В марте этого года Управление уполномоченного по информации (ICO) оштрафовало Tuckers Solicitors LLP на 98 000 фунтов стерлингов.
Компания Tuckers подверглась атаке программ-вымогателей, которая привела к шифрованию почти миллиона файлов и размещению небольшого количества из них в темной сети. Атаки программ-вымогателей являются уголовными преступлениями в соответствии с Законом о неправомерном использовании компьютеров. Так почему же Такерс, жертва серьезного уголовного деяния, в конечном итоге был оштрафован ICO?
Ответ кроется в обязательствах, налагаемых на предприятия законами Великобритании о защите данных. Организации, которые собирают и используют информацию об идентифицируемых лицах (которая известна как персональные данные), должны соблюдать принципы защиты данных, изложенные в Общем регламенте Великобритании по защите данных. Они содержат общие принципы надлежащей обработки данных, а не очень конкретные правила.
Безопасность данных является ключевой. Соответствующий принцип защиты данных гласит, что персональные данные должны использоваться “способом, обеспечивающим надлежащую безопасность персональных данных … с использованием соответствующих технических или организационных мер”. В этом принципе заложена большая гибкость. Обеспечение безопасности персональных данных при любых обстоятельствах не является абсолютным обязательством, которое было бы нереалистичным и невыполнимым. Вместо этого это требует от организаций принятия соответствующих мер для обеспечения надежного хранения персональных данных.
На практике предприятия должны оценить вероятные угрозы, потенциальную ценность хранящихся у них данных и доступные меры безопасности. В качестве аналогии подумайте о безопасности вашего дома. Вы, безусловно, хотели бы иметь работающие замки на дверях и действующую страховую защиту. Если у вас есть какие-либо особо ценные предметы, вы можете предпринять дополнительные шаги, например, воспользоваться запирающимся сейфом. При некоторых обстоятельствах вы можете установить видеонаблюдение или даже нанять охранника, но это подойдет не для каждого дома.
Возвращаясь к Tuckers, тот факт, что персональные данные, за которые отвечал Tuckers, попали в чужие руки, сам по себе не является доказательством нарушения закона о защите данных. Организация может принять, казалось бы, идеальные меры безопасности, и все же оказаться жертвой ранее неизвестной или особо сложной угрозы. К сожалению для Tuckers, расследование ICO показало, что это не так.
Атака программы-вымогателя затронула архивный сервер Tuckers. Злоумышленник зашифровал почти миллион отдельных файлов, содержащихся в 25 000 судебных пакетах. Эти пакеты содержали персональные данные, относящиеся к тысячам людей, и включали конфиденциальную информацию, касающуюся уголовных преступлений и обвинений. Наиболее разрушительным было то, что злоумышленнику удалось загрузить 60 пакетов судебных решений, которые позже были опубликованы в темной паутине.
Tuckers действовали сразу же, как только обнаружили атаку. Как того требует закон о защите данных, они проинформировали ICO в течение 72 часов, а позже проинформировали затронутых субъектов данных. Они также проинформировали полицию, проинструктировали сторонних следователей и предприняли шаги по сдерживанию ситуации. Хотя все эти действия были уместны после атаки такого характера, ICO сосредоточило свое расследование на периоде, предшествовавшем атаке. Конечно, ответственность за проведение атаки нес неизвестный злоумышленник. Но, продолжая аналогию с домом, оставил ли Такерс входную дверь незапертой?
ICO рассмотрело меры безопасности, принятые Tuckers за период с 25 мая 2018 года, когда в Великобритании вступили в силу Общие правила защиты данных, по 24 августа 2020 года, когда была обнаружена атака. Хотя точный метод, используемый злоумышленником, не был идентифицирован, ICO отметило, что Tuckers не применяла исправление к известной системной уязвимости в течение пяти месяцев после ее выпуска. Если бы исправление было применено своевременно, атаки могло и не произойти. ICO также раскритиковало Tuckers за то, что они не использовали многофакторную аутентификацию для удаленного доступа к своим системам и за то, что они не зашифровали свои архивные файлы.
Использование многофакторной аутентификации и необходимость своевременного применения исправлений безопасности рекомендованы Национальным центром кибербезопасности (NCSC) и Управлением по регулированию деятельности адвокатов (Tuckers ’ regulator). ICO отметило’ что собственная внутренняя политика Tuckers требует регулярного обновления всего программного обеспечения и операционных систем. Что касается шифрования, то ICO обнаружило, что, учитывая высокочувствительный характер персональных данных и относительно низкие затраты на шифрование, Tuckers не должны были хранить свои архивные файлы в незашифрованном виде. По всем этим причинам ICO установило, что Tuckers не предприняла надлежащих шагов для обеспечения безопасности персональных данных, и оштрафовало их на 98 000 фунтов стерлингов.
Большинство компаний вряд ли будут хранить персональные данные, столь же конфиденциальные, как у Tuckers. Однако из этого случая можно извлечь важные уроки о простых шагах, которые все компании могут предпринять для обеспечения безопасности персональных данных. Вы должны быть в курсе возникающих угроз, прислушиваться к советам NCSC и любого отраслевого регулирующего органа (и действовать в соответствии с ними) и всегда следовать своим собственным политикам и процедурам обеспечения безопасности персональных данных. Они могут не предотвратить атаку, но они могут защитить ваш бизнес от штрафа.