Zamislimo situaciju da naša organizacija već niz godina uživa blagodati mira jer je nijedno nadzorno tijelo ništa ne pita.

Idila. Nitko nema pojma da smo izloženi, pa ni mi sami.

 

Dok nam Ragnar Locker hakeri ne pokucaju na vrata. Pardon, na portove.

Ragnar Locker se pojavio u prosincu 2019. godine i cilja korporativne mreže i koristi taktiku višestruke ucjene – zahtijeva plaćanje za alate za dešifriranje, kao i za neobjavljivanje ukradenih podataka. Ragnar Locker je opasna prijetnja koja ne tolerira korištenje “pregovaračkih” ili “tvrtki za oporavak” tijekom pregovora o otkupnini. Uobičajeno ciljaju organizacije u raznim industrijama, uključujući zdravstvo, vladu, tehnologiju, financije, obrazovanje i medije.

Da ne duljimo, kad ta ekipa napadne, vrlo brzo možemo na najteži način saznati kako nam je sigurnost sustava na nedopustivo niskim razinama.

Točno to se dogodilo jednoj sveučilišnoj bolnici u Italiji, koja je propustila implementirati ključne sigurnosne mjere zaštite osobnih podataka i vlastitih sustava.

 

Više o slučaju ovdje:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10086523&mtc=today

 

A što je sve Ragnar Locker ekipa probila?

  1. Iskoristili su sigurnosni propust u firewallu bolnice pa su došli do domenskih kredencijala koje je koristio dobavljač firewalla
  2. Iskoristili su domenske vjerodajnice i VPN vezu za slobodno kretanje kroz mrežu bolnice
  3. Pri tom su dalje otkrivali sigurnosne propuste u mreži bolnice
  4. Poigrali su se s razinama prava pristupa sustavima
  5. Pristupili su glavnom poslužitelju s dokumentacijom
  6. Postigli su puni pristup osobnim podacima pacijenata, zaposlenika i poslovnih suradnika, uključujući zdravstvene podatke
  7. Prenijeli su kopije dokumentacije sa servera u Nizozemskoj na kojem su si osigurali tzv. backdoor
  8. Na serveru su onemogućili antivirusnu zaštitu
  9. Aktivirali su skripte kako bi sve korisnike sustava lijepo obavijestili o ucjeni – plaćanju otkupnine za preuzetu dokumentaciju

 

Posljednjom točkom je bolnica postala svjesna sigurnosnog proboja i o tome sukladno obvezama iz članka 33. GDPR-a obavijestila nadzorno tijelo za zaštitu osobnih podataka.

Naravno, nadzorno tijelo je brzo utvrdilo sigurnosne propuste na strani bolnice, konkretno, da im mreža nije bila segmentirana, VPN pristupu je nedostajala MFA autentifikacija, bolnica je koristila zastarjele komunikacijske protokole, računi za održavanje sustava koristili su zajedničke administratorske vjerodajnice, a otprilike 130 korisnika imalo je maksimalna administratorska prava.

Kazna po GDPR-u je bila neizbježna, a od sada će slijedit i NIS2 kazne.

 

Image from FreePik

#gdprcroatia