在GDPR生效前几天,格林威治大学遇到了麻烦。 信息专员办公室(信息专员办公室是英国的独立执法机构)对大学处以12万英镑的罚款(在撰写本文时,分别约为13.6万欧元,16万美元,1000万俄罗斯元)卢布,420万乌克兰格里夫纳),这是一个严重的安全漏洞,导致近2万名学生和教职员工的数据泄漏。 如此严肃的大学如何成功进入ICO发行并成为第一家因违反DPA而被罚款的大学,以及它教给我们的知识。
一切始于2004年。 然后,大学在计算机与数学学校(计算机与数学学校)举行了一次学术会议,其中一名学生创建了一个微型站点。 其功能之一是匿名加载文档。 会议结束了,他们只是忘记了服务器。 没有人关闭,格式化或更新它。 多年来,他只是在街角安静地沙沙作响(我们羡慕大学的预算,让我们忘记了服务器及其消耗的能源)。
最后,在2013年, 9(!)年后,第一个破解程序到达服务器并成功使用匿名下载功能来破坏微站点。 没有人成功注意到这一点。 哪一个是可以预见的-如果他们已经9年没有关注服务器了,怎么会看到服务器上的黑客攻击?
黑客在2016年多次使用SQL和PHP漏洞进入该大学的网络,这些漏洞当时尚未更新12年。 再一次,这没有立即被注意到。 他们只有在其中一名黑客将数据完全发布到Pastebin上时,才了解有关黑客和转储数据的知识。
而且他们泄漏了很多。 公开提供了大约19,500名学生,毕业生和大学员工的个人信息,包括姓名,地址和电话。 以及3500人的更敏感数据,不仅包括旷工的理由,还包括培训困难,疾病等数据。
该大学承认自己的错误,并进行了“常规清洗”,以显着提高其内部资源的安全性。
这对我们有什么启示?
事实证明情况很奇怪,但很有启发性。 并且可以从不同角度学习课程。
就GDPR而言
鉴于该决定是在GDPR生效前几天做出的,因此许多人会考虑这种情况,包括从该指令的角度来看。 在这种情况下,大学被视为个人数据的控制者,因此,有责任确保其安全。 尽管事实上该站点是在很久以前创建的,但是它是在大学的一个系中创建的,并且显然是在IT系未知的情况下创建的。
如果新法规生效后发生了这种情况,罚款额可能会更高。 如果按照旧规则,ICO可以处以最高50万英镑(约合56万欧元)的罚款,GDPR处以最高2000万欧元或年度全球营业额的4%处以罚款(更大的选择)。
从大型组织的角度
结构越大,保存记录就越困难。 特别是如果该结构具有足够的自治单元,例如学院或远程办公室/生产。 但这不是忘记的理由。
负责任的IT部门应该再次刷新一些简单的规则,以帮助避免这种情况:
- 定期更新。 实际上,规则很明显,写起来甚至很尴尬。 但是从很多方面来说,是他的不合规导致了上述后果。
- 准时取出垃圾。 我们多久使用原始密码创建一些临时站点,文件,打开的文件夹,帐户来执行一次短期任务? 我认为很多人有时会这样做。 但是有时我们忘记在任务完成后立即删除它们,从而打开了一定的安全漏洞。 谁知道有多久能直接访问数据库的人找到您的test.php?
如果本文至少鼓励某人审核他们的资源,尤其是那些已经为自己服务的资源,那么我的一天就不会浪费。
供参考
信息专员办公室是一个英国组织,旨在保护和维护公众利益的信息权。 根据1998年《数据保护法》,2000年《信息自由法》,2004年《环境信息条例》以及2003年《隐私和电子通信条例》(法规)隐私和电子通讯)。
办公室的任务之一是调整组织和人员收集,处理和使用个人数据的行为。 从审计到罚款到刑事起诉,各种各样的影响机制可供他使用。 从他们的实践中有些案例可能令人惊讶甚至羡慕。
- Costelloe and Kelly Limited因发送超过260,000条垃圾邮件广告葬礼而被罚款19,000英镑。
- 皇家邮政因向未订阅的用户发送垃圾邮件而被罚款12,000英镑。
- 皇家检察署因丢失与15名儿童性虐待受害者案件有关的未加密警察审讯DVD的损失而被罚款325,000英镑。 这是检察机关第二次丢失数据。 不仅在我们国家一团糟...
- 这位前就业顾问因从雇主数据库中转储数据而分手,共计一千多英镑。 在离开公司之前,你们当中谁合并了存储库或客户群? ;)
- 圣经社区为此漏洞支付了十万英镑,据此收集了大约41.7万支持该组织的信息。 包括有关银行卡和捐赠人帐户的信息。
- 当地政府教育部门的一名雇员因通过Snapchat向学生及其父母发送个人信息而被罚款1,500英镑。 毕竟,我没有计划任何不好的事情。 一位单独居住的父母想获得有关他的孩子的一些信息。 但是因为 由于手机上的相机不知道如何只卸下平板电脑的一行,该家长收到了37名学生及其父母的个人数据,包括姓名,地址,出生日期和社会安全号码。 顺便说一句,她不再在那里工作了。
我们只能希望,文明地对待数据的态度迟早会出现在我们的土地上。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,为我们为您开发
的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 仅
在荷兰和美国,我们有
2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视(249美元起) ! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?