Iz Agencije za zaštitu osobnih podataka (AZOP) objavili su svoju najnoviju odluku o upravnoj novčanoj kazni jednom domaćem poduzeću, koje je nedavno bilo žrtvom napada ucjenjivačkim zloćudnim softverom (ransomwareom).  Povreda pravila propisanih GDPR-om otkrivena je nakon ransomware napada kojim su kompromitirani dijelovi IT sustava tvrtke. Iako nije potvrđeno iznošenje osobnih podataka, Agencija je utvrdila da voditelj obrade nije poduzeo sve potrebne preventivne mjere za sprječavanje napada i smanjenje rizika, pa im je stoga određena i kazna u visini od 35.000 eura.

Upali kroz VPN

AZOP je objavio i nešto više detalja o ovom slučaju, ne otkrivajući ime kažnjene tvrtke. Ona je, kako stoji u rješenju, pretrpjela kibernetički napad pri čemu je prema forenzičkim saznanjima kriptiran dio poslovnih podataka. Odmah po saznanju o napadu angažirana je specijalizirana tvrtka iz područja informacijske sigurnosti za potrebe forenzičke istrage, poduzimanja mjera izoliranja napada, primjenu odgovarajućih mjera za zaštitu informacijskog sustava od daljnjih napada i suradnje na provođenju mjera radi oporavka sustava na siguran način.

Forenzikom je utvrđeno da je neovlašteni pristup sustavu ostvaren iskorištavanjem ranjivosti na uređaju koji se koristi kao vanjska VPN pristupna točka, da je daljnji pristup resursima IT sustava ostvaren primjenom "brute-force" napada, ali i da nisu utvrđeni dokazi da su ovim incidentom bilo koji osobni podaci izneseni iz sustava napadnute tvrtke i neovlašteno upotrijebljeni ili da je obavljena bilo kakva druga obrada osim njihova zaključavanja. Doznalo se i da je pristup IT sustavu ostvaren iskorištavanjem ranjivosti na vatrozidu, iskorištavanjem ranjivosti CISCO ASA VPN Web portala.

Zastarjeli Windows serveri

Napadač je iskorištavanjem ranjivosti na serveru Windows 2008 (!) proveo uspješnu eskalaciju svojih privilegija, odnosno ostvario pristup Local Administrator grupi, potom ostvario pristup računalnim sustavima tvrtke te instalirao i koristio alate za udaljeni pristup, pa je tako pokrenuo i ransomware softver za enkripciju podataka. Napadnuta tvrtka imala je vlastiti podatkovni centar sa sekundarnom lokacijom na istoj adresi ali u drugoj zgradi, a iz rješenja se može zaključiti da djeluje u području zdravstva.

Daljnja istraga pokazala je kršenje nekoliko odredbi Opće uredbe o zaštiti podataka (GDPR), zbog kojih je određena i spomenuta novčana kazna:

• Sigurnost obrade (čl. 32. GDPR-a): nepravovremena implementacija tehničkih i organizacijskih mjera, uključujući izostanak 2FA zaštite za VPN pristup, korištenje zastarjelih operativnih sustava, nepostojanje sustava nadzora i detekcije napada u stvarnom vremenu (SIEM), te neadekvatno osiguravanje sigurnosnih kopija.
• Transparentnost informiranja (čl. 12. i 13. GDPR-a): ispitanicima nisu pružene jasne, razumljive i lako dostupne informacije o obradi osobnih podataka; politika privatnosti nije ažurirana gotovo šest godina i nije bila javno dostupna.
• Edukacija zaposlenika (čl. 32. st. 4. GDPR-a): edukacije o zaštiti osobnih podataka bile su površne i povremene, bez kontinuiranog praćenja i osvježavanja znanja.

Ova odluka, zaključuje AZOP, snažan je podsjetnik da su kibernetička sigurnost i zaštita osobnih podataka kontinuirani proces, a ne jednokratna vježba. Redovito testiranje sigurnosnih mjera, edukacija zaposlenika i transparentna komunikacija s ispitanicima ključni su za usklađenost i povjerenje. Tvrtka je nakon incidenta započela izgradnju novog podatkovnog centra i pokrenula nadogradnju poslužitelja na nove verzije operacijskih sustava.