Всего за несколько дней до вступления в силу GDPR неприятность постигла Университет Гринвича. Information Commissioner's Office (офис комиссара по информации — независимая организация по надзору за соблюдением законодательства в информационной среде Великобритании) оштрафовал университет на £120 тыс. (на момент написания статьи это порядка 136 тыс. евро, 160 тыс. долларов США, 10 млн. российских рублей, 4,2 млн. украинских гривен) за серьёзную уязвимость в безопасности, приведшую к утечке данных почти 20 тыс. студентов и сотрудников. Как такому серьёзному университету удалось попасть под раздачу ICO и стать первым университетом, оштрафованным за нарушение DPA, и чему это нас учит, читайте под катом.
Всё началось в далёком 2004 году. Тогда университетом проводилась академическая конференция при Computing and Mathematics School (школа вычислений и математики), в рамках которой одним из студентов был создан микросайт. Одной из его функций была анонимная загрузка документов. Конференция прошла, и о сервере попросту забыли. Никто его не выключил, не отформатировал и не обновлял. Он просто тихо шуршал в уголочке многие годы (завидуем белой завистью бюджетам университета, позволяющим забывать про серверы и потребляемую ими электроэнергию).
Наконец, в 2013 году, т.е. спустя 9 (!) лет до сервера добрался первый взломщик и успешно использовал функцию анонимной загрузки, чтобы скомпрометировать микросайт. И никто этого успешно не заметил. Что вполне предсказуемо — как можно увидеть взлом на сервере, если на сам сервер не обращали внимания уже 9 лет?..
Ещё несколько раз хакеры проникали в сеть университета в 2016 году, используя уязвимости SQL и PHP, которые на тот момент не обновлялись уже 12 лет. И опять это заметили далеко не сразу. Узнали о взломе и сливе данных только тогда, когда один из хакеров запостил их целиком на Pastebin.
А слили немало. В публичном доступе оказались персональные данные примерно 19500 студентов, выпускников и сотрудников университета, включая имена, адреса, телефоны. А также более чувствительные данные 3500 человек, включавшие не только оправдания прогулов, но и данные о сложностях с обучением, заболеваниях и т.п.
Свою ошибку университет признал и произвёл «генеральную уборку» с целью существенного повышения безопасности своих внутренних ресурсов.
Чему нас это учит?
Ситуация вышла курьёзная, но весьма поучительная. И вынести уроки можно с разных позиций.
С точки зрения GDPR
Учитывая то, что решение было вынесено всего за несколько дней до вступления в силу GDPR, многие рассматривают ситуацию в том числе и с позиции этой директивы. В данном случае университет рассматривается как контроллер персональных данных и, соответственно, несёт ответственность за обеспечение их безопасности. Даже несмотря на то, что сайт был создан давным давно, в одном из подразделений университета и, по-видимому, без ведома IT отдела.
Могла быть выше и сумма штрафа, если бы ситуация произошла после вступления в действие нового регламента. Если, согласно старым правилам, ICO может назначать штрафы до 500 тыс. фунтов стерлингов (порядка 560 тыс. евро), GDPR предполагает штрафы до 20 млн. евро или 4% годового всемирного оборота (больший вариант).
С точки зрения больших организаций
Чем больше некая структура, тем сложнее вести учёт. Особенно если в структуре есть достаточно автономные подразделения, такие как факультеты или удалённые офисы/производства. Но это ничуть не повод подзабить на учёт.
Ответственным ИТ отделов стоит ещё раз освежить в памяти пару простых правил, позволивших бы избежать подобной ситуации:
- Регулярно обновляйте ПО. На самом деле правило очевидное, даже стыдно писать было. Но во многом именно его несоблюдение привело к описанным выше последствиям.
- Своевременно выносите мусор. Как часто мы создаём какие-то временные сайты, файлы, открытые папки, аккаунты с примитивными паролями для выполнения разовых сиюминутных задач? Думаю, многие так порой делают. Но порой мы забываем их удалить сразу после того, как задача выполнена, и тем самым открываем некую брешь в безопасности. Кто знает, как скоро кто-то найдёт Ваш test.php с прямым доступом к базе?..
Если хоть кого-то эта статья сподвигнет провести ревизию своих ресурсов, особенно отслуживших своё, значит, мой день не прошёл даром.
Для справки
Information Commissioner’s Office является британской организацией, созданной для защиты и отстаивания информационных прав в общественных интересах. На него возложен ряд обязательств, регламентированных Data Protection Act 1998 (Акт о защите данных), the Freedom of Information Act 2000 (Акт о свободе информации), Environmental Information Regulations 2004 (Регламент об экологической информации) и Privacy and Electronic Communications Regulations 2003 (Регламент о конфиденциальности и электронных коммуникациях).
Среди задач офиса — корректировка поведения организаций и лиц, собирающих, обрабатывающих и использующих персональные данные. В его распоряжении — широкий арсенал механизмов воздействия, от аудита то штрафов и уголовного преследования. Некоторым случаям из их практики можно удивиться или даже позавидовать.
- Компания Costelloe and Kelly Limited была оштрафована на £19 тыс. за рассылку более 260 тысяч спам-сообщений с рекламой пакетов похоронных услуг.
- За рассылку спама отписавшимся пользователям Королевская почтовая служба была оштрафована на 12 тысяч фунтов стерлингов.
- Королевская прокурорская служба оштрафована на £325 тыс. за утерю незашифрованных DVD-дисков с полицейскими допросами, касающимися дел 15 жертв детского сексуального насилия. И это был уже второй случай утери данных прокурорской службой. Не только у нас в странах бардак...
- Бывший консультант по трудоустройству расстался более чем с тысячей фунтов стерлингов за слив данных из базы работодателя. А кто из вас сливал репозитории или клиентские базы перед уходом из компании? ;)
- Библейское сообщество поплатилось сотней тысяч фунтов за уязвимость, из-за которой была слита информация о примерно 417 тысячах человек, поддерживающих организацию. В том числе информация о банковских картах и счетах людей, вносивших пожертвования.
- Сотрудница отдела образования местного самоуправления была оштрафована на полторы тысячи фунтов стерлингов за пересылку личных данных школьников и их родителей через Snapchat. И ведь ничего плохого не замышляла. Родитель, проживающий отдельно, хотел получить кое-какую информацию о своём чаде. Но т.к. фотоаппарат на телефоне не умеет снимать лишь одну строку таблички, родителю попали личные данные 37 учеников и их родителей, включавшие имена, адреса, даты рождения и номера социального страхования. И, кстати, больше она там не работает.
Остаётся лишь надеяться, что цивилизованное и уважительное отношение к данным рано или поздно придёт и в наши края.
Спасибо, что остаетесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
Автор: Vasiliskov