Az Európai Adatvédelmi Testület (EDPB) közzétette 1/2021 számú iránymutatás tervezetét, amelyben esetleírásokkal szemléltetve gyakorlati szempontból mutatja be az adatvédelmi incidensek megelőzésére, hatásaiknak csökkentésére, és a kapcsolódó kockázatok értékelésére vonatkozó lehetséges lépéseket, továbbá jó gyakorlatokat sorol fel a GDPR által megkövetelt technikai és szervezési intézkedésekre.
Cikkünk első részében a zsarolóvírus által okozott incidensekkel és az adatszivárgást1 eredményező támadásokkal kapcsolatos példákat és javaslatokat mutatjuk be.
Zsarolóvírus (ransomware) által okozott incidensek megelőzése és kezelése
A ransomware támadás során a támadó egy rosszindulatú kóddal titkosítja a szervezet által kezelt személyes adatokat, a visszafejtési kódért cserébe pedig váltságdíjat kér.
Az EDPB két tipikus esetet elemzett részletesen:
Az adatkezelő a ransomware támadás által érintett adatállományát titkosítva tárolta, a támadók ezért csak titkosított adatokhoz fértek hozzá, de nem szivárogtatták ki azokat. Az adatok útja követhető volt, az adatkezelő rendelkezett biztonsági mentéssel, és néhány órán belül visszaállította az adatokat. | A ransomware támadás által érintett adatállomány nem volt titkosítva. Az adatok útja követhető volt, de az adatkezelő nem rendelkezett elektronikus biztonsági mentéssel – az adatokat papíralapú archívumból állították vissza, 5 munkanap alatt – ez kisebb késésekhez vezetett a megrendelések teljesítésében. | |
---|---|---|
Megelőzés | Frissítések és javítások megfelelő kezelése (patch management – az ismert rendszerhibák azonnali kijavítása érdekében), rosszindulatú programok felismerésére szolgáló rendszer (anti-malware detection system), biztonsági mentés, továbbá oktatás a munkavállalók számára, hogy felismerjék ezt a típusú támadást. A biztonsági másolatokat a fő rendszerről leválasztva kell tárolni. | |
Kockázatelemzés | A rosszindulatú kód megfelelő azonosítása, valamint annak vizsgálata, hogy a támadás által érintett adatok útja követhető-e. Történt-e „a bizalmas jelleg sérülése” (személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való jogosulatlan vagy véletlen hozzáférés), illetve a „rendelkezésre állás sérülése” (a személyes adatokhoz való hozzáférés véletlen vagy jogosulatlan elvesztése vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése). Minden esetben fontos vizsgálni az incidens típusát, valamint az érintett adatok jellegét, érzékenységét és mennyiségét. | A támadás módszerének vizsgálata, a rosszindulatú kód típusának azonosítása, valamint a tűzfal-naplók tanulmányozása a támadás lehetséges következményeinek megértése érdekében.
Ebben a példában a zsarolóvírus titkosította a személyes adatokat, de nem fért hozzá magukhoz az adatokhoz. „A bizalmas jelleg sérülése” feltételezhetően nem történt, de a „rendelkezésre állás sérülése” igen. Az elektronikus biztonsági mentés hiánya, valamint az adatokhoz való hozzáférés kockázatnövelő tényező. |
Kockázatcsökkentés | Az érintett rendszer rosszindulatú kódtól mentes visszaállítása, a sebezhetőségek kijavítása, és az érintett adatok helyreállítása (javasolt idő: 72 óra). | Biztonsági másolat nélkül a személyes adatok elvesztésének orvoslása csak korlátozottan lehetséges – az adatokat újra össze kell gyűjteni, kivéve, ha más forrásból rendelkezésre állnak (például e-mailekből). |
Teendők | Az incidenst rögzíteni kell a belső incidens-nyilvántartásban.
A NAIH-ot és az érintetteket alapesetben nem kell értesíteni, kivéve, ha az incidens jellege alapján a kockázatelemzés más következtetésre jut. |
Az incidenst rögzíteni kell a belső incidens-nyilvántartásban.
A NAIH-ot értesíteni kell, mert az adatok visszaállítása időigényes, az adatkezelő tevékenységében késedelem merülhet fel, és nagyszámú metaadat (naplózási adat, időbélyegző) nem visszaállítható. Komplexebb esetekben az adatvisszaállítás során biztosítani kell az adatok integritását, a metaadatokkal való összhangot, az adatstruktúrákon belüli helyes kapcsolatokot, valamint ellenőrizni kell az adatok pontosságát – ez jelentős erőforrásokat és erőfeszítéseket igényel. Az érintetteket abban az esetben kell értesíteni, ha az incidens következményei érintik őket (például: hosszabb adatvisszaállítási idő, munkabér késedelmes kifizetése, pénzügyi veszteség, illetve, ha az érintettek információi szükségesek az adatok helyreállításához). |
Specifikus és magasabb kockázatú példaként említi az EDPB a ransomware támadások között, ha az egy kórház / egészségügyi szolgáltató rendszerét és nagyszámú (több ezer) munkavállaló és beteg adatát éri, valamint az adatok visszaállítása hosszabb ideig (2 munkanap) tart, ami jelentős késésekhez vezet (megszakított / elhalasztott műtétek, szolgáltatási szint csökkenés). Ebben az esetben az incidenst rögzíteni kell a belső incidens-nyilvántartásban, a NAIH-ot és az érintetteket pedig értesíteni kell.
Szintén magasabb a kockázat, és értesíteni kell az incidensről a NAIH-ot és az érintetteket, ha a támadás során a támadó érzékenyebb, személyiséglopáshoz vagy csaláshoz felhasználható adatokhoz (például azonosító okmányok adataihoz, bankkártya adatokhoz) fér hozzá, illetve kiszivárogtatja azokat. Az érintetteket publikusan, pl. a vállalat weboldalán akkor kell értesíteni, ha kapcsolattartási adatok nem állnak rendelkezésre, és az ilyen kommunikáció nem jár további negatív következményekkel az érintettek számára. Mivel a zsarolóvírussal elkövetett támadások akár napokig is észrevétlenek maradhatnak, folyamatosan hozzáférhetetlenné téve az adatokat, akár több biztonsági mentés sem lehet elegendő az adatok visszaállításához. A biztonsági mentéseket mindig a fő informatikai rendszertől elkülönítve kell tárolni.
Javasolt műszaki és szervezési intézkedések
Az EDPB ransomware támadások megelőzésére az alábbi műszaki és szervezési intézkedéseket javasolja:
- A firmware, az operációs rendszer és az alkalmazásszoftverek naprakészen tartása a szervereken, az ügyfélgépeken, az aktív hálózati összetevőkön és minden egyéb, ugyanazon a LAN-on (beleértve a Wi-Fi-eszközöket is) működő gépen, továbbá a javítások naplózása.
- Az adatrendszerek és hálózatok szegmentálása vagy elkülönítése, a rosszindulatú programok szervezeten belüli és a külső rendszereken való elterjedésének elkerülése érdekében.
- Korszerű, biztonságos és tesztelt biztonsági mentési eljárás bevezetése. A közép- és hosszú távú biztonsági mentéshez szükséges adathordozókat el kell különíteni az operatív adattárolástól, hogy az utóbbi sikeres támadás esetén se legyen elérhető egy harmadik fél számára (például napi biztonsági mentés, illetve heti teljes biztonsági mentés).
- Megfelelő, naprakész, hatékony és integrált anti-malware szoftver, valamint tűzfal és behatolás-észlelő és -megelőző rendszer használata.
- A hálózati forgalom tűzfalon / behatolás-észlelésen keresztül történő irányítása, akár távmunka estén is (például az internet elérésekor VPN-kapcsolat a szervezeti biztonsági mechanizmusokhoz).
- A munkavállalók oktatása az informatikai támadások felismerése és megelőzése érdekében. A munkavállalóknak fel kell tudni ismerniük, amikor támadás történik, valamint, hogy hogyan lehet a végpontot kihúzni a hálózatból. A támadás tényét kötelesek haladéktalanul jelenteni az illetékes biztonsági munkatársnak.
- Mechanizmus a kapott e-mailek és üzenetek hitelességének és megbízhatóságának felismerésére.
- Fontos a rosszindulatú kód típusának azonosítása, hogy támadás következményei láthatóvá váljanak és a kockázat csökkentése érdekében meghozzák a megfelelő intézkedéséket. Ha a ransomware támadás sikeres volt, és nincs elérhető biztonsági másolat, például a https://www.nomoreransom.org/ eszközei használhatók az adatok visszanyerésére.
- Az összes napló továbbítása vagy replikálása egy központi naplószerverre (ideértve esetleg a naplóbejegyzések aláírását vagy kriptográfiai időbélyegzését).
- Erős titkosítás és többlépcsős hitelesítés, különös tekintettel az informatikai rendszerek adminisztratív hozzáférésére, a megfelelő kulcs- és jelszókezelésre.
- Rendszeres biztonsági rés és behatolási teszt.
- Számítógépes biztonsági eseményekre reagáló csoport (CSIRT) vagy számítógépes vészhelyzeti reagálási csoport (CERT) létrehozatala a szervezeten belül, vagy csatlakozás egy CSIRT / CERT kollektívához. Incidens-elhárítási terv, helyreállítási terv és üzletmenet-folytonossági terv készítése, és rendszeres tesztelése.
Adatszivárgást eredményező támadások
Az ilyen jellegű támadások kihasználják az adatkezelő által az interneten keresztül harmadik feleknek kínált szolgáltatások sérülékenységeit – ilyenek például az injection támadások vagy egy weboldal feltörése. Annyiban hasonlíthatnak a ransomware támadásokra, hogy a kockázatot illetéktelen harmadik fél okozza, de ezeknek a támadásoknak a célja általában a személyes adatok lemásolása, kinyerése vagy az adatokkal való visszaélés. Az eredmény jellemzően „a bizalmas jelleg sérülése”, illetve az „integritás sérülése” (személyes adatok jogosulatlan vagy véletlen módosítása).
Az EDPB az alábbi példákkal szemlélteti ezeknek a támadásoknak a jellegét:
Online úton állásra jelentkezők adatainak kiszivárogtatása a weboldalon elhelyezett rosszindulatú kód segítségével. A telepített rosszindulatú programkészlet lehetővé tette a támadó számára, hogy el távolítsa az adatszivárgás előzményeit, és engedélyezze a kiszolgálón történő adatkezelés nyomon követését, valamint a személyes adatok ellopását. A programkészletet csak 1 hónappal a telepítését követően fedezték fel. | Egy SQL Injection biztonsági rést kihasználva a támadók hozzáfértek a weboldal adatbázisához. A felhasználók csak álneveket választhattak felhasználónévként, e-mail címeket nem. Az adatbázisban tárolt 1.200 felhasználó jelszavát erős algoritmussal kivonatolták. Az adatkezelő e-mailben kérte a felhasználókat, hogy változtassák meg jelszavukat, különösen, ha használták más szolgáltatásokhoz is. | |
---|---|---|
Megelőzés | Folyamatos rendszerfrissítés, különleges adatok titkosítása, az alkalmazások erős
hitelesítése, brute force támadások elleni intézkedések. A felhasználói inputok elkerülése (escaping) vagy fertőtlenítése (sanitising), amely biztosítja, hogy csak megfelelően formázott adatok kerülnek a rendszerb. Ebben a konkrét esetben a gyártási környezetben működő, a fájl integritását figyelő eszközök segíthettek volna a kódinjekció észlelésében. |
Az adatbázisban szereplő jelszavakat naprakész módszerrel kivonatolták (hash), amely csökkenti a kockázatot, figyelembe vélve az adatok természetét, érzékenységét és mennyiségét. |
Kockázatelemzés | Fel kell mérni az incidensben érintett személyes adatok jellegét, érzékenységét és mennyiségét. Az online űrlapokon szereplő adatok fontos információkat tartalmaznak, és ezekkel többféle módon is vissza lehet élni (kéretlen reklám küldése, személyazonosság-lopás stb.). | Az érintettek elérhetőségei (pl. e-mail címek vagy telefonszámok) nem voltak veszélyben, így nem voltak kitéve csalási kísérleteknek (például adathalász e-mailek vagy megtévesztő üzenetek). Korlátozott számú bejelentkezési kísérlet engedélyezésével meg lehet akadályozni a brute force támadások sikerességét. |
Kockázatcsökkentés | Az adatbázist össze kell hasonlítani a biztonsági mentés során tárolt adatbázissal, az informatikai infrastruktúrát pedig frissíteni kell. Az összes érintett rendszert az utolsó ismert tiszta állapotba kell visszaállítani, orvosolni kell a sebezhetőséget és új biztonsági intézkedéseket kell végrehajtani a hasonló incidensek jövőbeni elkerülése érdekében (például a fájl integritásának ellenőrzése és biztonsági auditok). Ha a személyes adatokat nem csak kiszivárogtatták, hanem törölték is, akkor az adatkezelőnek helyre kell állítania azokat. Ehhez szükség lehet az adatok napi szintű mentésére, és megfelelő belső szabályzat szerinti megőrzésére. | Az érintettek önkéntes tájékoztatása csökkenti a kockázatot, mivel az az érintettek megtehetik a szükséges lépéseket (például a jelszavuk megváltoztatása).
Az adatkezelőnek ki kell javítania a sérülékenységet, és új biztonsági intézkedéseket kell bevezetnie – például a rendszeres biztonsági auditok a weboldalon. |
Teendők | Az incidenst rögzíteni kell a belső incidens-nyilvántartásban.
Mind a NAIH-ot, mind az érintettek értesíteni kell. |
Az incidenst rögzíteni kell a belső incidens-nyilvántartásban. A NAIH-ot és az érintetteket alapesetben nem kell tájékoztatni (de az érintettek önkéntes értesítése jó gyakorlat). |
A bank online támadást szenvedett el – a weboldal sérülékenysége miatt körülbelül 100.000 érintettre vonatkozó adat (név, vezetéknév, nem, születési dátum és hely, adószám, felhasználói azonosító kódok) szivárgott ki. Ennek segítségével a támadó körülbelül 2.000 felhasználói fiókba tudott bejelentkezni. Az adatkezelő a nagyszámú bejelentkezési kísérlet észlelését követően kikapcsolta a weboldalra történő bejelentkezést és a veszélyeztetett számlák esetében jelszóváltást kért. Az adatkezelő értesítette azokat a felhasználókat, akiknek jelszavai sérültek, vagy adatai kiszivárogtak. | |
---|---|
Megelőzés | A rendkívül személyes jellegű adatokat, így érzékeny adatokat, pénzügyi információkat kezelő adatkezelők adatbiztonsági felelőssége nagyobb – biztonsági műveleti központ létesítése, megelőzési, felderítési és reagálási intézkedések bevezetése. |
Kockázatelemzés | Az incidens a személyazonosító adatokon és a felhasználói azonosítókon túl pénzügyi adatokat is érint. Az érintett személyek száma magas.
Az adatok lehetővé teszik az érintettek egyedi azonosítását, egyéb információkat tartalmaznak róluk (nem, születési dátum és hely), és a támadó kitalálhatja az ügyfelek jelszavait, vagy adathalász kampányt indíthat az ügyfelek felé. Elképzelhető a közvetlen (pl. pénzügyi veszteség) és közvetett kár (pl. személyazonosság-lopás vagy csalás) bekövetkezése. |
Kockázatcsökkentés | Az incidens után az adatkezelő kijavította a weboldal sebezhetőségét és további lépéseket tett a hasonló incidensek megakadályozása érdekében: kétfaktoros hitelesítés és az erőteljesebb ügyfél-hitelesítés. |
Teendők | Az incidenst rögzíteni kell a belső incidens-nyilvántartásban.
Mind a NAIH-ot, mind a 100.000 érintettet értesíteni kell. |
Javasolt műszaki és szervezési intézkedések
Az EDPB az adatszivárgást eredményező támadások megelőzésére az alábbi műszaki és szervezési intézkedéseket javasolja:
- Legkorszerűbb titkosítás és kulcskezelés, különösen akkor, amikor jelszavakat, érzékeny adatokat vagy pénzügyi adatokat kezelnek.
- A rendszer naprakészen tartása (szoftver és firmware). Az adatkezelőnek nyilvántartást kell vezetnie az összes elvégzett frissítésről, ideértve azok alkalmazásának idejét is.
- Erős hitelesítési módszerek, például kétfaktoros hitelesítési és hitelesítési kiszolgálók használata, naprakész jelszószabályzattal kiegészítve.
- A felhasználói adatok szűrése (lehetőség szerint „fehérlistázással”), a felhasználói bemenetek szűrését és a brute force megelőzését (például az ismételt próbálkozások maximális mennyiségének korlátozását).
- Erős felhasználói jogosultság és hozzáférés-felügyeleti szabályzat.
- Megfelelő, naprakész, hatékony és integrált tűzfal, behatolás-észlelő és egyéb behatolásvédelmi rendszerek használata.
- Rendszeres informatikai biztonsági auditok és sebezhetőségi értékelés (penetrációs/ áttörési tesztek).
- Rendszeres felülvizsgálat és tesztelés annak érdekében, hogy a biztonsági másolatok felhasználhatók legyenek olyan adatok helyreállítására, amelyek integritása vagy elérhetősége károsult.
1Adatok kiszivárogtatása (Data Exfiltration): Miután az érzékeny adatokat, információkat a támadó azonosította, az adatokat általában először egy olyan belső számítógépre juttatja el, ahol egy elsődleges elemzés, válogatás és tömörítés történik, majd az így összeállított információk kijuttatása egy külső szerverre, amelyet a támadó közvetlenül elér