Штраф почти в 500 000 долларов против ирландской медицинской группы показывает риски, связанные с соблюдением европейских требований к конфиденциальности данных, даже если вы спешите оправиться от инцидента с безопасностью.

Кибер-команды могут перезаписать журналы безопасности, не задокументировать шаги защиты или забыть сохранить моментальные снимки зараженных систем. Эти оплошности могут повлечь за собой большие штрафы, если они приведут к утечке данных. Источник: https://www.wsj.com/articles/inadvertent


Helen Dixon is head of the Irish Data Protection Commission.
Photo: Simon Dawson/Bloomberg News

Согласно недавнему постановлению в Ирландии, компании могут нарушать европейские законы о конфиденциальности, если они неправильно обращаются с персональными данными после кибератаки.

Уполномоченный по защите данных страны оштрафовал дублинскую медицинскую группу Centric Health Ltd. на 460 000 евро, что эквивалентно 485 000 долларов США, сославшись на непреднамеренное уничтожение около 2500 файлов пациентов и другие удаления данных после атаки программы-вымогателя в 2019 году.

Штраф подчеркнул риски, с которыми сталкиваются компании при выполнении европейских требований к конфиденциальности данных, даже когда они спешат отремонтировать системы и восстановить информацию после кибератаки.

При борьбе с кибератакой службы безопасности могут перезаписать журналы безопасности, не задокументировать шаги защиты или забыть сохранить моментальные снимки зараженных систем, что может повлечь за собой большие штрафы, если эти действия приведут к утечке данных.

Европейские регулирующие органы по защите данных ссылались на сбои в кибербезопасности — в некоторых случаях произошедшие до кибератаки или в ответ на нее, — которые привели к нарушениям конфиденциальности в ходе недавних расследований. В ноябре французский регулятор связал практику кибербезопасности с нарушениями конфиденциальности в Discord Inc., оштрафовав чат-сервис на 800 000 долларов. Британский регулятор оштрафовал британскую строительную фирму Interserve Group Ltd на 4,4 миллиона фунтов стерлингов, или 5,2 миллиона долларов. в октябре и заявил, что плохие меры безопасности компании сделали данные примерно о 113 000 нынешних и бывших сотрудниках уязвимыми после атаки программы-вымогателя в 2020 году. Interserve утверждала, что пандемия Covid-19 помешала сотрудникам быстро восстановить данные, потому что они не могли прийти в офис. Регулятор заявил, что большую роль сыграло отсутствие надлежащих мер у Interserve и автономное резервное копирование данных.

Данные о состоянии здоровья требуют особенно высокого уровня безопасности в соответствии со строгим общим регламентом Европейского союза по защите данных. В случае Centric около 70 000 файлов пациентов были недоступны после кибератаки, большинство из них временно, за исключением 2500 уничтоженных, сообщила ирландская комиссия, возглавляемая Хелен Диксон.

“Несанкционированное удаление таких персональных данных, например, может помешать предоставлению медицинской помощи субъектам данных”, — заявила г-жа Диксон в своем решении. Она также отметила, что фирма Centric, нанятая для проведения судебно-медицинского анализа инцидента, заявила, что в процессе восстановления зараженной системы “были удалены важные данные ведения журнала”. Это затрудняло возможность определения ключевых деталей, таких как, когда были скомпрометированы определенные учетные записи и были ли украдены личные данные. Эти обстоятельства демонстрируют “сочетание плохого реагирования на инциденты и методов реагирования на утечку данных в сочетании с отсутствием хорошего резервного копирования”, — сказал Брайан Хонан, исполнительный директор BH Consulting, базирующейся в Дублине консалтинговой фирмы по безопасности.Дублин

Centric, которая оказывает медицинскую помощь примерно 400 000 пациентам в Ирландии, предприняла шаги по восстановлению удаленных данных пациентов и проинформировала ирландский регулирующий орган, а также пострадавших пациентов, сообщил представитель healthcare group в заявлении, отправленном по электронной почте на этой неделе. “Мы хотим заверить их, что потерянные данные были восстановлены и, что важно, не оказали негативного влияния на их медицинское обслуживание”, — говорится в заявлении.

Поставщик медицинских услуг также не смог протестировать безопасность своих серверов и использовать достаточные меры защиты, чтобы гарантировать доступность резервных копий, говорится в решении. По мнению регулятора, Centric отклонилась от своей стандартной практики хранения резервных копий за пределами сайта.

В заявлении, поданном в офис мисс Диксон во время расследования, Centric заявила, что на момент атаки она находилась в процессе переноса конкретного сервера на “новое инфраструктурное решение, и [оно] не было настроено в соответствии со стандартным решением. Таким образом, не было создано никаких процессов для тестирования отказоустойчивости данных, включая восстановление из резервной копии”.

По словам г-на Хонана, компании, которые не знают, как восстановиться после кибератаки, или не тестируют свои системы резервного копирования, рискуют уничтожить данные и совершить другие ошибки. По его словам, группам безопасности необходимо провести учения, чтобы убедиться, что у них есть правильные навыки, инструменты и методы для соблюдения требований конфиденциальности и сохранения улик.

“Ваши обязанности в отношении GDPR заключаются не только в предотвращении”, — сказал он. “Речь также идет о том, как вы реагируете и защищаете права отдельных лиц после того, как произошло нарушение”.

Write to Catherine Stupp at catherine.stupp@wsj.com

Copyright ©2022 Dow Jones & Company, Inc. All Rights Reserved. 87990cbe856818d5eddac44c7b1cdeb8

Appeared in the March 10, 2023, print edition as ‘Inadvertent Data Destruction Can Violate EU Privacy Rules.’