قبل أيام قليلة من دخول اللائحة العامة لحماية البيانات حيز التنفيذ ، كانت جامعة غرينتش في وضع صعب. قام مكتب مفوض المعلومات (مكتب مفوض المعلومات هو منظمة مستقلة لرصد الامتثال للقانون في بيئة المعلومات في المملكة المتحدة) بتغريم الجامعة 120 ألف جنيه إسترليني (في وقت كتابة هذا المبلغ حوالي 136 ألف يورو ، 160 ألف دولار أمريكي ، 10 مليون روسي روبل ، 4.2 مليون هريفنيا أوكرانية) لضعف أمني خطير أدى إلى تسرب البيانات لما يقرب من 20 ألف طالب وموظف. كيف تمكنت هذه الجامعة الجادة من الخضوع لتوزيع ICO وأصبحت أول جامعة يتم تغريمها بسبب انتهاك DPA ، وما تعلمنا أن نقرأه تحت التخفيض.
بدأ كل شيء في عام 2004. ثم عقدت الجامعة مؤتمرًا أكاديميًا في مدرسة الحوسبة والرياضيات (مدرسة الحوسبة والرياضيات) ، حيث أنشأ أحد الطلاب موقعًا مصغرًا. كانت إحدى مهامه هي التحميل المجهول للوثائق. انتهى المؤتمر ، ونسي ببساطة الخادم. لم يقم أحد بإيقاف تشغيله أو تنسيقه أو تحديثه. لقد سرق بهدوء في الزاوية لسنوات عديدة (نحسد ميزانيات الجامعة التي تجعلنا ننسى الخوادم والطاقة التي تستهلكها).
أخيرًا ، في عام 2013 ، أي بعد 9 سنوات (!) ، وصلت أول وحدة تكسير إلى الخادم واستخدمت بنجاح وظيفة التنزيل المجهولة للتغلب على الموقع المصغر. ولم يلاحظ أحد ذلك بنجاح. وهو أمر يمكن التنبؤ به تمامًا - كيف يمكن للمرء أن يرى القرصنة على الخادم إذا لم ينتبه إلى الخادم منذ 9 سنوات بالفعل؟ ..
عدة مرات ، دخل المخترقون إلى شبكة الجامعة في عام 2016 باستخدام ثغرات SQL و PHP التي لم يتم تحديثها منذ 12 عامًا في ذلك الوقت. ومرة أخرى ، لم يلاحظ ذلك على الفور. لقد تعلموا فقط عن القرصنة وإلقاء البيانات عندما نشرها أحد المتسللين بالكامل على Pastebin.
وتسربوا كثيرا. تم توفير المعلومات الشخصية لنحو 19،500 طالب وخريج وموظف جامعي ، بما في ذلك الأسماء والعناوين والهواتف ، للجمهور. بالإضافة إلى بيانات أكثر حساسية لـ 3500 شخص ، بما في ذلك ليس فقط مبررات التغيب ، ولكن أيضًا بيانات عن صعوبات التدريب والأمراض وما إلى ذلك.
اعترفت الجامعة بخطأها وأجرت "تنظيفًا عامًا" من أجل زيادة أمن مواردها الداخلية بشكل ملحوظ.
ماذا يعلمنا هذا؟
اتضح أن الموقف كان فضوليًا ، ولكنه مفيد للغاية. ويمكن تعلم الدروس من زوايا مختلفة.
من حيث اللائحة العامة لحماية البيانات
بالنظر إلى أن القرار تم اتخاذه قبل بضعة أيام فقط من دخول اللائحة العامة لحماية البيانات حيز النفاذ ، ينظر الكثيرون في الوضع ، بما في ذلك من منظور هذا التوجيه. في هذه الحالة ، تعتبر الجامعة بمثابة مراقب للبيانات الشخصية ، وبالتالي فهي مسؤولة عن ضمان سلامتهم. على الرغم من حقيقة أن الموقع تم إنشاؤه منذ فترة طويلة ، في أحد أقسام الجامعة ، وعلى ما يبدو ، دون علم قسم تكنولوجيا المعلومات.
وكان من الممكن أن يكون مبلغ الغرامة أعلى لو حدث الوضع بعد دخول اللائحة الجديدة حيز التنفيذ. إذا كان بإمكان ICO ، وفقًا للقواعد القديمة ، فرض غرامات تصل إلى 500 ألف جنيه إسترليني (حوالي 560 ألف يورو) ، فإن اللائحة العامة لحماية البيانات تنطوي على غرامات تصل إلى 20 مليون يورو أو 4٪ من قيمة التداول العالمية السنوية (خيار أكبر).
من منظور المنظمات الكبيرة
كلما كان الهيكل أكبر ، كلما كان من الصعب الاحتفاظ بالسجلات. خاصة إذا كان الهيكل يحتوي على وحدات مستقلة بما فيه الكفاية ، مثل الكليات أو المكاتب / الإنتاج البعيد. لكن هذا ليس سببا للنسيان.
يجب أن تقوم أقسام تكنولوجيا المعلومات المسؤولة مرة أخرى بتحديث في الذاكرة بضع قواعد بسيطة من شأنها أن تساعد على تجنب هذا الموقف:
- قم بالتحديث بانتظام. في الواقع ، القاعدة واضحة ، كان من المحرج حتى الكتابة. ولكن من نواح عديدة كان عدم امتثاله هو الذي أدى إلى العواقب الموصوفة أعلاه.
- إخراج القمامة في الوقت المحدد. كم مرة ننشئ بعض المواقع والملفات والمجلدات المفتوحة والحسابات بكلمات مرور بدائية لأداء مهام قصيرة المدى لمرة واحدة؟ أعتقد أن الكثير من الناس يفعلون ذلك في بعض الأحيان. ولكن في بعض الأحيان ننسى حذفها فورًا بعد اكتمال المهمة ، وبالتالي نفتح ثغرة أمنية معينة. من يدري متى سيجد شخص ما test.php الخاص بك مع الوصول المباشر إلى قاعدة البيانات؟ ..
إذا كان شخص ما على الأقل يشجع هذا المقال على مراجعة موارده ، خاصة تلك التي خدمت موارده الخاصة ، فإن يومي لم يضيع.
كمرجع
مكتب مفوض المعلومات هو منظمة بريطانية تم إنشاؤها لحماية ودعم حقوق المعلومات للمصلحة العامة. لديها عدد من الالتزامات بموجب قانون حماية البيانات لعام 1998 ، وقانون حرية المعلومات لعام 2000 ، ولوائح المعلومات البيئية لعام 2004 ، ولوائح الخصوصية والاتصالات الإلكترونية لعام 2003 (اللائحة الخصوصية والاتصالات الإلكترونية).
من بين مهام المكتب تعديل سلوك المنظمات والأشخاص الذين يقومون بجمع ومعالجة واستخدام البيانات الشخصية. تحت تصرفه ترسانة واسعة من آليات التأثير ، من التدقيق إلى الغرامات والملاحقة الجنائية. بعض الحالات من ممارستهم قد تفاجئ أو حتى الحسد.
- تم تغريم كل من Costelloe و Kelly Limited 19000 جنيه إسترليني لإرسال أكثر من 260.000 رسالة غير مرغوب فيها تعلن عن حزم جنازات.
- تم تغريم الخدمة البريدية الملكية بمبلغ 12000 جنيه إسترليني لإيذاء المستخدمين غير المشتركين.
- تم تغريم دائرة الادعاء الملكي 325 ألف جنيه إسترليني لفقدان أقراص دي في دي غير مشفرة لاستجواب الشرطة تتعلق بقضايا 15 من ضحايا الاعتداء الجنسي على الأطفال. وكانت هذه هي الحالة الثانية لفقدان البيانات من قبل النيابة العامة. ليس فقط في بلادنا فوضى ...
- وقد انفصل مستشار التوظيف السابق بأكثر من ألف جنيه لإغراق البيانات من قاعدة بيانات صاحب العمل. ومن منكم دمج المستودعات أو قواعد العملاء قبل مغادرة الشركة؟ ؛)
- دفع مجتمع الكتاب المقدس مائة ألف جنيه من أجل الضعف ، ونتيجة لذلك تم جمع المعلومات عن 417 ألف شخص يدعمون المنظمة. بما في ذلك معلومات عن البطاقات المصرفية وحسابات الأشخاص الذين تبرعوا.
- تم تغريم موظف في قسم التعليم الحكومي المحلي 1500 جنيه إسترليني لإرسال معلومات شخصية للطلاب وأولياء أمورهم عبر Snapchat. وبعد كل شيء لم أخطط أي شيء سيئ. أراد والدا يعيش بشكل منفصل الحصول على بعض المعلومات عن طفله. لكن منذ ذلك الحين لا تعرف الكاميرا الموجودة على الهاتف كيفية إزالة سطر واحد فقط من الجهاز اللوحي ؛ فقد تلقى الوالد بيانات شخصية لـ 37 طالبًا ووالديهم ، بما في ذلك الأسماء والعناوين وتواريخ الميلاد وأرقام الضمان الاجتماعي. وبالمناسبة ، لم تعد تعمل هناك.
يمكن للمرء أن يأمل فقط أن يأتي موقف حضاري ومحترم تجاه البيانات إلى أراضينا عاجلاً أم آجلاً.
شكرا لك على البقاء معنا. هل تحب مقالاتنا؟ هل تريد رؤية مواد أكثر إثارة للاهتمام؟ ادعمنا عن طريق تقديم طلب أو التوصية به لأصدقائك ،
خصم 30 ٪ لمستخدمي Habr على نظير فريد من خوادم مستوى الدخول التي اخترعناها لك: الحقيقة الكاملة حول VPS (KVM) E5-2650 v4 (6 نوى) 10GB DDR4 240GB SSD 1Gbps من 20 $ أو كيفية تقسيم الخادم؟ (تتوفر الخيارات مع RAID1 و RAID10 ، حتى 24 مركزًا وحتى 40 جيجابايت DDR4).
ديل R730xd أرخص مرتين؟ فقط لدينا
2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV من 249 دولارًا في هولندا والولايات المتحدة! اقرأ عن
كيفية بناء مبنى البنية التحتية الطبقة باستخدام خوادم Dell R730xd E5-2650 v4 بتكلفة 9000 يورو مقابل سنت واحد؟