolul citat este din August 2019) – este una dintre problemele pe care noi le ridicăm când facem audit și găsim bucket-uri S3. Nu este vina lui Amazon că clienții nu citesc bine instrucțiunile… Probabil că amenda GDPR ce va fi dată operatorului va fi foarte dureroasă, și va fi un record pentru România.
În carieră m-am întâlnit cu numeroase probleme de securitate ce pot genera data breach-uri, iar din cele găsite la companiile de soluții IT pot aminti:
- Folosirea datelor de producție în scenarii de test și dezvoltare, fără niciun fel de anonimizare a datelor personale.
- Pentest-uri făcute prost.
- Aplicații uitate în modul „Admin”, aplicații ce generau log-uri de eroare ce conțineau și contul și parola de admin în clar.
- Scripturi cu contul și parola de admin în clar.
- Aplicații de test „uitate” public ani în șir. Exemplu: Digi Ungaria.
Cum poți scădea riscul unui data breach?
- Training la angajați cu ce pot și nu pot să facă, cu exemple concrete.
- Testarea angajaților.
- Folosirea tehnologiilor IT de business și nu „home” – sisteme de operare business, aplicații business, servicii business (nu conturi de gmail/yahoo/hotmail gratuite).
- Updatarea sistemelor IT.
- Audit de conformitate GDPR/security.
- Pentesting.
- Procedura de gestionare a unui data breach.
Și totuși dacă se întâmplă, ce facem?
- Pasul 1: Detectarea unui data breach – monitorizezi sistemele de securitate, logon-urile suspecte, sesizări de la colegi, parteneri, clienți, oameni obișnuiți.
- Pasul 2: Limitarea data breach-ului – detectarea cauzei, limitarea expunerii, identificarea datelor/ persoanelor expuse.
- Pasul 3: Eradicarea cauzei – analizarea și detectarea tuturor schimbărilor produse în sisteme.
- Pasul 4: Remedierea efectelor – eliminarea tuturor surselor cunoscute de data breach, eliminarea malware-urilor, patch-uirea tuturor sistemelor afectate.
- Pasul 5: Recuperarea datelor – recuperarea din back-up-uri, testarea datelor.
- Pasul 6: Documentarea data breach-ului – documentăm cauzele, modul de abordare, informații cheie pentru viitor.
- Pasul 7: Comunicarea data breach-ului – contactarea autorităților necesare (inclusiv ANSPDCP dacă se impune), contactarea persoanelor vizate, contactarea presei.
Cum arată o echipă virtuală de gestionare a unui data breach?
- Chief Information Security Officer (CISO) – dacă există; dacă nu, șeful la IT.
- Data Protection Officer – dacă există; dacă nu, ăla care știe GDPR în firmă.
- Avocatul firmei – dacă există; dacă nu, juristul firmei; dacă nu, avocat extern.
- PR Manager – dacă există; dacă nu, marketing-ul; dacă nu, vânzarea; dacă nu, GM-ul.
Odată planul implementat, el trebuie testat. Și re-testat; și re-testat. Să știi cum acționezi dacă se întâmplă neîntâmplata.
Și din experiența lucrului cu peste 100 de clienți vă spun un singur lucru: „mie nu mi se poate întâmpla așa ceva” nu funcționează absolut niciodată.
UPDATE: Drept la replică imobiliare.ro
„În luna ianuarie 2021, am detectat o potențială vulnerabilitate în sistemele noastre interne de stocare a datelor. Compania noastră a demarat prompt o investigație. Vulnerabilitatea a fost rapid remediată. Investigațiile interne cu privire la cauze și consecințele potențiale continuă. Asigurăm, pe această cale, că pentru Imobiliare.ro siguranța datelor este o prioritate și că depunem eforturi continue pentru a proteja confidențialitatea și integritatea informațiilor din platformele noastre, respectând toate normele în vigoare”
1 comentariu Adaugă comentariu