- PVSM.RU - https://www.pvsm.ru -
На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году. Рассказываем об этой ситуации.
[1]
/ Flickr / Stock Catalog [2] / CC BY [3]
В 2014-м году злоумышленники взломали серверы Yahoo и похитили учетные данные полумиллиона пользователей, включая номера телефонов, даты рождения, пароли, вопросы для восстановления аккаунта и ответы на них. О краже стало известно [4] после того, как человек под ником Peace, известный «сливом» данных пользователей Myspace и LinkedIn, начал открыто продавать базу Yahoo всего за 3 биткойна. Объявление появилось в Даркнете в 2016 году, однако злоумышленник заявил, что похитил часть данных еще в 2012-м и до этого продавал их в тайне.
В ходе расследования, к которому в том числе привлекли [5] и ФБР, выяснилось [6], что Yahoo узнала о взломе сразу после случившегося (в конце 2014 года), но предпочла [7] хранить молчание вплоть до сентября 2016. Согласно новому регулированию (GDPR), организации больше не смогут скрывать утечки от общественности так долго. Статьи 33 [8] и 34 [9] нового регламента обязывают компании уведомлять надзорные органы и владельцев ПД в течение 72 часов после обнаружения утечки. За несоблюдение этого правила GDPR предусматривает многомиллионные штрафы (статья 83 [10], пункт 4).
В США тоже сократили дедлайн для уведомления. Например, в Колорадо [11] с сентября этого года все организации будут обязаны сообщать об утечке данных в течение 30 дней (самый короткий срок по всем штатам). В 2017 году еще 8 штатов обновили политики уведомления об утечках данных. В среднем (в США) период уведомления об утечке данных составляет 45 дней.
В случае с Yahoo компания обвиняется в том, что она:
В итоге в Управлении британского комиссара по информации решили, что Yahoo нарушила седьмое правило части первой DPA 1998, в котором говорится о «необходимости принять надлежащие технические и организационные меры для предотвращения несанкционированной или незаконной обработки персональных данных, а также их случайной утери, повреждения и удаления». Согласно разделу 55A DPA 1998, максимальный штраф, который нужно заплатить в таком случае — 500 тыс. фунтов стерлингов. Несмотря на то, что в Управлении учли смягчающие обстоятельства (указанные на стр. 12 в пункте 44 постановления [12] по делу Yahoo, среди которых комиссар выделил сложность кибератаки, готовность компании сотрудничать с представителями власти и другие), от штрафа компании никуда не деться.
Подобный случай произошел [13] с британской компанией TalkTalk, которую взломали в октябре 2015 года. Злоумышленники получили доступ к личной информации 150 тыс. клиентов провайдера, в том числе к конфиденциальным финансовым данным 15 тыс. человек.
В качестве способа взлома преступники выбрали внедрение SQL-кода, а представитель Управления отметил [13], что способы защиты от атак такого типа уже давно разработаны. К тому же до крупного «слива» TalkTalk получали 2 «предупреждения» — атаки в июле и сентябре 2015 года, которые эксплуатировали аналогичную уязвимость. Поэтому в Управлении посчитали [14], что TalkTalk «могли бы предотвратить атаку, если бы предприняли основные шаги для защиты данных клиентов» и выставили компании штраф в размере £400 тыс.
На такую же сумму оштрафовали [15] и ритейлера Carphone Warehouse со штаб-квартирой в Лондоне. Жертвами стали 3 млн клиентов компании: киберпреступники получили доступ к их именам, адресам, номерам телефонов, датам рождения, семейному статусу и истории платежей по кредитным картам.
Причиной утечки данных оказался [16] устаревший софт. В ходе расследования также выяснилось, что компания не проводила стандартное тестирование систем безопасности. Как и в случае Yahoo в Управлении британского комиссара по информации расценили [17] такую халатность серьезным нарушением седьмого правила DPA 1998 и выставили Carphone Warehouse штраф близкий к максимальному.
Джеймс Диппл-Джонстон (James Dipple-Johnstone), заместитель комиссара по операционной деятельности ICO, в блог-посте, посвященном кейсу Yahoo, отмечает [18], что люди доверяют компаниям свои данные в надежде на то, что их личная информация не попадет в руки третьих лиц. Однако не все компании серьезно относятся к защите данных своих клиентов. В таких ситуациях за дело вынуждены взяться представители закона.
/ Flickr / Willi Heidelbach [19] / CC BY [3]
Если организации не в состоянии обеспечить надлежащую защиту персональных данных своих клиентов, они могут искать работу где-то за пределами ЕС, считает заместитель комиссара.
В Управлении понимают, что кибератаки будут происходить и дальше, а методы киберпреступников станут еще более изощренными, однако требуют от организаций максимальных усилий по защите данных своих клиентов.
Как подчеркивает [20] британский комиссар по защите информации Элизабет Денэм (Elizabeth Denham), «компании должны сделать что-то большее, чем просто закрыть дверь. Они должны повесить на нее замок и постоянно проверять его. Они также должны помнить, что бесполезно запирать дверь, оставляя ключ под ковриком».
Автор: 1cloud
Источник [24]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/283564
Ссылки в тексте:
[1] Image: https://habr.com/company/1cloud/blog/414737/
[2] Stock Catalog: https://flic.kr/p/GepQbc
[3] CC BY: https://creativecommons.org/licenses/by/2.0/
[4] известно: https://motherboard.vice.com/en_us/article/aeknw5/yahoo-supposed-data-breach-200-million-credentials-dark-web
[5] привлекли: https://twitter.com/ericgeller/status/779037583179382784?ref_src=twsrc%255Etfw&ref_url=https%253A%252F%252Ftechcrunch.com%252F2016%252F09%252F22%252Fyahoo-confirms-state-sponsored-attacker-stole-personal-data-of-at-least-500-million-users%252F
[6] выяснилось: https://beta.techcrunch.com/2016/09/22/yahoo-confirms-state-sponsored-attacker-stole-personal-data-of-at-least-500-million-users/
[7] предпочла: https://www.recode.net/2016/9/22/13012836/yahoo-is-expected-to-confirm-massive-data-breach-impacting-hundreds-of-millions-of-users
[8] 33: https://gdpr-info.eu/art-33-gdpr/
[9] 34: https://gdpr-info.eu/art-34-gdpr/
[10] 83: https://gdpr-info.eu/art-83-gdpr/
[11] Например, в Колорадо: https://habr.com/company/1cloud/blog/414045/
[12] постановления: https://ico.org.uk/media/action-weve-taken/mpns/2258898/yahoo-uk-services-ltd-mpn-20180521.pdf
[13] произошел: https://www.theguardian.com/business/2016/oct/05/talktalk-hit-with-record-400k-fine-over-cyber-attack
[14] посчитали: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/10/talktalk-gets-record-400-000-fine-for-failing-to-prevent-october-2015-attack/
[15] оштрафовали: https://www.independent.co.uk/news/business/news/carphoe-warehouse-fined-customer-data-risk-millions-ico-cyber-security-a8151166.html
[16] оказался: http://uk.pcmag.com/carphone-warehouse/92822/news/carphone-warehouse-hack-earns-company-ps400k-fine-for-lax-da
[17] расценили: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/01/carphone-warehouse-fined-400-000-after-serious-failures-placed-customer-and-employee-data-at-risk/
[18] отмечает: https://ico.org.uk/about-the-ico/news-and-events/standing-up-for-the-data-rights-of-our-citizens/
[19] Willi Heidelbach: https://www.flickr.com/photos/wilhei/2039096034/
[20] подчеркивает: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/04/building-the-cyber-security-community/
[21] В чём суть контейнеров приложений: https://1cloud.ru/blog/virtualnyj-kontejner-prilozhenija?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog
[22] Что такое SSL-сертификат и зачем его покупать: https://1cloud.ru/blog/zachem-pokupat-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog
[23] RAID-массив в виртуальной машине: https://1cloud.ru/blog/raid-massiv-v-virtualynoy-mashine?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog
[24] Источник: https://habr.com/post/414737/?utm_campaign=414737
Нажмите здесь для печати.