Incydent naruszenia danych osobowych – jak go obsłużyć?

Mija właśnie piąty miesiąc od wejścia w życie nowych przepisów dotyczących ochrony danych osobowych. Okres burzy medialnej związanej z RODO mamy już chyba za sobą. Powoli wszyscy przystosowali się do nowych przepisów, uzupełnili dokumentację, wdrożyli odpowiednie procedury i z mniejszym lub większym zaangażowaniem starają się je realizować. Jednym z najczęściej pojawiających się dylematów związanych z ochroną danych osobowych pozostaje jednak kwestia obsługi incydentów naruszenia ich bezpieczeństwa.

Skąd pomysł na obsługę incydentów?

Zarówno w starej Ustawie o Ochronie Danych Osobowych, jak i w nowych przepisach RODO mowa jest o konieczności prowadzenia rejestru incydentów i wdrożenia procesu prawidłowej ich obsługi. Skąd biorą się takie wymogi? Jest to zapewne pochodna norm ISO, gdzie rejestr taki pełni funkcję kontrolną pozwalającą monitorować i oceniać skuteczność systemu zarządzania bezpieczeństwem informacji. Ilość i częstotliwość pojawiania się incydentów bezpieczeństwa świadczy bowiem o tym, czy nasz system ochrony danych jest skuteczny. Pozwala też zweryfikować czy wprowadzane przez nas zabezpieczenia odnoszą skutek, czyli czy powodują, że liczba incydentów maleje. Continue…

Poważne wycieki danych i incydenty bezpieczeństwa niekoniecznie muszą być efektem świadomego działania intruzów wymierzonego w konkretny cel. Nie zawsze też są od razu zauważone przez ofiary ataku. Często do poważnego naruszenia bezpieczeństwa dochodzi w wyniku splotu kilku zdarzeń a jego wykrycie może być efektem dociekliwości przypadkowej osoby. Poniżej przedstawiamy zapis ciekawego dochodzenia, w wyniku którego odkryliśmy bardzo poważne zagrożenie dla danych klientów dużej firmy hostingowej.

UWAGA:
W poniższym opisie zawarte są linki do stron internetowych, które padły ofiarą ataków lub są utrzymywane przez organizacje o podejrzanej reputacji. Ich otwarcie może się wiązać z zagrożeniem.

Studium przypadku

Na jednej ze stron Internetowych utrzymywanych w AZ.pl (firma hostingowa należąca do Home.pl obsługująca w Polsce największą ilość domen wg http://top100.wht.pl/) zauważyłem podejrzane zachowanie: wpisanie adresu strony w przeglądarce powodowało przekierowanie na adres http://semanticore.com.pl/admin/dropbox/proposal/, pod którym otwierała się strona udająca Dropboxa i prosząca o zalogowanie się – klasyczny phishing. Pierwsze co mi przyszło do głowy, to że przegapiłem odnowienie domeny i ktoś ją przejął. Ale nie, domena opłacona. Loguję się więc do panelu hostingowego i sprawdzam pliki strony. Kilka z nich posiada dzisiejszą datę modyfikacji, mimo iż żadnych zmian w dniu dzisiejszym nie wprowadzałem. Strona została więc zmodyfikowana w sposób nieautoryzowany. Szybka analiza możliwych wektorów ataku: Continue…