Kāpēc koplietotas paroles Spānijas bankai izmaksāja 400 000 eiro

Iedomājieties, ka ieejat augstas drošības seifā, bet atklājat, ka katrs darbinieks izmanto tieši to pašu fizisko atslēgu. Ja pazūd naudas žūksnis, kā noteikt, kurš atvēra durvis? Tas nav sižeta pavērsiens no filmas par laupīšanu; tā ir digitālā realitāte, kuras dēļ Spānijas Datu aizsardzības aģentūra (AEPD) piemēroja Unicaja Banco 400 000 eiro naudas sodu.

Šīs lietas pamatā ir fundamentāla kļūme tajā, ko mēs saucam par piekļuves kontroli. Kiberdrošības pasaulē piekļuves kontrole ir digitālais apsargs, kurš izlemj, kurš un ko drīkst redzēt. Unicaja gadījumā apsargs būtībā bija iemidzis savā postenī, ļaujot vairākiem operatoriem piekļūt sensitīviem video novērošanas materiāliem, izmantojot koplietotus, vispārīgus akreditācijas datus.

Spoks mašīnā

Kad AEPD izmeklēja bankas novērošanas praksi, viņi atklāja sistēmisku ievainojamību. Tā vietā, lai katram drošības darbiniekam būtu unikāls lietotājvārds un parole — prakse, ko dēvē par nominatīvajiem kontiem —, banka paļāvās uz koplietotām pieteikšanās detaļām. Regulējuma kontekstā tas ir nāves grēks. Ja piecas personas izmanto pieteikšanos "Security_Admin", banka zaudē jebkādu izsekojamību.

Izsekojamība ir "drupaču taka", kas ļauj organizācijai rekonstruēt to, kurš piekļuva personas datiem, kad tas tika darīts un ko viņi skatījās. Bez tās banka nevarēja pierādīt, ka personas, kas vēroja kameras, bija pilnvarotas to darīt konkrētajā brīdī. Saskaņā ar VDAR (GDPR) dati ir toksisks aktīvs, ja ar tiem nerīkojas ar īpašu piesardzību; iedzīvotāju videoieraksti ir īpaši sensitīvi, jo tie fiksē uzvedību, kustību un identitāti publiskās un privātās telpās.

Mīts par "neiesaistīto" apstrādātāju

Viens no interesantākajiem šī lēmuma aspektiem ir tas, kā tajā tiek risinātas attiecības starp "pārzini" (banku) un tās "apstrādātāju" (ārējo apsardzes firmu). Vienkāršā valodā runājot, pārzinis ir priekšnieks, kurš izlemj, kāpēc dati tiek vākti, un apstrādātājs ir darbuzņēmējs, kas nolīgts faktiskā darba veikšanai.

Unicaja apgalvoja, ka apsardzes firma ir atbildīga par novērošanas sistēmas tehnisko ieviešanu. Tomēr AEPD tam nepiekrita. Likuma acīs pārzinis ir kuģa kapteinis. Jūs varat deleģēt stūrēšanas uzdevumu, bet jūs nevarat deleģēt atbildību par kursa ievērošanu. Unicaja neuzraudzīja savu apstrādātāju, būtībā parakstot līgumu un pēc tam pieverot acis, kamēr darbuzņēmējs izmantoja novecojušas, nedrošas pieteikšanās metodes.

Atbilstība kā kompass, nevis kontrolsaraksts

Šis 400 000 eiro sods kalpo kā stingrs atgādinājums, ka atbilstība nav uzdevums, ko var "iestatīt un aizmirst". Tas ir nepārtraukts navigācijas process. AEPD ir devusi Unicaja trīs mēnešus laika, lai pilnībā pārveidotu savu pieeju video drošībai. Runa nav tikai par paroļu nomaiņu; runā ir par viņu privātuma arhitektūras pamatu pārbūvi.

Lai kļūtu atbilstīga, bankai jāievieš vairāki stingri pasākumi:

• Individuālā identifikācija: Katrai personai, kurai ir piekļuve video plūsmai, ir jābūt unikālam, nominatīvam kontam.
• Lomās balstīta piekļuves kontrole (RBAC): Piekļuvei jābūt detalizētai. Jaunākajam apsargam varētu būt nepieciešams redzēt tiešraides plūsmas, bet tikai vecākajam vadītājam vajadzētu būt iespējai eksportēt vai dzēst ierakstītos materiālus.
• Visaptveroša žurnalēšana: Sistēmai automātiski jāreģistrē katra pieteikšanās, izrakstīšanās un piekļuve failiem, izveidojot pastāvīgu, pret viltojumiem drošu audita taku.

Mācības no digitālā detektīva piezīmju grāmatiņas

Kā cilvēks, kurš ikdienā analizē datu aizsardzības pārkāpumus un regulatīvos pieteikumus, es šādu modeli redzu bieži. Organizācijas bieži uzskata privātumu par birokrātisku šķērsli, nevis par pamata cilvēktiesībām. Tās iegulda miljonus fiziskos seifos, bet atstāj digitālās "sētas durvis" vaļā ar koplietotu paroli, kas uzrakstīta uz līmlapiņas.

Savā darbā es pret katru datu vienību izturos kā pret urānu. Tas ir jaudīgs un nepieciešams, bet, ja jums nav pareizu ekranēšanas un ierobežošanas protokolu, tas galu galā noplūdīs un nodarīs būtisku kaitējumu. Unicaja gadījumā noplūde nebija hakeris no citas pasaules malas; tā bija sistēmiska nespēja cienīt savu darbinieku un klientu digitālās pēdas.

Kā auditēt savu "digitālo seifu"

Neatkarīgi no tā, vai vadāt mazu uzņēmumu vai daudznacionālu korporāciju, Unicaja lieta sniedz praktiskas mācības, kā palikt likuma pareizajā pusē:

1. Likvidējiet vispārīgos kontus: Ja jūsu komanda koplieto pieteikšanos jebkurai sistēmai, kurā ir personas dati (e-pasts, CRM, CCTV), atspējojiet to šodien.
2. Pārbaudiet savus piegādātājus: Neuzskatiet, ka jūsu programmatūras nodrošinātāji vai apsardzes darbuzņēmēji ir atbilstīgi. Pieprasiet audita žurnālus un pierādījumus par viņu drošības protokoliem.
3. Minimālo privilēģiju princips: Piešķiriet cilvēkiem tikai minimālo piekļuves apjomu, kas nepieciešams viņu darba veikšanai. Ja viņiem nav nepieciešams lejupielādēt datus, noņemiet pogu "Lejupielādēt" no viņu saskarnes.
4. Pārskatiet taku: Periodiski pārbaudiet piekļuves žurnālus. Ja redzat pieteikšanos plkst. 3:00 naktī no darbinieka, kurš strādā tikai dienas maiņās, jūs esat atradis brīdinājuma zīmi, pirms tā kļūst par naudas sodu.

Galu galā integrētais privātums ir mājas pamats. Ja pamats ir saplaisājis — ja jūs pat nevarat droši pateikt, kurš skatās jūsu datus —, visa struktūra ir nedroša.

Avoti

• Vispārīgā datu aizsardzības regula (VDAR), 5. panta 1. punkta f) apakšpunkts (Integritāte un konfidencialitāte) un 32. pants (Apstrādes drošība).
• Spānijas Organiskais likums 3/2018 (LOPDGDD) par personas datu aizsardzību.
• AEPD lēmums PS/00392/2023 attiecībā uz Unicaja Banco S.A.

Atruna
Šis raksts ir sagatavots tikai informatīviem un žurnālistikas mērķiem. Tas nav uzskatāms par juridisku konsultāciju. Lai saņemtu konkrētus norādījumus par atbilstību privātuma noteikumiem, lūdzu, konsultējieties ar kvalificētu juridisko speciālistu.