Quelques jours seulement avant l'entrée en vigueur du RGPD, l'Université de Greenwich était en difficulté. Le bureau du commissaire à l'information (le bureau du commissaire à l'information est un organisme d'application de la loi britannique indépendant) a infligé une amende de 120 000 livres sterling à l'université (au moment de la rédaction du présent rapport, cela représente environ 136 mille euros, 160 mille dollars américains, 10 millions de russes) roubles, 4,2 millions de hryvnia ukrainiennes) pour une grave vulnérabilité de sécurité qui a entraîné la fuite de données de près de 20 000 étudiants et membres du personnel. Comment une université aussi sérieuse a réussi à passer sous l'ICO et à devenir la première université à payer une amende pour avoir violé la DPA, et ce qu'elle nous apprend à lire sous la coupe.
Tout a commencé en 2004. Ensuite, l'université a organisé une conférence académique à l'école d'informatique et de mathématiques (école d'informatique et de mathématiques), dans laquelle l'un des étudiants a créé un microsite. L'une de ses fonctions était le chargement anonyme de documents. La conférence était terminée et ils ont simplement oublié le serveur. Personne ne l'a désactivé, formaté ou mis à jour. Il a simplement bruissé tranquillement dans le coin pendant de nombreuses années (nous envions les budgets de l'université qui nous font oublier les serveurs et l'énergie qu'ils consomment).
Enfin, en 2013, soit 9 (!) Ans plus tard, le premier pirate a atteint le serveur et a utilisé avec succès la fonction de téléchargement anonyme pour compromettre le microsite. Et personne n'a réussi à le remarquer. Ce qui est tout à fait prévisible - comment peut-on voir le piratage sur le serveur s'ils n'ont pas fait attention au serveur depuis 9 ans déjà?
Plusieurs pirates ont pénétré le réseau de l'université en 2016 en utilisant des vulnérabilités SQL et PHP qui n'avaient pas été mises à jour depuis 12 ans à l'époque. Et encore une fois, cela n'a pas été remarqué immédiatement. Ils n'ont appris le piratage et le dumping de données que lorsque l'un des pirates les a entièrement publiées sur Pastebin.
Et ils ont beaucoup fui. Les informations personnelles d'environ 19 500 étudiants, diplômés et employés de l'université, y compris les noms, adresses et téléphones, ont été rendues publiques. Ainsi que des données plus sensibles de 3 500 personnes, comprenant non seulement la justification de l'absentéisme, mais aussi des données sur les difficultés de formation, les maladies, etc.
L'université a reconnu son erreur et a procédé à un «nettoyage général» afin d'augmenter considérablement la sécurité de ses ressources internes.
Qu'est-ce que cela nous enseigne?
La situation s'est avérée curieuse, mais très instructive. Et les leçons peuvent être apprises sous différents angles.
En termes de GDPR
Étant donné que la décision a été prise quelques jours seulement avant l'entrée en vigueur du RGPD, beaucoup considèrent la situation, y compris du point de vue de cette directive. Dans ce cas, l'université est considérée comme un responsable du traitement des données personnelles et, en conséquence, est responsable d'assurer leur sécurité. Même si le site a été créé il y a longtemps, dans l'un des départements de l'université et, apparemment, à l'insu du service informatique.
Le montant de l'amende aurait pu être plus élevé si la situation s'était produite après l'entrée en vigueur du nouveau règlement. Si, selon les anciennes règles, l'ICO peut infliger des amendes allant jusqu'à 500 mille livres (environ 560 mille euros), le RGPD implique des amendes pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel (une option plus importante).
Du point de vue des grandes organisations
Plus la structure est grande, plus il est difficile de tenir des registres. Surtout si la structure a des unités suffisamment autonomes, telles que des facultés ou des bureaux distants / production. Mais ce n'est pas une raison pour oublier.
Les services informatiques responsables devraient à nouveau actualiser en mémoire quelques règles simples qui permettraient d'éviter cette situation:
- Mettez à jour régulièrement. En fait, la règle est évidente, c'était même gênant d'écrire. Mais à bien des égards, c'est sa non-conformité qui a conduit aux conséquences décrites ci-dessus.
- Sortez la poubelle à temps. À quelle fréquence créons-nous des sites temporaires, des fichiers, des dossiers ouverts, des comptes avec des mots de passe primitifs pour effectuer des tâches ponctuelles à court terme? Je pense que beaucoup de gens le font parfois. Mais parfois, nous oublions de les supprimer immédiatement après la fin de la tâche et ouvrons ainsi un certain trou de sécurité. Qui sait combien de temps quelqu'un trouvera votre test.php avec un accès direct à la base de données? ..
Si au moins quelqu'un que cet article encourage à vérifier leurs ressources, en particulier celles qui ont servi les leurs, alors ma journée n'a pas été perdue.
Pour référence
Le Bureau du commissaire à l'information est une organisation britannique créée pour protéger et défendre les droits à l'information dans l'intérêt public. Il a un certain nombre d'obligations en vertu de la loi de 1998 sur la protection des données, de la loi de 2000 sur la liberté d'information, du règlement de 2004 sur l'information environnementale et du règlement de 2003 sur la confidentialité et les communications électroniques confidentialité et communications électroniques).
Parmi les tâches du bureau figure l'adaptation du comportement des organisations et des personnes collectant, traitant et utilisant des données personnelles. Il dispose d'un large arsenal de mécanismes d'influence, de l'audit aux amendes et aux poursuites pénales. Certains cas de leur pratique peuvent surprendre ou même envier.
- Costelloe et Kelly Limited ont été condamnés à une amende de 19 000 £ pour avoir envoyé plus de 260 000 messages de spam annonçant des colis funéraires.
- Le Royal Postal Service a été condamné à une amende de 12 000 £ pour avoir spammé des utilisateurs non abonnés.
- Le Royal Prosecution Service a été condamné à une amende de 325 000 livres sterling pour la perte de DVD d'interrogatoire de police non chiffrés concernant les cas de 15 victimes d'abus sexuels sur des enfants. Et c'était le deuxième cas de perte de données par le parquet. Non seulement dans nos pays un gâchis ...
- L'ancien consultant en emploi a rompu avec plus d'un millier de livres pour avoir déversé des données de la base de données de l'employeur. Et qui parmi vous a fusionné des référentiels ou des bases de clients avant de quitter l'entreprise? ;)
- La communauté biblique a payé cent mille livres pour cette vulnérabilité, grâce à laquelle des informations ont été recueillies sur environ 417 mille personnes qui soutiennent l'organisation. Y compris des informations sur les cartes bancaires et les comptes des personnes qui ont fait un don.
- Un employé du département de l'éducation du gouvernement local a été condamné à une amende de 1 500 £ pour avoir envoyé des informations personnelles aux élèves et à leurs parents via Snapchat. Et après tout, je n'avais rien prévu de mal. Un parent vivant séparément voulait obtenir des informations sur son enfant. Mais depuis l'appareil photo sur le téléphone ne sait pas comment supprimer une seule ligne de la tablette, le parent a reçu les données personnelles de 37 élèves et de leurs parents, y compris les noms, adresses, dates de naissance et numéros de sécurité sociale. Et d'ailleurs, elle n'y travaille plus.
On ne peut qu'espérer qu'une attitude civilisée et respectueuse envers les données arrivera tôt ou tard sur nos terres.
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
réduction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbps à partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel Dodeca-Core Xeon E5-2650v4 128 Go DDR4 6x480 Go SSD 1 Gbps 100 TV à partir de 249 $ aux Pays-Bas et aux États-Unis! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?