Συγχαρητήρια αντί κυρώσεων στη Βρετανική Βιβλιοθήκη για την κυβερνοεπίθεση
Η βρετανική αρχή προστασίας δεδομένων ανακοίνωσε πως δεν προτίθεται να προχωρήσει σε έρευνα για το περιστατικό
Με επαίνους, αντί ελέγχου και κυρώσεων, αποφάσισε να απαντήσει η βρετανική αρχή προστασίας δεδομένων ICO στη μεγάλων διαστάσεων παραβίαση δεδομένων που τελέστηκε στη Βρετανική Βιβλιοθήκη στα τέλη του 2023.
Το φθινόπωρο του 2023, η Βρετανική Βιβλιοθήκη – ένα από τα σημαντικότερα πολιτιστικά ιδρύματα του κόσμου – έγινε στόχος μιας καταστροφικής κυβερνοεπίθεσης που παρέλυσε τις υπηρεσίες της, οδήγησε σε διαρροή προσωπικών δεδομένων και αποκάλυψε σημαντικές αδυναμίες στον κυβερνοαμυντικό σχεδιασμό του οργανισμού.
Στις 28 Οκτωβρίου 2023, η Βρετανική Βιβλιοθήκη ανακοίνωσε «σημαντική τεχνική δυσλειτουργία». Μέσα σε λίγες ημέρες αποκαλύφθηκε ότι η αιτία ήταν επίθεση ransomware από την εγκληματική ομάδα Rhysida, ένα hacker group που παρέχει υπηρεσίες ransomware as a service. Οι δράστες απέκτησαν πρόσβαση σε διακομιστή χωρίς πολυπαραγοντικό έλεγχο ταυτότητας (MFA) και στη συνέχεια διείσδυσαν στο εσωτερικό δίκτυο.
Η έκταση της ζημίας ήταν τεράστια: καταστροφή υποδομών, αδυναμία πρόσβασης στις ψηφιακές υπηρεσίες, και – το σοβαρότερο – κλοπή και δημοσιοποίηση 600 GB αρχείων και προσωπικών δεδομένων.
Οι δράστες της επίθεσης απαίτησαν την καταβολή λύτρων – 20 bitcoin – τα οποία ο βρετανικός οργανισμός αρνήθηκε να τους καταβάλει. Αυτό είχε ως αποτέλεσμα να διαρρεύσουν στο dark web δεδομένα που είχαν αφαιρεθεί, μεταξύ αυτών διαβατήρια, συμβάσεις, αρχεία προσωπικού και έγγραφα οικονομικής διαχείρισης.
Η ανάκαμψη ήταν αργή και σταδιακή. Έως τον Ιανουάριο του 2024, η βιβλιοθήκη κατάφερε να αποκαταστήσει μερικώς την πρόσβαση στον ηλεκτρονικό της κατάλογο, ενώ τον Μάρτιο του ίδιου έτους έκανε κάτι ασυνήθιστο, που έμελλε να κρίνει και την αντιμετώπιση του περιστατικού από τις αρμόδιες αρχές: έδωσε στη δημοσιότητα τη 18σέλιδη έκθεση που εκπονήθηκε (LEARNING LESSONS FROM THE CYBER-ATTACK: British Library cyber incident review(link is external)) σχετικά με το περιστατικό και στην οποία καταγράφονταν αναλυτικώς όλες οι αδυναμίες των συστημάτων, οι ενέργειες που ακολούθησαν και τα διδάγματα από το συμβάν. Παράλληλα, ο οργανισμός δημιούργησε ειδική ενότητα(link is external) στον ιστότοπό του, μέσω του οποίου παρείχε συνεχή ενημέρωση στο κοινό σχετικά με την εξέλιξη της αντιμετώπισης του περιστατικού και τη διαδικασία αποκατάστασης των υπηρεσιών του, προσθέτοντας μάλιστα και ειδικό υπερσύνδεσμο (Cyber-attack(link is external)) στην κεντρική του σελίδα.
Η αντίδραση της Βρετανικής Βιβλιοθήκης, κυρίως δε η εμφατική της άρνηση να συνδιαλλαγεί με τους δράστες της επίθεσης και να ικανοποιήσει τις απαιτήσεις τους, έλαβε θετικά σχόλια από την εθνική αρχή κυβερνοασφάλειας του Ηνωμένου Βασιλείου (National Cyber Security Centre -NCSC), η προσωρινή Διοικήτρια της οποίας δημοσίευσε άρθρο της στον Guardian με τίτλο «British Library did the right thing by not paying cybercriminals(link is external)»
Η κυβερνοεπίθεση οδήγησε και σε παραβίαση δεδομένων, γεγονός που συνεπάγεται την εμπλοκή και της αρμόδιας εποπτικής αρχής, του ICO, η οποία δεν είχε μέχρι πρότινος γνωστοποιήσει τις προθέσεις της.
Με προχτεσινή δήλωσή του(link is external), ο ICO γνωστοποίησε πως δεν θα προχωρήσει σε καμία ενέργεια, αφού έχει άλλες σημαντικότερες προτεραιότητες. Όπως ανακοινώθηκε:
«Τον Οκτώβριο του 2023, η Βρετανική Βιβλιοθήκη ανέφερε σε εμάς μια επίθεση με ransomware, η οποία κλιμακώθηκε εξαιτίας της απουσίας πολυπαραγοντικού ελέγχου ταυτότητας (multi-factor authentication) σε λογαριασμό διαχειριστή.
Μετά το περιστατικό, η Βρετανική Βιβλιοθήκη δημοσίευσε, τον Μάρτιο του 2024, ανασκόπηση του συμβάντος, η οποία παρείχε μια επισκόπηση της κυβερνοεπίθεσης και παρουσίασε βασικά διδάγματα, ώστε να υποστηριχθούν και άλλοι οργανισμοί που ενδέχεται να αντιμετωπίσουν παρόμοια περιστατικά.
Επαινούμε τη Βρετανική Βιβλιοθήκη για την ανοιχτή και διαφανή στάση της σχετικά με τις αδυναμίες των συστημάτων της που συνέβαλαν στο περιστατικό, τις συνέπειες που αυτό είχε, καθώς και τις βελτιώσεις που έχουν ήδη υλοποιηθεί για την προστασία των προσωπικών δεδομένων των πολιτών.
Αφού εξετάσαμε προσεκτικά την υπόθεση, ο ICO έκρινε ότι, με βάση τις τρέχουσες προτεραιότητές μας, μια περαιτέρω έρευνα δεν θα αποτελούσε την πιο αποτελεσματική χρήση των πόρων μας.
Έχουμε παράσχει καθοδήγηση στη Βρετανική Βιβλιοθήκη και έχουμε λάβει διαβεβαιώσεις για τη δέσμευσή της να συνεχίσει την αξιολόγηση και την ενίσχυση των κατάλληλων μέτρων ασφαλείας για την προστασία των δεδομένων των πολιτών.»