Kodėl bendri slaptažodžiai Ispanijos bankui kainavo 400 000 eurų

Įsivaizduokite, kad įeinate į aukščiausio saugumo saugyklą ir pamatote, jog kiekvienas darbuotojas naudojasi tuo pačiu fiziniu raktu. Jei dingtų krūva grynųjų, kaip nustatytumėte, kas atidarė duris? Tai nėra filmo apie apiplėšimą siužeto vingis; tai skaitmeninė realybė, dėl kurios Ispanijos duomenų apsaugos agentūra (AEPD) skyrė „Unicaja Banco“ 400 000 eurų baudą.

Šios bylos esmė – esminis to, ką vadiname prieigos kontrole, sutrikimas. Kibernetinio saugumo pasaulyje prieigos kontrolė yra skaitmeninis apsaugininkas, nusprendžiantis, kas ir ką gali matyti. „Unicaja“ atveju šis apsaugininkas iš esmės miegojo savo poste, leisdamas keliems operatoriams pasiekti jautrią vaizdo stebėjimo medžiagą naudojant bendrus, bendrinio pobūdžio prisijungimo duomenis.

Vaiduoklis mašinoje

Kai AEPD tyrimo metu vertino banko stebėjimo praktiką, jie aptiko sisteminį pažeidžiamumą. Užuot kiekvienas saugos pareigūnas turėjęs unikalų vartotojo vardą ir slaptažodį (praktika, vadinama vardinėmis paskyromis), bankas pasikliovė bendrais prisijungimais. Reguliavimo kontekste tai yra mirtina nuodėmė. Jei penki asmenys naudojasi prisijungimu „Security_Admin“, bankas praranda bet kokį atsekamumą.

Atsekamumas yra „duonos trupinių takas“, leidžiantis organizacijai atkurti, kas pasiekė asmens duomenis, kada tai padarė ir ką žiūrėjo. Be jo bankas negalėjo įrodyti, kad kameras stebėję asmenys turėjo įgaliojimus tai daryti būtent tuo metu. Pagal BDAR duomenys yra toksiškas turtas, jei su jais elgiamasi ne itin atsargiai; piliečių vaizdo įrašai yra ypač jautrūs, nes užfiksuoja elgesį, judėjimą ir tapatybę viešose bei privačiose erdvėse.

Mitas apie „nesikišantį“ tvarkytoją

Vienas įdomiausių šio sprendimo aspektų yra tai, kaip jame vertinami santykiai tarp „duomenų valdytojo“ (banko) ir jo „duomenų tvarkytojo“ (išorinės apsaugos įmonės). Paprastai tariant, valdytojas yra viršininkas, nusprendžiantis, kodėl renkami duomenys, o tvarkytojas yra rangovas, pasamdytas atlikti faktinį darbą.

„Unicaja“ teigė, kad apsaugos įmonė buvo atsakinga už techninį stebėjimo sistemos įgyvendinimą. Tačiau AEPD tuo nepatikėjo. Įstatymo požiūriu valdytojas yra laivo kapitonas. Galite deleguoti vairavimo užduotį, bet negalite deleguoti atsakomybės už kurso laikymąsi. „Unicaja“ nesugebėjo prižiūrėti savo tvarkytojo – iš esmės pasirašė sutartį ir nusisuko, kol rangovas naudojo pasenusius, nesaugius prisijungimo metodus.

Atitiktis kaip kompasas, o ne kontrolinis sąrašas

Ši 400 000 eurų bauda yra griežtas priminimas, kad atitiktis nėra užduotis „nustatyk ir pamiršk“. Tai nenutrūkstamas navigacijos procesas. AEPD suteikė „Unicaja“ tris mėnesius visapusiškai pertvarkyti požiūrį į vaizdo saugumą. Tai ne tik slaptažodžių keitimas; tai jų privatumo architektūros pagrindų perstatymas.

Siekdamas užtikrinti atitiktį, bankas privalo įgyvendinti kelias griežtas priemones:

• Individualus identifikavimas: Kiekvienas asmuo, turintis prieigą prie vaizdo transliacijos, privalo turėti unikalią, vardinę paskyrą.
• Vaidmenimis pagrįsta prieigos kontrolė (RBAC): Prieiga turėtų būti detali. Jaunesnysis apsaugininkas gali matyti tiesioginę transliaciją, tačiau tik vyresnysis vadovas turėtų turėti galimybę eksportuoti arba ištrinti įrašytą medžiagą.
• Išsamus žurnalinimas (Logging): Sistema privalo automatiškai fiksuoti kiekvieną prisijungimą, atsijungimą ir prieigą prie failų, sukurdama nuolatinį, nuo klastojimo apsaugotą audito seką.

Pamokos iš skaitmeninio detektyvo užrašų knygelės

Kaip žmogus, leidžiantis dienas analizuodamas duomenų saugumo pažeidimus ir reguliavimo dokumentus, aš dažnai matau šį modelį. Organizacijos dažnai privatumą laiko biurokratine kliūtimi, o ne pagrindine žmogaus teise. Jos investuoja milijonus į fizines saugyklas, tačiau palieka skaitmenines „galines duris“ praviras su bendru slaptažodžiu, užrašytu ant lipnaus lapelio.

Savo darbe su kiekvienu duomenų fragmentu elgiuosi kaip su uranu. Jis galingas ir būtinas, bet jei neturite tinkamų apsaugos ir izoliavimo protokolų, jis galiausiai nutekės ir padarys didelę žalą. „Unicaja“ atveju nuotėkis nebuvo hakeris iš kito pasaulio krašto; tai buvo sisteminė nesėkmė gerbiant savo darbuotojų ir klientų skaitmeninius pėdsakus.

Kaip atlikti savo „skaitmeninės saugyklos“ auditą

Nesvarbu, ar vadovaujate mažam verslui, ar tarptautinei korporacijai, „Unicaja“ byla suteikia vertingų pamokų, kaip laikytis įstatymų:

1. Panaikinkite bendrines paskyras: Jei jūsų komanda dalijasi prisijungimu prie bet kurios sistemos, kurioje yra asmens duomenų (el. paštas, CRM, vaizdo stebėjimas), išjunkite ją šiandien.
2. Tikrinkite savo tiekėjus: Nemanykite, kad jūsų programinės įrangos teikėjai ar apsaugos rangovai laikosi reikalavimų. Paprašykite audito žurnalų ir jų saugumo protokolų įrodymų.
3. Mažiausių privilegijų principas: Suteikite žmonėms tik minimalią prieigą, kurios jiems reikia darbui atlikti. Jei jiems nereikia atsisiųsti duomenų, pašalinkite mygtuką „Atsisiųsti“ iš jų sąsajos.
4. Peržiūrėkite seką: Periodiškai tikrinkite prieigos žurnalus. Jei matote prisijungimą 3:00 val. ryto iš darbuotojo, kuris dirba tik dieninėmis pamainomis, radote pavojaus signalą anksčiau, nei jis tapo bauda.

Galiausiai, privatumas pagal projektą (privacy by design) yra namo pamatas. Jei pamatas įtrūkęs – jei negalite net tiksliai pasakyti, kas žiūri į jūsų duomenis – visa struktūra yra nesaugi.

Šaltiniai

• Bendrasis duomenų apsaugos reglamentas (BDAR), 5 straipsnio 1 dalies f punktas (vientisumas ir konfidencialumas) ir 32 straipsnis (tvarkymo saugumas).
• Ispanijos organinis įstatymas 3/2018 (LOPDGDD) dėl asmens duomenų apsaugos.
• AEPD sprendimas PS/00392/2023 dėl „Unicaja Banco S.A.“.

Atsakomybės apribojimas
Šis straipsnis pateikiamas tik informaciniais ir žurnalistiniais tikslais. Tai nėra teisinė konsultacija. Dėl konkrečių gairių, kaip laikytis privatumo taisyklių, kreipkitės į kvalifikuotą teisės specialistą.