45 tysięcy złotych nałożone na Politechnikę Warszawską to nie pierwsza i zapewne nie ostatnia administracyjna kara pieniężna nałożona na uczelnię przez Prezesa Urzędu Ochrony Danych Osobowych. Tym razem przyczyną było niedostateczne zabezpieczenie przed atakiem hakerskim. Czego dokładnie dotyczyła sprawa?

Wejście tylnymi drzwiami

W ubiegłych latach głośne były sprawy dotyczące uczelni, na które Prezes Urzędu Ochrony Danych Osobowych nałożył kary. Za przykład może posłużyć sprawa Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie dotycząca kradzieży laptopa używanego przez pracownika tej uczelni do celów służbowych, w tym do przetwarzania danych osobowych kandydatów na studia w związku z prowadzonymi rekrutacjami, w której kara wyniosła 50 tysięcy złotych (z naszym artykułem, będącym reakcją na tę sprawę i zawierającym wskazówki jak należy postępować, gdy dojdzie do wycieku danych, można zapoznać się tutaj).

Co ciekawe, z moich obserwacji wynika, że administratorzy danych bardziej obawiają  się kradzieży laptopa niż włamania, ponieważ dyskredytują ryzyko możliwości  ataku hakerskiego do ich systemu. Otóż w przypadku Politechniki Warszawskiej znalazł się śmiałek. Nie wyprzedzając jednak faktów.

W sprawie Politechniki Warszawskiej mieliśmy do czynienia z nieuprawnionym dostępem do danych. Jak czytamy w uzasadnieniu decyzji PUODO:

„W zgłoszeniu naruszenia wskazano, że […] maja 2020 r. nieznana i nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej Uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców studiów […], z lat 2008 – 2020, a także 169 kandydatów na studia na rok akademicki 2019/2020 (łącznie 5013 osób). Kategorie danych, których dotyczy naruszenie, obejmują: imię i nazwisko, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, nr PESEL, adres e-mail, nazwa użytkownika i/lub hasło, nazwisko rodowe matki, seria i nr dowodu osobistego oraz nr telefonu.”

Zdarzenie dotyczyło systemu wykorzystywanego do zapisywania się na zajęcia  (z sentymentem wspominam emocje przy rejestracji na grupy ćwiczeniowe, które były czasem większe niż na zawodach sportowych 😊), wglądu w historię studiów (ach, to nerwowe odświeżanie strony z ocenami w dniu wyników 😊), zamieszczania materiałów przez prowadzących zajęcia dla studentów i tym podobne. Z informacji, które można znaleźć w Internecie na temat serii wycieków danych na Politechnice Warszawskiej można wywnioskować, że chodziło o system OKNO oraz Moodle.

Sposób, w jaki prawdopodobnie doszło do wycieku nie budzi większego zdziwienia. Jak ustalili pracownicy Urzędu Ochrony Danych Osobowych, najprawdopodobniej jeden z wykładowców wykorzystywał ten sam login i hasło do różnych systemów. Osoba trzecia pozyskała te dane i zalogowała się na jego konto, a następnie umieściła dwa pliki typu  backdoor („tylne drzwi”). Pliki te pozwoliły na pobranie danych osobowych.

Za co nałożona została kara?

Prezes UODO dopatrzył się następujących nieprawidłowości po stronie Uczelni:

1. niezastosowanie odpowiednich środków do ciągłego zapewnienia poufności usług przetwarzania,

2. brak regularnego testowania, mierzenia i oceniania skuteczności tych środków w systemie informatycznym, a tym samym niewłaściwe uwzględnienie ryzyka związanego z przetwarzaniem danych osobowych,

3. brak uwzględnienia ryzyka związanego z przetwarzaniem haseł użytkowników w postaci funkcji skrótu, która według Urzędu nie daje dostatecznej gwarancji bezpieczeństwa, co w przypadku niezastosowania innych środków technicznych i organizacyjnych mających na celu zapewnienie bezpiecznego przetwarzania, stanowi o narażeniu osób, których dane dotyczą, na zwiększenie ryzyka naruszenia ich praw lub wolności,

4. brak analizy zasadności 4-tygodniowego przechowywania logów maszyny wirtualnej, na której znajdował się system oraz brak analizy zasadności braku szczegółowego dziennika zdarzeń w aplikacji, co przesądza o niewdrożeniu odpowiednich środków technicznych i organizacyjnych, zapewniających utrzymanie zdolności do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń aby zapewnić możliwość podjęcia stosownych działań.

W tym miejscu małe wyjaśnienie dla osób mniej zainteresowanych techniczną stroną, które zastanawiają się czym jest funkcja skrótu, logi (dziennik zdarzeń) i maszyna wirtualna. W uproszczeniu:

Funkcja skrótu (inaczej funkcja hashująca czy haszujaca) to działanie matematyczne, które pozwala na stworzenie skrótu o stałej długości niezależnie od rozmiaru danych wejściowych. Nawet zmiana jednego znaku może wpłynąć na wynik końcowy. Na przykład ustawiając hasło „I law IT” otrzymamy ciąg znaków, która dla przeciętnego odbiorcy będzie wyglądała jak ciąg liter i cyfr. Po utworzeniu takiego skrótu jest on nieodwracalny (nie można na jego podstawie odtworzyć danych wejściowych). Stosowanie funkcji skrótu jest uważane za dobrą praktykę przy przechowywaniu haseł, ponieważ na wypadek wycieku bazy danych osoba, która się z nią zapozna nie dowie się jak brzmi hasło.

Logi (dziennik zdarzeń) to zapisy zdarzeń jakie miały miejsce w systemie (np. włączenie komputera). Mogą one zawierać dane osobowe, o czym często jesteśmy informowani w Politykach prywatności – np. adres IP urządzenia, które łączy się z daną stroną internetową.

Maszyna wirtualna – jeżeli np. brakuje nam pamięci operacyjnej do przeprowadzenia jakiejś operacji na danych możemy skorzystać z maszyny wirtualnej, czyli wydzielonej części innego urządzenia. W uproszczeniu można byłoby ją nazwać nienamacalnym komputerem.

Jakie środki zaradcze podjęła Politechnika?

Z treści decyzji PUODO możemy wyczytać, iż „w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, administrator powiadomił m.in. odpowiednie organy ścigania oraz zabezpieczył i odseparował od sieci wewnętrznej Uczelni zasoby informatyczne, będące przedmiotem naruszenia. Stwierdzając wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, poinformował za pomocą poczty elektronicznej […] i […] maja 2020 r. wszystkie osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 rozporządzenia 2016/679 (treść zawiadomienia stanowi załącznik do zgłoszenia wstępnego). Ponadto administrator wskazał, że podjął również inne działania informacyjne, takie jak komunikat na stronie internetowej Uczelni oraz dedykowana podstrona z listą najczęściej zadawanych pytań i odpowiedzi.”

Podsumowanie

Z dużym prawdopodobieństwem sytuacja mogłaby nie mieć miejsca, gdyby dane dostępowe były bardziej chronione oraz niepowtarzalne dla każdych systemów i aplikacji z których korzystał użytkownik. Co ciekawe, w ostatnim czasie problematyką haseł zajął się również CERT NASK, który przygotował m.in. zalecenia dotyczące wykorzystywania i tworzenia haseł. Na pierwszym miejscu w tych zaleceniach znajduje się bezpieczny algorytm hashujący do przechowywania haseł.

Życzymy bezpiecznych logowań 😊