У березні цього року Управління комісара з інформації (ICO) оштрафувало Tuckers Solicitors LLP на 98 000 фунтів стерлінгів.

Такерс постраждав від атаки програми-здирника, яка призвела до шифрування майже мільйона файлів та публікації невеликої їх кількості в даркнеті. Атаки програм-здирників є кримінальними злочинами відповідно до Закону про неправомірне використання комп’ютерів. Чому ж Такерс, який став жертвою серйозного злочину, був оштрафований ICO?

Відповідь полягає у зобов’язаннях, що покладаються на бізнес законами Великобританії щодо захисту даних. Організації, які збирають та використовують інформацію про ідентифікованих осіб (відому як персональні дані), повинні дотримуватись принципів захисту даних, викладених у Загальному регламенті захисту даних Великобританії. Вони забезпечують загальні принципи хорошої обробки даних, а чи не дуже конкретні правила.

Безпека даних є ключовим фактором. Відповідний принцип захисту даних свідчить, що персональні дані повинні використовуватися.таким чином, щоб забезпечити належну безпеку персональних даних … з використанням відповідних технічних чи організаційних заходів». У цьому принципі багато гнучкості. Не є абсолютним зобов’язанням забезпечувати безпеку особистих даних за будь-яких обставин, що було б нереалістично та неможливо досягти. Натомість, організації повинні робити відповідні кроки для забезпечення безпечного зберігання особистих даних.

На практиці підприємства повинні оцінювати ймовірні загрози, потенційну цінність даних, які вони зберігають, та види доступних заходів безпеки. За аналогією подумайте про безпеку вашого будинку. Ви напевно захочете мати працюючі замки на дверях і страховку, що діє. Якщо у вас є якісь особливо цінні речі, ви можете зробити додаткові кроки, наприклад, використовувати сейф, що замикається. У деяких випадках ви можете захотіти встановити відеоспостереження або навіть найняти охоронця, але це не підходить для кожного будинку.

Повертаючись до Такерса, той факт, що особисті дані, за які відповідав Такерс, потрапили не в ті руки, сам по собі не є доказом порушення закону про захист даних. Організація може вжити заходів безпеки, які здаються ідеальними, але при цьому стати жертвою раніше невідомої або особливо витонченої загрози. На жаль для Такерса, розслідування ICO показало, що це не так.

Атака програми-здирника торкнулася архівного сервера Такерса. Зловмисник зашифрував майже мільйон окремих файлів, що містяться у 25 000 судових пакетів. Ці пакети містили особисті дані, що стосуються тисяч осіб, а також конфіденційну інформацію щодо кримінальних злочинів та звинувачень. Найнебезпечніше те, що зловмиснику вдалося завантажити 60 судових пакетів, які пізніше були опубліковані в даркнеті.

Такерс діяв одразу, як тільки виявив напад. Відповідно до вимог закону про захист даних, вони поінформували ICO протягом 72 годин, а потім проінформували порушених суб’єктів даних. Вони також поінформували поліцію, проінструктували сторонніх слідчих та зробили кроки для стримування ситуації. Хоча всі ці дії були доречні після такого роду атаки, ICO зосередила своє розслідування на періоді, що передував атаці. Зрозуміло, що відповідальність за скоєння теракту несе невідомий зловмисник. Але, продовжуючи аналогію з будинком, чи залишив Такерс вхідні двері незачиненими?

ICO вивчила заходи безпеки, які Такерс вжив на період з 25 травня 2018 року, коли у Великій Британії набув чинності Загальний регламент захисту даних, до 24 серпня 2020 року, коли була виявлена ​​атака. Хоча точний метод, використаний зловмисником, не було встановлено, ICO зазначило, що Такерс не зміг застосувати патч до відомої вразливості системи протягом п’яти місяців після його випуску. Якби патч був застосований швидко, атака могла б і не статися. ICO також розкритикував Tuckers за те, що він не використовував багатофакторну автентифікацію для віддаленого доступу до своїх систем та за те, що не зміг зашифрувати свої архівні файли.

Використання багатофакторної автентифікації та необхідність своєчасного застосування виправлень безпеки рекомендуються Національним центром кібербезпеки (NCSC) та Управлінням регулювання соліситорів (регулятор Tuckers). ICO зазначило, що власна внутрішня політика Tuckers потребує регулярного оновлення всього програмного забезпечення та операційних систем. Що стосується шифрування, ICO виявило, що, враховуючи дуже конфіденційний характер особистих даних та відносно низькі витрати на шифрування, Такерс не повинен зберігати свої архівні файли в незашифрованому вигляді. З усіх цих причин ICO виявило, що Такерс не зробив належних кроків для забезпечення безпеки особистих даних, і оштрафував їх на 98 000 фунтів стерлінгів.

Більшість компаній навряд чи зберігатимуть особисті дані, такі ж конфіденційні, як Tuckers. Однак із цієї справи можна отримати важливі уроки про прості кроки, які всі підприємства можуть зробити для забезпечення безпеки особистих даних. Ви повинні бути в курсі загроз, що виникають, дослухатися (і діяти) до порад NCSC і будь-якого галузевого регулюючого органу, а також стежити за тим, щоб завжди дотримуватися власних політиків і процедур для забезпечення безпеки особистих даних. Вони можуть не зупинити атаку, але можуть захистити ваш бізнес від штрафу.

Нарешті, вам слід вивчити безпечні платформи онлайн-кредитування, якщо ви щосили намагаєтеся отримати достатньо коштів для того, що ми описали. “Оскільки більша частина процесу кредитування відбувається онлайн, ви можете отримати гроші, які ви зайняли, на свій банківський рахунок наступного дня, навіть не виходячи з дому, щоб запросити кредит”, – пояснює кредитний експерт з Лос-Анджелеса та частий вкладник. до MoneyAsap.comХаррісон Джонс.
8 червня я вестиму вебінар з ICO, щоб обговорити підготовку до витоку персональних даних. Будь ласка, натисніть тут для отримання додаткової інформації.

Джон Белчер

Джон Белчер – фахівець із захисту даних та управління інформацією в Excello Regulation.