Pocos días antes de la entrada en vigor del GDPR, la Universidad de Greenwich estaba en problemas. La Oficina del Comisionado de Información (la oficina del Comisionado de Información es una agencia independiente de aplicación de la ley del Reino Unido) multó a la universidad con £ 120 mil (al momento de escribir este documento, esto es alrededor de 136 mil euros, 160 mil dólares estadounidenses, 10 millones de rusos rublos, 4,2 millones de hryvnias ucranianas) por una grave vulnerabilidad de seguridad que condujo a la filtración de datos de casi 20 mil estudiantes y personal. Cómo una universidad tan seria logró obtener el ICO y convertirse en la primera universidad multada por violar el DPA, y lo que nos enseña a leer debajo del corte.
Todo comenzó en 2004. Luego, la universidad celebró una conferencia académica en la Escuela de Computación y Matemáticas (escuela de informática y matemáticas), en la que uno de los estudiantes creó un micrositio. Una de sus funciones era la carga anónima de documentos. La conferencia terminó y simplemente se olvidaron del servidor. Nadie lo apagó, lo formateó o lo actualizó. Él solo crujió silenciosamente en la esquina durante muchos años (envidiamos los presupuestos de la universidad que nos permiten olvidarnos de los servidores y la energía que consumen).
Finalmente, en 2013, es decir 9 (!) Años después, el primer cracker llegó al servidor y utilizó con éxito la función de descarga anónima para comprometer el micrositio. Y nadie se dio cuenta con éxito de esto. Lo cual es bastante predecible: ¿cómo se puede ver la piratería en el servidor si no han prestado atención al servidor durante 9 años?
Varias veces, los hackers ingresaron a la red de la universidad en 2016 utilizando vulnerabilidades de SQL y PHP que no se habían actualizado durante 12 años en ese momento. Y de nuevo, esto no se notó de inmediato. Solo aprendieron sobre piratería y descarga de datos cuando uno de los piratas informáticos lo publicó por completo en Pastebin.
Y se filtraron mucho. La información personal de aproximadamente 19,500 estudiantes, graduados y empleados universitarios, incluidos nombres, direcciones y teléfonos, se puso a disposición del público. Además de datos más confidenciales de 3.500 personas, incluida no solo la justificación del absentismo, sino también datos sobre dificultades con la capacitación, enfermedades, etc.
La universidad reconoció su error y llevó a cabo una "limpieza general" para aumentar significativamente la seguridad de sus recursos internos.
¿Qué nos enseña esto?
La situación resultó ser curiosa, pero muy instructiva. Y las lecciones se pueden aprender desde diferentes ángulos.
En términos de GDPR
Dado que la decisión se tomó solo unos días antes de la entrada en vigor del GDPR, muchos consideran la situación, incluso desde la perspectiva de esta directiva. En este caso, la universidad se considera un controlador de datos personales y, en consecuencia, es responsable de garantizar su seguridad. Incluso a pesar de que el sitio fue creado hace mucho tiempo, en uno de los departamentos de la universidad y, aparentemente, sin el conocimiento del departamento de TI.
El monto de la multa podría haber sido mayor si la situación hubiera ocurrido después de la entrada en vigor de la nueva regulación. Si, de acuerdo con las viejas reglas, el ICO puede imponer multas de hasta 500 mil libras (aproximadamente 560 mil euros), el GDPR implica multas de hasta 20 millones de euros o el 4% de la facturación global anual (una opción más grande).
Desde la perspectiva de grandes organizaciones
Cuanto más grande es la estructura, más difícil es mantener registros. Especialmente si la estructura tiene unidades suficientemente autónomas, como facultades u oficinas remotas / producción. Pero esta no es una razón para olvidar.
Los departamentos de TI responsables deberían actualizar una vez más en la memoria un par de reglas simples que ayudarían a evitar esta situación:
- Actualiza regularmente. De hecho, la regla es obvia, incluso fue vergonzoso escribir. Pero en muchos sentidos fue su incumplimiento lo que condujo a las consecuencias descritas anteriormente.
- Saca la basura a tiempo. ¿Con qué frecuencia creamos algunos sitios temporales, archivos, carpetas abiertas, cuentas con contraseñas primitivas para realizar tareas únicas a corto plazo? Creo que muchas personas lo hacen a veces. Pero a veces nos olvidamos de eliminarlos inmediatamente después de completar la tarea y, por lo tanto, abrir un cierto agujero de seguridad. ¿Quién sabe qué tan pronto alguien encontrará tu test.php con acceso directo a la base de datos? ..
Si al menos alguien en este artículo alienta a auditar sus recursos, especialmente aquellos que han servido los suyos, entonces mi día no se desperdició.
Para referencia
La Oficina del Comisionado de Información es una organización británica creada para proteger y defender los derechos de información en interés público. Tiene una serie de obligaciones en virtud de la Ley de Protección de Datos de 1998, la Ley de Libertad de Información de 2000, el Reglamento de Información Ambiental de 2004 y el Reglamento de Privacidad y Comunicaciones Electrónicas de 2003 (Reglamento privacidad y comunicaciones electrónicas).
Entre las tareas de la oficina está el ajuste del comportamiento de las organizaciones y personas que recopilan, procesan y utilizan datos personales. A su disposición hay un amplio arsenal de mecanismos de influencia, desde auditorías hasta multas y procesos penales. Algunos casos de su práctica pueden sorprender o incluso envidiar.
- Costelloe y Kelly Limited fueron multados con £ 19,000 por enviar más de 260,000 mensajes de spam que anunciaban paquetes funerarios.
- El Servicio Postal Real fue multado con £ 12,000 por enviar spam a usuarios no suscritos.
- El Servicio de Fiscalía Real ha sido multado con £ 325,000 por la pérdida de DVD de encriptación policial no encriptados relacionados con los casos de 15 víctimas de abuso sexual infantil. Y este fue el segundo caso de pérdida de datos por parte de la fiscalía. No solo en nuestros países es un desastre ...
- El ex consultor de empleo rompió con más de mil libras por arrojar datos de la base de datos del empleador. ¿Y quién de ustedes fusionó repositorios o bases de clientes antes de abandonar la empresa? ;)
- La comunidad bíblica pagó cien mil libras por la vulnerabilidad, debido a lo cual se recopiló información acerca de 417 mil personas que apoyan a la organización. Incluyendo información sobre tarjetas bancarias y cuentas de personas que donaron.
- Un empleado del departamento de educación del gobierno local fue multado con £ 1,500 por enviar información personal a los estudiantes y sus padres a través de Snapchat. Y después de todo, no planeé nada malo. Un padre que vive por separado quería obtener información sobre su hijo. Pero desde la cámara del teléfono no sabe cómo quitar solo una línea de la tableta, el padre recibió datos personales de 37 estudiantes y sus padres, incluidos nombres, direcciones, fechas de nacimiento y números de seguro social. Y por cierto, ella ya no trabaja allí.
Uno solo puede esperar que una actitud civilizada y respetuosa hacia los datos llegue a nuestras tierras tarde o temprano.
Gracias por quedarte con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más materiales interesantes?
Apóyenos haciendo un pedido o recomendándolo a sus amigos, un
descuento del 30% para los usuarios de Habr en un análogo único de servidores de nivel de entrada que inventamos para usted: toda la verdad sobre VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps de $ 20 o cómo dividir el servidor? (las opciones están disponibles con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato? Solo tenemos
2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV desde $ 249 en los Países Bajos y los EE. UU. Lea sobre
Cómo construir un edificio de infraestructura. clase utilizando servidores Dell R730xd E5-2650 v4 que cuestan 9,000 euros por un centavo?