Incydent bezpieczeństwa w ochronie danych osobowych

Incydent naruszenia danych osobowych – jak go obsłużyć?

Mija właśnie piąty miesiąc od wejścia w życie nowych przepisów dotyczących ochrony danych osobowych. Okres burzy medialnej związanej z RODO mamy już chyba za sobą. Powoli wszyscy przystosowali się do nowych przepisów, uzupełnili dokumentację, wdrożyli odpowiednie procedury i z mniejszym lub większym zaangażowaniem starają się je realizować. Jednym z najczęściej pojawiających się dylematów związanych z ochroną danych osobowych pozostaje jednak kwestia obsługi incydentów naruszenia ich bezpieczeństwa.

Skąd pomysł na obsługę incydentów?

Zarówno w starej Ustawie o Ochronie Danych Osobowych, jak i w nowych przepisach RODO mowa jest o konieczności prowadzenia rejestru incydentów i wdrożenia procesu prawidłowej ich obsługi. Skąd biorą się takie wymogi? Jest to zapewne pochodna norm ISO, gdzie rejestr taki pełni funkcję kontrolną pozwalającą monitorować i oceniać skuteczność systemu zarządzania bezpieczeństwem informacji. Ilość i częstotliwość pojawiania się incydentów bezpieczeństwa świadczy bowiem o tym, czy nasz system ochrony danych jest skuteczny. Pozwala też zweryfikować czy wprowadzane przez nas zabezpieczenia odnoszą skutek, czyli czy powodują, że liczba incydentów maleje. Continue…

Wymogi dla systemów informatycznych przetwarzających dane osobowe

Niewiele ponad dwa tygodnie pozostały nam do wejścia w życie nowych przepisów o ochronie danych osobowych. Przyjęte przez Parlament Europejski w kwietniu 2016 r. Ogólne Rozporządzenie o Ochronie Danych zwane u nas Rozporządzeniem o Ochronie Danych Osobowych (RODO) zacznie obowiązywać z dniem 25 maja 2018 roku.
Prawnicy aktywnie wspierają swoich klientów w dostosowaniu wymogów formalnych do nowych przepisów. Przygotowanie odpowiednich wzorów klauzul informacyjnych, pytań o zgody na przetwarzanie danych osobowych oraz umów powierzenia bądź udostępnienia danych to jednak nie wszystko. Istotne bowiem jest, aby wraz z działaniami formalno-prawnymi dostosować do nowych realiów infrastrukturę techniczną. I tutaj często pojawia się pytanie, na które prawnicy nie potrafią odpowiedzieć: „jakie wymogi musi spełniać infrastruktura IT, aby uznać ją za zgodną z zapisami RODO”? Problem ten wynika z faktu, iż w przeciwieństwie do „starej” Ustawy o Ochronie Danych Osobowych nowe regulacje nie wskazują konkretnych wymogów technicznych. W całym Rozporządzeniu pojawiają się jedynie ogólne przesłanki dotyczące bezpieczeństwa infrastruktury. Jak się zatem do nich dostosować? Postaramy się pomóc Państwu znaleźć odpowiedź na to pytanie.

Jakie zatem są te ogólne wymagania? Najwięcej na ten temat mówi Artykuł 32 RODO, w którym określono, iż administrator danych osobowych wdraża odpowiednie środki techniczne aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Zwraca się m.in. uwagę na rozwiązania takie jak:

  • Szyfrowanie danych osobowych
  • Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzania

Continue…

Od zainfekowanej witryny do poważnego incydentu bezpieczeństwa – studium przypadku

Poważne wycieki danych i incydenty bezpieczeństwa niekoniecznie muszą być efektem świadomego działania intruzów wymierzonego w konkretny cel. Nie zawsze też są od razu zauważone przez ofiary ataku. Często do poważnego naruszenia bezpieczeństwa dochodzi w wyniku splotu kilku zdarzeń a jego wykrycie może być efektem dociekliwości przypadkowej osoby. Poniżej przedstawiamy zapis ciekawego dochodzenia, w wyniku którego odkryliśmy bardzo poważne zagrożenie dla danych klientów dużej firmy hostingowej.

UWAGA:
W poniższym opisie zawarte są linki do stron internetowych, które padły ofiarą ataków lub są utrzymywane przez organizacje o podejrzanej reputacji. Ich otwarcie może się wiązać z zagrożeniem.

Studium przypadku

Na jednej ze stron Internetowych utrzymywanych w AZ.pl (firma hostingowa należąca do Home.pl obsługująca w Polsce największą ilość domen wg http://top100.wht.pl/) zauważyłem podejrzane zachowanie: wpisanie adresu strony w przeglądarce powodowało przekierowanie na adres http://semanticore.com.pl/admin/dropbox/proposal/, pod którym otwierała się strona udająca Dropboxa i prosząca o zalogowanie się – klasyczny phishing. Pierwsze co mi przyszło do głowy, to że przegapiłem odnowienie domeny i ktoś ją przejął. Ale nie, domena opłacona. Loguję się więc do panelu hostingowego i sprawdzam pliki strony. Kilka z nich posiada dzisiejszą datę modyfikacji, mimo iż żadnych zmian w dniu dzisiejszym nie wprowadzałem. Strona została więc zmodyfikowana w sposób nieautoryzowany. Szybka analiza możliwych wektorów ataku: Continue…

Czy pacjenci mogą czuć się bezpiecznie? Systemy IT w służbie zdrowia celem ataków cyber-przestępców.

Służba zdrowia musi niezwłocznie wdrożyć profesjonalne rozwiązania zapewnienia bezpieczeństwa IT.

Zgodnie z obecnie obowiązującym stanem prawnym od dnia 1 sierpnia 2017 (czyli za niewiele więcej niż rok) dokumentacja medyczna będzie musiała być prowadzona wyłącznie w firmie elektronicznej.

Choć termin wejścia w życie zapisów dotyczących elektronicznych danych medycznych „Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia” był już nieraz przesuwany, i tak może być i tym razem, musimy jednak liczyć się z tym, że ten moment nieuchronnie się zbliża i w końcu nastąpi.

Niewątpliwie wprowadzenie w życie postanowień Ustawy i rozporządzeń kolejnych Ministrów  Zdrowia dotyczących elektronicznej dokumentacji medycznej narzuca na cały system opieki zdrowotnej gigantyczne i bardzo odpowiedzialne zadanie wdrożeniowe. Bardzo liczę na to, że całe przedsięwzięcie zakończy się sukcesem. Konsekwencją uruchomienia systemów elektronicznej informacji medycznej będą zwiększone wymagania w zakresie bezpieczeństwa systemów informatycznych w szpitalach, przychodniach i innych placówkach związanych ochroną zdrowia.

Można wymienić kilka istotnych miejsc w medycznych systemach informatycznych, które mogą być podatne i wrażliwe na cyber-zagrożenia:

  • Bazy danych osobowych,
  • Bazy danych dotyczące stanu zdrowia pacjentów,
  • Systemy podtrzymywania życia i monitorowania stanu pacjentów,
  • Systemy HIS (Health Information Systems) w części medycznej i administracyjnej,
  • Urządzenia medyczne,
  • Pozostałe systemy, które mogą mieć wpływ na realizację kluczowych procesów.

Ottawa-Hospital

W styczniu 2016 rzecznik prasowy Szpitala w Ottawie poinformował, że 4 spośród prawie 10 tysięcy komputerów w szpitalu zostało zaatakowanych z użyciem oprogramowania ransomware. Ten typ złośliwego oprogramowania po kliknięciu na załącznik w przesyłce email, w łącze w emailu lub na stronie internetowej blokuje pliki na infekowanym komputerze. Po zapłaceniu okupu ofiara ataku otrzymuje klucz, który umożliwia ponowne otwarcie zaszyfrowanych plików. W przypadku tego ataku szpital nie zapłacił okupu, a służby informatyczne wyczyściły zawartość dysków i odtworzyły dane z użyciem kopii zapasowych. Szpital poinformował, że dane pacjentów nie były zagrożone.

Continue…

SOC – koncentrat bezpieczeństwa

Ewolucja zagrożeń

Przez ostatnie kilkanaście lat dokonała się radykalna zmiana w dziedzinie zagrożeń związanych ze złośliwym oprogramowaniem. Wirusy, które pod koniec XX wieku miały formę psikusów wyświetlających zabawne komunikaty i efekty dźwiękowe lub wizualne stały się narzędziem w rękach zorganizowanych grup przestępczych. Za dzisiejszym malware’m stoi prężnie funkcjonujący czarny rynek, na którym przebierać można w ofertach sprzedaży 0-dayów, exploitów, exploitpaków, backdorów a nawet gotowych botnetów składających się z tysięcy przejętych komputerów. Wszystko to ułatwia zorganizowanym grupom przestępczym prowadzenie szeroko zakrojonych kampanii phishingowych lub infekowania ransomewarem typu TeslaCrypt, CryptoLocker czy CryptoWall.

Podejście do ochrony

Niestety ewolucji, jaka dokonała się w dziedzinie zagrożeń nie towarzyszyła dotychczas zmiana naszej mentalności w podejściu do ochrony. Gdyby zapytać statystycznego administratora jak zmieniło się jego podejście do zabezpieczenia infrastruktury IT na przestrzeni ostatnich lat to najprawdopodobniej odparłby, iż dyskietkowego MKS-a zastąpił sieciowym, centralnie zarządzanym antywirusem a prostego firewalla urządzeniem typu „next generation”. Bardziej świadomi administratorzy pochwaliliby się może odebraniem praw administratora lokalnego swoim użytkownikom i stosowaniem polis GPO wymuszających bezpieczną politykę haseł. Continue…

Bezpieczeństwo informacji w urzędach

W okresie od września do listopada firma UpGreat bierze udział w trzech konwentach informatyków (wielkopolskim, mazowieckim oraz śląskim) – cyklicznych imprezach organizowanych z myślą o pracownikach urzędów i instytucji publicznych. Podczas tych spotkań omawiane są zagadnienia związane z dostosowywaniem placówek samorządowych do wymogów regulacji prawnych dotyczących m.in. informatyzacji, ochrony danych osobowych czy Krajowych Ram Interoperacyjności. W spotkaniach biorą również udział eksperci firmy UpGreat z zakresu bezpieczeństwa teleinformatycznego, ochrony danych osobowych, audytów i polityk bezpieczeństwa. Nasi konsultanci doradzają informatykom z placówek publicznych w jaki sposób dostosować swoje systemy do wymogów rozporządzenia KRI związanych m.in. z wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji. Omawiamy kwestie dotyczących wdrażania polityk bezpieczeństwa informacji oraz szacowania i analizy ryzyka. Odpowiadamy też na pytania dotyczące znowelizowanej Ustawy o Ochronie Danych Osobowych i obowiązków Administratora Bezpieczeństwa Informacji.
Szczególną uwagę poświęcamy audytom bezpieczeństwa i testom penetracyjnym, które stanowią nieodzowny element zarządzania bezpieczeństwem w każdej organizacji.