25 Июля, 2019

Болгария пострадала от массовой кражи данных

Panda Security в России и СНГ
В мае новое европейское законодательство по защите персональных данных (GDPR) отпраздновало год с момента вступления в силу . Это правило стран-членов Евросоюза кардинально изменило ландшафт защиты персональных данных и поставило этот жизненно важный аспект информационной безопасности в центр внимания.
После нескольких месяцев затишья по поводу GDPR в июле этого года защита данных снова вернулась на центральные полосы СМИ. British Airways и Marriott получили огромные штрафы на 204 миллиона евро и 110 миллионов евро соответственно за нарушения данных, с которыми они столкнулись в прошлом году. Facebook также получил штраф от итальянских властей, в то время как в Канаде инсайдер украл персональные данные 2,7 миллионов человек.

Массовая кража данных
Теперь персональные данные снова в центре внимания. В Болгарии был арестован специалист по информационной безопасности, которого обвинили в краже персональных данных и финансовых данных 5 миллионов граждан из Национального налогового агентства (NRA). Этот инцидент стал самым крупным нарушением данных в Болгарии с населением около 7 миллионов человек.

Среди украденных данных – имена, сведения о доходах, налоговые декларации, платежи по медицинскому страхованию и многое другое.

Злоумышленник с ноу-хау
В прошлый вторник полиция провела обыск в доме подозреваемого 20-летнего молодого человека, после чего он был арестован. У него были обнаружены устройства, которые содержали зашифрованную информацию.

По сведениям из болгарской прессы, подозреваемый работал исследователем в сфере информационной безопасности, осуществляя поиск уязвимостей в ИТ-сетях для предотвращения кибер-атак. В 2017 году он уже попадал в новости, когда обнаружил важные дыры безопасности на сайте Министерства образования Болгарии.

До своего ареста он также был очень активен в соцсетях, регулярно публиковал статьи по информационной безопасности и о взломах.

Проблемы информационной безопасности страны
Данная кибер-атака вновь вызвала дебаты о слабых стандартах информационной безопасности страны. Премьер-министр Болгарии сказал, что арестованный был «волшебным» хакером, и что страна должна нанять для своей защиты такие «уникальные мозги», как у арестованного.

Тем не менее, некоторые эксперты, которые проверяли украденные данные, заявили, что используемые тактики были достаточно простыми, и это больше указывает на недостаточность адекватной защиты, нежели на великие способности хакера.

Ведущая бизнес-организация страны BIA предупредила о возможных недостатках защиты данных у NRA еще несколько лет назад. Она потребовала, чтобы NRA отправила подробную информацию об украденных документах каждому пострадавшему человеку и компании.

Большие штрафы
В соответствии с положениями GDPR, NRA может столкнуться со штрафом до 20 миллионов евро или 4% своего общего годового оборота. Санкция будет зависеть от числа пострадавших лиц, а также от объема украденной информации.

Хотя в рамках GDPR уже были значительные штрафы, но мы пока не видели санкций, которые бы достигали максимально возможного уровня - 4% от общего годового оборота компании.

Как защитить свою организацию от штрафа
GDPR применяется к любой компании, которая обрабатывает персональные данные граждан Евросоюза. Таким образом, соблюдение его требований является обязательным условием во избежание экономических потерь и ущерба репутации, которые могут стать следствием инцидента с нарушением данных.

Для оптимизации процессов соблюдения требований этого закона, Panda Adaptive Defense  имеет модуль, специально разработанный для того, чтобы помочь соответствовать требованиям GDPR: Panda Data Control *. Этот модуль имеет множество преимуществ:

  • Обнаружение и аудит: Он автоматически идентифицирует корпоративные файлы, которые содержат персонально идентифицируемую информацию, а также пользователей, сотрудников или подрядчиков, компьютеры и серверы, которые могут иметь доступ к этой информации.
  • Мониторинг  и обнаружение: Отчеты и оповещения в реальном времени, предлагаемые модулем Panda Data Control, о несанкционированном и подозрительном использовании, передаче и извлечении файлов с персональными данными, помогают внедрить проактивные средства контроля доступа и обработки.
  • Упрощенное управление: Модуль Panda Data Control – это модуль, который интегрирован в Panda Adaptive Defense и Panda Adaptive Defense 360. Он не требует того, чтобы компании внедряли еще что-либо, кроме стандартной защиты, а потому данный модуль можно быстро и сразу активировать без сложных и громоздких настроек.
  • Демонстрация руководству, ответственному в компании за защиту данных (DPO) и всем другим сотрудникам вашей организации строгих мер безопасности для защиты всей персонально идентифицируемой информации, находящейся в состоянии покоя, используемой или перемещаемой между конечными устройствами и серверами.
Новые нарушения данных и штрафы, которые мы видели в этом месяце, не будут последними. Новые случаи нарушений требований GDPR и кражи персональных данных появятся в ближайшее время. Поэтому если ваша компания работает с персональными данными граждан Евросоюза, убедитесь в том, чтобы не стать следующей жертвой, с помощью Panda Data Control.
* Panda Data Control представляет собой модуль для решения ИТ-безопасности Panda Adaptive Defense . В настоящее время этот модуль пока не работает с персональными данными на русском языке или языках стран бывшего СССР. Данный модуль рекомендуется использовать компаниям, которые работают с персональными данными граждан Евросоюза для обеспечения требований GDPR .
Оригинал статьи: Bulgaria suffers a massive data theft

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru