Szerző: Tamás | júl 8, 2019 | Blog
A cég éves árbevételének jelentős részét elviheti a büntetés
Minden cégvezető társamnak szeretnék jó napot kívánni! Olyan jót, amikor nem történik vele semmi komoly incidens, amiért nem tett volna meg mindent azért, hogy ne fizessen súlyos büntetést.
183 millió GBP bírságot kapott a British Airways a brit adatvédelmi hivataltól (ICO), írja a BBC. Az ügy előzménye, hogy a légitársaság internetes oldalait egy hacker támadás érte, ami miatt több mint félmillió ember adatait tudták ellopni a támadók. A társaság szerint útlevél adatok nem kerül ki, a hiba elhárítását pedig azonnal megkezdték, valamint az utasok számára kártérítését is ígértek.
Ez azonban az ICO-t nem hatotta meg, illetve csak annyiban, hogy nem a lehető legmagasabb bírságot szabták ki a vállalkozásra.
A GDPR ugyanis azt írja elő, hogy minden személyes adatot olyan védelmi intézkedésekkel szükséges ellátni, ami az ilyen jellegű eseteket gyakorlatilag ki tudja zárni. A British Airways-nél ezzel szemben csapnivaló volt az informatikai megoldás, az még a minimálisan elvárható szintű védelemmel sem rendelkezett, miközben rengeteg szabályzattal és jól felkészült jogász csapattal várták a csodát, azt, hogy a sérülékeny rendszer hibáira nem fognak lecsapni az erre specializálódott támadók, avagy a lelkes amatőrök.
Ahogy azonban a fentiekből látható, a GDPR a legkevésbé sem a jogi megfeleltetésről szól, hanem valami egészen másról.
A GDPR betartása nem azt jelenti, hogy sajtfecniket vásárolnak a vállalkozások, vagy felteszik a szabályzatokat a polcra, esetleg aláírogatnak, vagy aláírogattatnak olyan papírokat, amik a GDPR alapján mit sem érnek. A megoldás az, hogy a vállalkozás működését és a kezelt adatok biztonsági igényét kell meghatározni, és ehhez kell az egész informatikai rendszert, valamint az adatkezelést igazítani.
Szerző: Tamás | nov 13, 2018 | Blog
Rés az adatvédelmi pajzson
Az európai cégek jelentős része küzd a GDPR (Európai Unió adatvédelmi rendelete) megfelelőség eléréséért. Teszik ezt azért, hogy ne büntessék meg őket, illetve – tegyük fel – azért is, hogy ügyfeleik, dolgozóik személyes adatai megfelelő biztonságban legyenek.
Ennek a megfelelőségnek az elérésében segít WordPress oldalak esetén egy GDPR complience modul. Ami viszont nem túl vicces módon pont, hogy hozzájárult az adatok kiszivárgásához, vagy elvesztéséhez. A modul kódjában található (1.4.3 előtti verzióban) hibákat kihasználva ugyanis a támadók képesek adminisztrátor szintű felhasználókat felvenni, azzal belépve pedig
minden ott tárolt adathoz hozzáférni,
az oldal látogatóinak a webböngészőjét „eltéríteni”
az eltérített oldalakról pedig további kártékony kódokkal támadni a felhasználót
Ez azt jelenti, hogy egy ilyen megtámadott felhasználónak akár a gépen tárolt adatait képesek ellopni a webböngészőn keresztül, kártékony kódot (vírust, malware-t) telepíteni a gépére, vagy zombivá tenni a gépet, és egy botnet hálózat részeként további támadásokhoz felhasználni.
A kutatók arra hívják fel a figyelmet, hogy több mint 100.000 olyan weboldal van, amely ezt a GDPR modult használja – ez a magyar viszonylatban többszáz weboldalt jelenthet -, amik jelentős része a 2018 november 7-e előtt kiadott javítást is tartalmazó 1.4.3 előtti sérülékeny verzió.
Mit lehet tenni
Első sorban jujjgatni, ha ezt a modult mi is használtuk. És elgondolkozni azon, hogy hiába minden jó szándék a részünkről, ha informatikai eszközöket vagy szolgáltatásokat használunk, gyakorlatilag bármikor előfordulhat (és elő is fordul), hogy hibás, sérülékeny a rendszerünk.
Aztán pedig nem kétségbe esni, hanem elővenni az Informatikai Biztonsági Szabályzatot, és az incidens kezelés résznél kinyitni. Ha ez esetleg hiányozna, akkor bizony sokkal több a tennivalónk.
Ha megvan ez a fejezet, akkor tudjuk, hogy:
- ideiglenesen le kell állítani a kérdéses szolgáltatást,
- meg kell vizsgálni, hogy történt-e kompromittáció (betörés, vagy kísérlete)
- ha igen, és van mentés, akkor vissza kell állni a biztosan hibamentes kódra
- ha igen, de nincs offline mentés, akkor pedig meg kell keresni a weblapban bujkáló kártékony kódokat
- le kell frissíteni a GDPR modult (itt a lehetőség a többi frissítés megejtésére is)
- ha új adminisztrátorok jelentek meg, azokat törölni kell
- ha a WordPress gyökérkönyvtárban szerepel a wp-cache.php fájlt, törölni kell (ez a backdoor fájl a fertőzés egyik biztos jele)
- minden jelszót meg kell változtatni – az adminokat először, majd a felhasználóknak is küldeni kell egy felhívást róla
- offline mentést készíteni a biztonságos kódról a későbbiekre
megfontolni egy megfelelő Web Application Firewall telepítését és konfigurálását
A weblapunk külső vizsgálatához segítséget is kapunk. A Sucuri.net egy ingyenes malware (rossz indulatú kód) keresővel is segít, amit itt érni el: https://sitecheck.sucuri.net/
De adnak WAF modult, és weblap mentés szolgáltatást is nyújtanak.