Trend Micro

Trend Micro: WannaCry ujawnił istotne luki w zabezpieczeniach - wnioski dla firm na rok przed GDPR

25.05.2017
Atak WannaCry wywołał panikę na całym świecie, jednak wydaje się, że przedsiębiorstwa i instytucje zdołały już sobie poradzić z jego skutkami. Błędem byłoby jednak przejście po tym incydencie do porządku dziennego, możemy bowiem wyciągnąć z tej sytuacji wiele pouczających wniosków.

Dlaczego atak okazał się tak skuteczny? Co należy zrobić, by podobna sytuacja nie wystąpiła w przyszłości?

Musimy zdać sobie sprawę z faktu, że wiele organizacji, które w maju zostały zaatakowane przez WannaCry, w przypadku wystąpienia takiego zdarzenia za rok będzie musiało liczyć się z nałożeniem kar finansowych. Mowa oczywiście o ogólnym rozporządzeniu o ochronie danych, nazywanym rozporządzeniem GDPR, które w życie wejdzie 25 maja 2018 r. Firmy, które po niedawnym ataku dostrzegły potrzebę całkowitej przebudowy zabezpieczeń informatycznych, muszą w związku z nowymi przepisami uwzględnić cały szereg istotnych zagadnień.

Naruszenie ochrony danych czy atak ransomware?

Na pierwszy rzut oka powiązanie ataku typu ransomware z nowymi europejskimi przepisami dotyczącymi ochrony danych nie wydaje się oczywiste. W końcu na zaatakowanych komputerach doszło jedynie do całkowitego zaszyfrowania danych, a nie ich kradzieży. Jeśli jednak bliżej przyjrzymy się postanowieniom rozporządzenia GDPR możemy dojść do innych wniosków.

W art. 4, pkt. 12 stwierdza się:
(…)„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Bez wątpienia w przypadku ataku WannaCry doszło do niezgodnego z prawem dostępu do danych klientów, a po zaszyfrowaniu przez włamywaczy także do ich utraty, a być może również zniszczenia.

Z kolei art. 5, pkt. 1 zawiera następujące sformułowania:
Dane osobowe muszą być: (…) przetwarzane w sposób zapewniający [ich] odpowiednie bezpieczeństwo (…), w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Co więcej, art. 32 podaje, że administratorzy i podmioty przetwarzające mają obowiązek uwzględnić „stan wiedzy technicznej” w celu wdrożenia „odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”.

W artykule stwierdzono ponadto:
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Ataku WannaCry można było uniknąć

Dlaczego firmy i instytucje mogły zostać zaatakowane przez WannaCry? Zapomniano o zainstalowaniu poprawki dotyczącej znanej luki w zabezpieczeniach, związanej z obsługą protokołu SMB w systemie Windows (CVE-‎2017-0144). Włamywacze mogli dzięki temu umieścić w zaatakowanym systemie plik ransomware, a następnie zaszyfrować należące do firmy pliki o 176 rozszerzeniach, w tym dokumenty Microsoft Office, bazy danych, archiwa plików czy pliki multimedialne. Oczywiście wśród takich plików znalazły się najważniejsze dane klientów, objęte przepisami rozporządzenia GDPR.

Jak ten przypadek potraktowałyby organy regulacyjne? Przede wszystkim podmiot dotknięty atakiem WannaCry mógłby zostać ukarany z powodu dopuszczenia do „niedozwolonego lub niezgodnego z prawem przetwarzania” danych objętych regulacjami. Z technicznego punktu widzenia doszło również do naruszenia ochrony danych osobowych – mimo braku kradzieży danych zostały one w trakcie działania ransomware utracone lub zniszczone.

Jeszcze bardziej obciążający byłby fakt, że oficjalna poprawka firmy Microsoft była dostępna wiele tygodni przed dokonaniem ataku, zatem można by uznać, że dana firma lub instytucja nie podjęła odpowiednich działań mimo ewidentnego ryzyka. Istnieją przecież technologie wprowadzania wirtualnych poprawek nawet do nieaktualizowanych lub nieobsługiwanych systemów.

Właściwe mechanizmy zabezpieczeń

Atak objął znaczną liczbę instytucji, m.in. wiele rejonowych zarządów National Health Service w Wielkiej Brytanii. Za rok skutkiem podobnego zdarzenia może być odpowiedzialność z tytułu nieprzestrzegania przepisów GDPR. Maksymalna przewidziana kara wynosi aż 4% łącznych rocznych obrotów przedsiębiorstwa lub nawet 20 mln EUR. W myśl nowych przepisów administrator danych osobowych będzie również musiał zgłosić przypadek naruszenia ochrony danych osobowych organowi nadzorczemu w ciągu 72 godzin od jego wystąpienia. Może to spowodować dalsze konsekwencje związane z pogorszeniem wizerunku firmy lub organizacji, a także dodatkowe koszty.

Rozporządzenie wchodzi w życie 25 maja 2018 r. – dokładnie za rok. Wnioski z ataku WannaCry są proste: zastosowanie zabezpieczeń opartych na sprawdzonych procedurach pozwoliło uniknąć zagrożenia, a w przyszłości także ograniczy ryzyko naruszenia ochrony danych.

Autor: Anna Falkowska, Marketing Manager Poland and Eastern Europe w Trend Micro

Trend Micro Trend Micro: Między informacją a propagandą. Raport "The Fake News Machine"

Najnowszy raport Trend Micro The Fake News Machine analizuje zjawisko cyberpropagandy, grupy przestępcze bowiem coraz częściej stosują fałszywe informacje w celu wprowadzenia opinii publicznej w błąd. Proces ten bazuje na trzech filarach – motywacji, odpowiednich narzędziach i usługach oraz mediach społecznościowych – umożliwiają one rozpowszechnianie fałszywych wiadomości i sukces kampanii. To właśnie wykorzystanie sieci społecznościowych daje cyberprzestępcom nowe możliwości i pozwala na rozprzestrzenianie się fałszywych informacji w błyskawicznym tempie. czytaj więcej

Trend Micro Trend Micro: Hakowanie robotów przemysłowych – jak się przed nim uchronić?

Gdy mówimy o cyberatakach, których ofiarą padają roboty, ktoś może pomyśleć, że to opis fabuły nowego hollywoodzkiego hitu. Jednak w rzeczywistości roboty przemysłowe stały się już nieodzownym elementem procesów produkcji we wszelkich branżach: od układów scalonych, przez samochody, po szklane naczynia – i interesują się nimi cyberprzestępcy. czytaj więcej

Trend Micro Inteligentne miasta stają się rzeczywistością: SECURING SMART CITIES – RAPORT TREND MICRO

Wkrótce inteligentne technologie staną się uniwersalne, a usługi publiczne i miejska infrastruktura będą skutecznie współdziałać tworząc tzw. inteligentne miasta. Otwierają one przed obywatelami wiele możliwości, jednak nie możemy zapominać również o ewentualnych zagrożeniach. czytaj więcej

Trend Micro Trend Micro: EternalRocks - nowe zagrożenie wykorzystujące dodatkowe luki

Pod koniec maja wykryto nowe szkodliwe oprogramowanie o nazwie EternalRocks, wykorzystujące eksploity EternalBlue i DoublePulsar, które zostały opracowane przez amerykańską Narodową Agencję Bezpieczeństwa (NSA), a wykradzione przez grupę hakerów Shadow Brokers i użyte w ramach głośnego ataku ransomware WannaCry. Wirus EternalRocks korzysta również z pięciu innych eksploitów i narzędzi udostępnionych w podobny sposób przez tę samą grupę: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch oraz SMBTouch. Większość z tych eksploitów atakuje protokół Server Message Block (SMB) firmy Microsoft, służący do udostępniania zasobów między węzłami w sieci. czytaj więcej

Trend Micro Trend Micro przedstawia grę Data Center Attack - sprawdź, czy powstrzymasz hakerów

Kryzys związany z ostatnimi cyberatakami, w których ransomware WannaCry sparaliżował systemy informatyczne wielu instytucji i organizacji, potrząsnął całym rynkiem informatycznym. Od teraz każdy może sprawdzić, czy byłby w stanie zapobiec takiemu zagrożeniu. czytaj więcej

Trend Micro Trend Micro – III edycja zawodów Capture the Flag

Trend Micro, światowy lider w dziedzinie zabezpieczeń cybernetycznych, zapowiedział zorganizowanie trzeciej edycji corocznych zawodów Capture the Flag (CTF). Impreza Trend Micro CTF 2017 – Raimund Genes Cup jest skierowana do młodych specjalistów z branży cyberbezpieczeństwa i ma na celu rozwijanie praktycznych umiejętności w obszarach takich jak: zwalczanie cyberprzestępczości i ataków ukierunkowanych, Internet rzeczy (IoT) oraz przemysłowe systemy sterowania. czytaj więcej

Trend Micro Trend Micro: Czy Emmanuel Macron jest na celowniku grupy przestępczej Pawn Storm?

Według opublikowanego właśnie przez Trend Micro raportu: Two Years of Pawn Storm – Examining an Increasingly Relevant Threat wynika, że sztab wyborczy kandydata na prezydenta Francji – Emmanuela Macrona, mógł być celem tych samych cyberprzestępców, którzy podczas amerykańskich wyborów włamali się do serwerów Partii Demokratycznej. czytaj więcej

Trend Micro Trend Micro: Między informacją a propagandą. Raport "The Fake News Machine"

Najnowszy raport Trend Micro The Fake News Machine analizuje zjawisko cyberpropagandy, grupy przestępcze bowiem coraz częściej stosują fałszywe informacje w celu wprowadzenia opinii publicznej w błąd. Proces ten bazuje na trzech filarach – motywacji, odpowiednich narzędziach i usługach oraz mediach społecznościowych – umożliwiają one rozpowszechnianie fałszywych wiadomości i sukces kampanii. To właśnie wykorzystanie sieci społecznościowych daje cyberprzestępcom nowe możliwości i pozwala na rozprzestrzenianie się fałszywych informacji w błyskawicznym tempie. czytaj więcej

Trend Micro Trend Micro: Hakowanie robotów przemysłowych – jak się przed nim uchronić?

Gdy mówimy o cyberatakach, których ofiarą padają roboty, ktoś może pomyśleć, że to opis fabuły nowego hollywoodzkiego hitu. Jednak w rzeczywistości roboty przemysłowe stały się już nieodzownym elementem procesów produkcji we wszelkich branżach: od układów scalonych, przez samochody, po szklane naczynia – i interesują się nimi cyberprzestępcy. czytaj więcej

Trend Micro Inteligentne miasta stają się rzeczywistością: SECURING SMART CITIES – RAPORT TREND MICRO

Wkrótce inteligentne technologie staną się uniwersalne, a usługi publiczne i miejska infrastruktura będą skutecznie współdziałać tworząc tzw. inteligentne miasta. Otwierają one przed obywatelami wiele możliwości, jednak nie możemy zapominać również o ewentualnych zagrożeniach. czytaj więcej

Trend Micro Trend Micro: EternalRocks - nowe zagrożenie wykorzystujące dodatkowe luki

Pod koniec maja wykryto nowe szkodliwe oprogramowanie o nazwie EternalRocks, wykorzystujące eksploity EternalBlue i DoublePulsar, które zostały opracowane przez amerykańską Narodową Agencję Bezpieczeństwa (NSA), a wykradzione przez grupę hakerów Shadow Brokers i użyte w ramach głośnego ataku ransomware WannaCry. Wirus EternalRocks korzysta również z pięciu innych eksploitów i narzędzi udostępnionych w podobny sposób przez tę samą grupę: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch oraz SMBTouch. Większość z tych eksploitów atakuje protokół Server Message Block (SMB) firmy Microsoft, służący do udostępniania zasobów między węzłami w sieci. czytaj więcej

Trend Micro Trend Micro przedstawia grę Data Center Attack - sprawdź, czy powstrzymasz hakerów

Kryzys związany z ostatnimi cyberatakami, w których ransomware WannaCry sparaliżował systemy informatyczne wielu instytucji i organizacji, potrząsnął całym rynkiem informatycznym. Od teraz każdy może sprawdzić, czy byłby w stanie zapobiec takiemu zagrożeniu. czytaj więcej

Trend Micro Trend Micro – III edycja zawodów Capture the Flag

Trend Micro, światowy lider w dziedzinie zabezpieczeń cybernetycznych, zapowiedział zorganizowanie trzeciej edycji corocznych zawodów Capture the Flag (CTF). Impreza Trend Micro CTF 2017 – Raimund Genes Cup jest skierowana do młodych specjalistów z branży cyberbezpieczeństwa i ma na celu rozwijanie praktycznych umiejętności w obszarach takich jak: zwalczanie cyberprzestępczości i ataków ukierunkowanych, Internet rzeczy (IoT) oraz przemysłowe systemy sterowania. czytaj więcej

Trend Micro Trend Micro: Czy Emmanuel Macron jest na celowniku grupy przestępczej Pawn Storm?

Według opublikowanego właśnie przez Trend Micro raportu: Two Years of Pawn Storm – Examining an Increasingly Relevant Threat wynika, że sztab wyborczy kandydata na prezydenta Francji – Emmanuela Macrona, mógł być celem tych samych cyberprzestępców, którzy podczas amerykańskich wyborów włamali się do serwerów Partii Demokratycznej. czytaj więcej