Πρόστιμο 70.000 ευρώ σε δικηγορική εταιρεία μετά από κυβερνοεπίθεση

Πρόστιμο ύψους 60.000 λιρών Αγγλίας (περίπου 70.000 ευρώ) επιβλήθηκε σε δικηγορική εταιρεία, μετά από επίθεση στον κυβερνοχώρο που οδήγησε στη δημοσίευση εξαιρετικά ευαίσθητων και εμπιστευτικών προσωπικών πληροφοριών στο dark web.

Όπως διαπίστωσε το Γραφείο του Επιτρόπου Πληροφοριών του Ηνωμένου Βασιλείου (ICO), η δικηγορική εταιρεία  DPP Law Ltd (DPP) απέτυχε να λάβει τα κατάλληλα μέτρα για να διασφαλίσει την ασφάλεια των προσωπικών πληροφοριών που τηρούνται ηλεκτρονικά. Η αποτυχία αυτή είχε ως αποτέλεσμα να δοθεί πρόσβαση στο δίκτυο της DPP, μέσω ενός λογαριασμού διαχειριστή που χρησιμοποιούνταν σπάνια, ο οποίος δεν διέθετε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), και να κλαπεί μεγάλος όγκος δεδομένων.

Το δικηγορικό γραφείο DPP ειδικεύεται στο δίκαιο που αφορά το έγκλημα, το στρατό, την οικογενειακή απάτη, τα σεξουαλικά αδικήματα και τις αγωγές κατά της αστυνομίας. Από το αντικείμενο και τη φύση της εργασίας συνάγεται ότι η εταιρεία είναι υπεύθυνη τόσο για εξαιρετικά ευαίσθητα δεδομένα όσο και για δεδομένα ειδικής κατηγορίας, συμπεριλαμβανομένων νομικά προνομιακών πληροφοριών. Καθώς οι πληροφορίες που εκλάπησαν από τους επιτιθέμενους αποκάλυψαν ιδιωτικά στοιχεία για άτομα που μπορούν να αναγνωριστούν, η DPP έχει την ευθύνη βάσει του νόμου να διασφαλίσει την κατάλληλη προστασία τους.

Λεπτομέρειες σχετικά με την κυβερνοεπίθεση

Τον Ιούνιο του 2022, η δικηγορική εταιρεία DPP υπέστη επίθεση στον κυβερνοχώρο, η οποία επηρέασε την πρόσβαση στα συστήματα της εταιρείας για πάνω από μία εβδομάδα. Μια συμβουλευτική εταιρεία τρίτου μέρους διαπίστωσε ότι η πρόσβαση αποκτήθηκε μέσω ενός λογαριασμού διαχειριστή που χρησιμοποιούνταν για την πρόσβαση σε ένα παλαιό σύστημα διαχείρισης υποθέσεων, με τους επιτιθέμενους να καταλαμβάνουν 32 GB δεδομένων, γεγονός που η DPP αντιλήφθηκε μόνο όταν η Εθνική Υπηρεσία Εγκλήματος επικοινώνησε με την εταιρεία για να ενημερώσει ότι πληροφορίες σχετικά με τους πελάτες της είχαν αναρτηθεί στο dark web. Η DPP δεν θεώρησε ότι η απώλεια πρόσβασης σε προσωπικές πληροφορίες συνιστούσε παραβίαση προσωπικών δεδομένων, οπότε δεν ανέφερε το περιστατικό παρά μόνο 43 ημέρες αφότου έλαβε γνώση.

Νομικές απαιτήσεις και η καθοδήγηση του ICO

Ο νόμος απαιτεί από τους οργανισμούς να λαμβάνουν συνεχή και προληπτικά μέτρα για την προστασία τους από κυβερνοεπιθέσεις. Αυτό περιλαμβάνει τη διασφάλιση ότι όλα τα συστήματα πληροφορικής διαθέτουν MFA ή ισοδύναμη προστασία, την τακτική σάρωση για ευπάθειες και την εγκατάσταση των τελευταίων διορθωτικών διορθώσεων ασφαλείας χωρίς καθυστέρηση.

Το Γραφείο του Επιτρόπου Πληροφοριών του Ηνωμένου Βασιλείου επεσήμανε ότι διαθέτει λεπτομερή καθοδήγηση προς διευκόλυνση των οργανισμών να κατανοήσουν τις υποχρεώσεις τους στον τομέα της ασφάλειας, συμπεριλαμβανομένης της υποχρέωσης όλων των οργανισμών να αναφέρουν τις παραβιάσεις δεδομένων προσωπικού χαρακτήρα.

Πέρυσι, δημοσιεύθηκε από το ICO μια έκθεση για τον κυβερνοχώρο, με τίτλο «Μαθαίνοντας από τα λάθη των άλλων», η οποία παρέχει πληροφορίες για τα άτομα που είναι υπεύθυνα για τη συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων και την ασφάλεια στον κυβερνοχώρο στον οργανισμό τους.

Πηγή: ico.org.uk