24 lutego 2021

Wrażliwe dane na wolności

Urząd Ochrony Danych Osobowych nałożył karę na jedną z polskich uczelni. Wszystko w związku z wyciekiem danych około 50 tysięcy osób. Jak się okazało w toku śledztwa, nieznani sprawcy weszli w posiadanie wrażliwych danych takich jak imiona i nazwiska, numery komunikatorów i zaszyfrowane hasła, adresy email oraz daty urodzenia.

Wyciek nastąpił poprzez uzyskanie dostępu do kopii bazy danych platformy szkoleniowej, z której wspomniana szkoła korzystała. Kopia bazy zawierała dane osobowe, do których osoby niepowołane uzyskały dostęp. Co było przyczyną wycieku? Okazało się, że uczelnia zawarła umowę z zewnętrzną firmą w celu przeprowadzenia migracji danych. W trakcie tych czynności któryś z pracowników zewnętrznej firmy nadał folderowi, w którym przechowywane były dane osobowe, uprawnienia publiczne. Tym samym udostępnił dane niepowołanym osobom.

Jak można było zapobiec tego typu wyciekowi danych? W takich wypadkach warto korzystać z rozwiązania Privileged Access Management (PAM), które pozwala na kompleksowe zarządzanie dostępem uprzywilejowanym, a także na kontrolę i monitoring działań podejmowanych w sieci. Warto również rozważyć stosowanie rozwiązania typu Data Loss Prevention (DLP), które chroni przed przypadkowym lub celowym upublicznieniem ważnych dla firmy czy organizacji danych.

Jak mówi stare porzekadło „kontrola podstawą zaufania”, korzystając z outsourcingu wcale nie musimy tracić tej kontroli. Opisany incydent mógł zostać zablokowany na etapie monitorowania tego wdrożenia, również firma, która podjęła się prac wdrożeniowych mogła korzystać z rozwiązania klasy PAM, aby chronić dostęp uprzywilejowany i weryfikować, co robią ich pracownicy.

W tym konkretnym przypadku, gdyby zdecydowano się na rozwiązanie typu PAM oraz DLP można byłoby w sposób bezpieczny przekazać dostęp do zasobów organizacji, a także na bieżąco monitorować działania w sieci, czyli kto i nad czym pracuje, gdzie i jakie dane wysyła. Najprawdopodobniej uchroniłoby to podmiot przed wyciekiem danych, a także przed karą, która została na nich nałożona przez UODO.

Autorem tekstu jest Maurycy Sklorz

Mateusz Piątek

Mateusz Piątek
senior product manager Safetica / Holm Security / Senhasegura

Masz pytania?
Skontaktuj się ze mną:
[email protected]
532 570 255