IT odjel privatne zdravstvene grupacije u Poljskoj „zaboravio“ je ažurirati ključne središnje sustave i programska rješenja iako je bilo jasno da je update spreman za patchiranje zbog pronađenih sigurnosnih rupa u softveru.

Hakeri su pronašli te sigurnosne propuste u sustavima i preuzeli kontrolu nad jednom komponentom cjelokupnog sustava grupacije i pristupili bazi od 21.000 zaposlenika i pacijenata i njihovim osobnim podacima, od imena i prezimena, email adresa, telefonskih brojeva, adresa stanovanja, osobnih identifikacijskih brojeva, podataka računima u bankama, zdravstvenih podataka i pristupnih lozinki za sustave grupacije.

Po krađi istih, hakeri su zahtijevali 3.000.000 USD „nagrade“ za vraćanje istih, a kao dokaz su objavili dio te baze na Dark webu.

Dubinska analiza sigurnosnih propusta utvrdila je, osim izostanka pravovremenog patchiranja sustava loše upravljanje lozinkama, izostanak redovitog testiranja konfiguracije DNS-a, a korisnicima su se dodjeljivali po defaultu admin prava pristupa čime se lako omogućavalo horizontalno širenje zlonamjernih aktivnosti unutar sustava grupacije. Kazna je iznosila 330.000 EUR za izostanak primjerenih sigurnosnih mjera.

 

Unutar GDPR teksta se ni na koji način izravno ne spominje ova obveza.

Ali je utkana u tekst članka 32. kojim se od svakog voditelja obrade, bez obzira radilo se o tvrtki, ustanovi, tijelu javne vlasti, udruzi ili fizičkoj osobi, zahtijeva uvođenje učinkovitih zaštitnih mjera za IT sustave i sve druge sustave obrade i pohrane osobnih podataka, kao i redovito testiranje, mjerenje i ocjenjivanje učinkovitosti tehničkih i organizacijskih mjera.

Moramo se redovito zapitati jesmo li ažurirali naše antivirusne programe i njihove baze, jesmo li ažurirali naše operativne sustave na laptopima, stolnim računalima, serverima, pametnim telefonima i tabletima.

Jesmo li svjesni u koliki rizik ulazimo ako propustimo na koji tjedan ažurirati naše sustave?

Pri tom moramo biti svjesni da su, oni koji stvaraju zlonamjerne programe, uvijek dva koraka ispred nas i ispred najboljih alata za njihovo otkrivanje. Stoga svakim danom kašnjenja u ažuriranju bitno povećavamo šanse da zlonamjernici iskoriste naše ranjivosti i preuzmu kontrolu nad našom dokumentacijom i bazama.

 

Više o slučaju:

https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5112.35.2021&mtc=today

 

Image by DC Studio on Freepik

#gdprcroatia