Nur wenige Tage vor dem Inkrafttreten der DSGVO war die Universität von Greenwich in Schwierigkeiten. Das Büro des Informationskommissars (das Büro des Informationskommissars ist eine unabhängige Organisation zur Überwachung der Einhaltung der Gesetze im britischen Informationsumfeld) verhängte gegen die Universität eine Geldstrafe in Höhe von 120.000 GBP (zum Zeitpunkt des Schreibens sind dies etwa 136.000 Euro, 160.000 US-Dollar, 10 Millionen Russen) Rubel, 4,2 Millionen ukrainische Griwna) für eine schwerwiegende Sicherheitslücke, die zu einem Datenverlust von fast 20.000 Studenten und Mitarbeitern führte. Wie eine so ernsthafte Universität es geschafft hat, unter die ICO-Verteilung zu geraten und die erste Universität zu werden, die wegen Verstoßes gegen die Datenschutzbestimmungen mit einer Geldstrafe belegt wurde, und was sie uns lehrt, unter dem Strich zu lesen.
Alles begann im Jahr 2004. Anschließend veranstaltete die Universität eine akademische Konferenz an der Computing and Mathematics School (Fakultät für Informatik und Mathematik), auf der einer der Studenten eine Microsite erstellte. Eine seiner Funktionen war das anonyme Laden von Dokumenten. Die Konferenz war vorbei und sie vergaßen einfach den Server. Niemand hat es ausgeschaltet, formatiert oder aktualisiert. Er raschelte viele Jahre lang leise in der Ecke (wir beneiden die Budgets der Universität, die uns die Server und den Energieverbrauch vergessen lassen).
Schließlich wurde 2013, d.h. 9 (!) Jahre später erreichte der erste Cracker den Server und nutzte die anonyme Download-Funktion erfolgreich, um die Microsite zu gefährden. Und niemand hat das erfolgreich bemerkt. Was ist ziemlich vorhersehbar - wie kann man Hacking auf dem Server sehen, wenn sie den Server seit 9 Jahren nicht mehr beachtet haben?
Mehrmals betraten Hacker 2016 das Netzwerk der Universität mithilfe von SQL- und PHP-Schwachstellen, die zu diesem Zeitpunkt seit 12 Jahren nicht mehr aktualisiert wurden. Und wieder wurde dies nicht sofort bemerkt. Sie lernten das Hacken und Dumping von Daten erst, als einer der Hacker sie vollständig auf Pastebin veröffentlichte.
Und sie sind viel durchgesickert. Die persönlichen Daten von rund 19.500 Studenten, Absolventen und Universitätsangestellten, einschließlich Namen, Adressen und Telefonen, wurden öffentlich zugänglich gemacht. Sowie sensiblere Daten von 3.500 Personen, darunter nicht nur die Begründung für Fehlzeiten, sondern auch Daten zu Schwierigkeiten bei der Ausbildung, bei Krankheiten usw.
Die Universität erkannte ihren Fehler an und führte eine „allgemeine Reinigung“ durch, um die Sicherheit ihrer internen Ressourcen erheblich zu erhöhen.
Was lehrt uns das?
Die Situation erwies sich als merkwürdig, aber sehr lehrreich. Und Lehren können aus verschiedenen Blickwinkeln gezogen werden.
In Bezug auf die DSGVO
Angesichts der Tatsache, dass die Entscheidung nur wenige Tage vor Inkrafttreten der DSGVO getroffen wurde, betrachten viele die Situation, auch aus der Sicht dieser Richtlinie. In diesem Fall gilt die Universität als Kontrolleur personenbezogener Daten und ist dementsprechend für deren Sicherheit verantwortlich. Auch trotz der Tatsache, dass die Site vor langer Zeit in einer der Abteilungen der Universität und anscheinend ohne das Wissen der IT-Abteilung erstellt wurde.
Die Höhe der Geldbuße hätte höher sein können, wenn die Situation nach dem Inkrafttreten der neuen Verordnung eingetreten wäre. Wenn ein ICO nach den alten Regeln Bußgelder von bis zu 500.000 Pfund (etwa 560.000 Euro) verhängen kann, impliziert die DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes (eine größere Option).
Aus der Sicht großer Organisationen
Je größer die Struktur, desto schwieriger ist es, Aufzeichnungen zu führen. Insbesondere, wenn die Struktur über ausreichend autonome Einheiten wie Fakultäten oder Remote-Büros / -Produktionen verfügt. Dies ist jedoch kein Grund zum Vergessen.
Verantwortliche IT-Abteilungen sollten noch einmal einige einfache Regeln im Speicher aktualisieren, um diese Situation zu vermeiden:
- Regelmäßig aktualisieren. In der Tat ist die Regel offensichtlich, es war sogar peinlich zu schreiben. In vielerlei Hinsicht war es jedoch seine Nichteinhaltung, die zu den oben beschriebenen Konsequenzen führte.
- Nehmen Sie den Müll pünktlich heraus. Wie oft erstellen wir temporäre Sites, Dateien, offene Ordner und Konten mit primitiven Kennwörtern, um einmalige kurzfristige Aufgaben auszuführen? Ich denke, viele Leute machen das manchmal. Manchmal vergessen wir jedoch, sie sofort nach Abschluss der Aufgabe zu löschen und dadurch eine bestimmte Sicherheitslücke zu öffnen. Wer weiß, wie schnell jemand Ihre test.php mit direktem Zugriff auf die Datenbank findet?
Wenn zumindest jemand, den dieser Artikel ermutigt, seine Ressourcen zu prüfen, insbesondere diejenigen, die ihren eigenen gedient haben, dann war mein Tag nicht verschwendet.
Als Referenz
Das Information Commissioner's Office ist eine britische Organisation, die gegründet wurde, um Informationsrechte im öffentlichen Interesse zu schützen und zu wahren. Es hat eine Reihe von Verpflichtungen gemäß dem Data Protection Act 1998, dem Freedom of Information Act 2000, den Environmental Information Regulations 2004 und den Privacy and Electronic Communications Regulations 2003 (Regulation) Datenschutz und elektronische Kommunikation).
Zu den Aufgaben des Büros gehört die Anpassung des Verhaltens von Organisationen und Personen, die personenbezogene Daten sammeln, verarbeiten und verwenden. Ihm steht ein breites Arsenal an Einflussmechanismen zur Verfügung, von der Prüfung über Geldbußen bis hin zur strafrechtlichen Verfolgung. Einige Fälle aus ihrer Praxis können überraschen oder sogar beneiden.
- Costelloe und Kelly Limited wurden mit einer Geldstrafe von 19.000 GBP belegt, weil sie über 260.000 Spam-Nachrichten für Bestattungspakete verschickt hatten.
- Der Royal Postal Service wurde mit einer Geldstrafe von £ 12.000 belegt, weil er nicht abonnierte Benutzer spammte.
- Die Royal Prosecution Service wurde mit einer Geldstrafe von 325.000 GBP belegt, weil sie unverschlüsselte DVDs mit polizeilichen Verhören verloren hat, die sich auf Fälle von 15 Opfern sexuellen Kindesmissbrauchs beziehen. Und dies war der zweite Fall von Datenverlust durch die Staatsanwaltschaft. Nicht nur in unseren Ländern ein Chaos ...
- Der ehemalige Arbeitsberater hat mit mehr als tausend Pfund Schluss gemacht, um Daten aus der Datenbank des Arbeitgebers zu speichern. Und wer unter Ihnen hat Repositories oder Kundenstämme zusammengelegt, bevor er das Unternehmen verlassen hat? ;)
- Die Bibelgemeinschaft zahlte hunderttausend Pfund für die Verwundbarkeit, aufgrund derer Informationen über etwa 417.000 Menschen gesammelt wurden, die die Organisation unterstützen. Einschließlich Informationen zu Bankkarten und Konten von Personen, die gespendet haben.
- Ein Mitarbeiter der Bildungsabteilung der örtlichen Regierung wurde mit einer Geldstrafe von 1.500 GBP belegt, weil er über Snapchat persönliche Informationen an Schüler und deren Eltern gesendet hatte. Und schließlich habe ich nichts Schlechtes geplant. Ein Elternteil, der getrennt lebte, wollte Informationen über sein Kind erhalten. Aber seitdem Die Kamera am Telefon weiß nicht, wie nur eine Zeile des Tablets entfernt werden soll. Die Eltern erhielten personenbezogene Daten von 37 Schülern und ihren Eltern, einschließlich Namen, Adressen, Geburtsdaten und Sozialversicherungsnummern. Übrigens arbeitet sie dort nicht mehr.
Man kann nur hoffen, dass früher oder später eine zivilisierte und respektvolle Haltung gegenüber Daten in unser Land kommt.
Vielen Dank für Ihren Aufenthalt bei uns. Gefällt dir unser Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung
aufgeben oder Ihren Freunden empfehlen, einen
Rabatt von 30% für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s von $ 20 oder wie teilt man den Server? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).
Dell R730xd 2 mal günstiger? Nur wir haben
2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV von 249 US-Dollar in den Niederlanden und den USA! Lesen Sie mehr über
den Aufbau eines Infrastrukturgebäudes. Klasse mit Dell R730xd E5-2650 v4 Servern für 9.000 Euro für einen Cent?