Elbląskie Przedsiębiorstwo Energetyki Cieplnej pod koniec czerwca stało się ofiarą ataku cybernetycznego. Infrastruktura instytucji została zaatakowana za pomocą ransomware Ragnar Locker. Zagrożenie doskonale omija zabezpieczenia antywirusowe i rzecz jasna blokuje dostęp do danych - oferuje ich odblokowanie w zamian za okup. Jest także w stanie przesyłać zgromadzone informacje na serwery cyberprzestępców.
Jak podaje serwis ITBiznes, według Andrzeja Kulińskiego - prezesa EPEC, nie doszło wtedy do wycieku informacji klientów. Poinformowano, że w niedługim czasie powinno się odbyć odtworzenie systemów, ich konfiguracji, a także zostanie przeprowadzona analiza pod kątem naruszenia zasad zawartych w RODO. Uspokajano zainteresowanych, że cyberprzestępcy nie uzyskali dostępu do żadnych danych.
Nie wiem, czy wynikało to ze złej woli, obawy przed konsekwencjami, czy też z niekompetencji. Okazało się, że jak najbardziej do wycieku doszło - na dowód tego cyberprzestępcy, niejako sprowokowani do tego słowami prezesa Kulińskiego, postanowili opublikować zgromadzone informacje. Jest tego aż 8 GB, a w tym prywatne dane klientów EPEC. I jest teraz ogromny problem - można tego użyć na wszelkie sposoby. Twórcy Ragnar Lockera utrzymują, że próbowali podejmować kontakt z instytucją - jednak nieskutecznie. Oczywiście, z przestępcami się nie rozmawia. Dziwi mnie jednak to, że prezes postanowił w taki sposób zakomunikować cały ten incydent. Doszło do wycieku newralgicznych danych, których jest mnóstwo. 8 GB na cały Elbląg? Sporo.
Do sprawy powinno wkroczyć więc UODO, które najpewniej sprawdzi czy nie doszło do nieprawidłowości w trakcie budowania zabezpieczeń infrastruktury oraz kroków podjętych tuż po ujawnieniu infekcji oraz wycieku informacji. W takich sytuacjach liczy się szczerość i wsparcie się wiedzą ekspertów, którzy by doradzili co robić w takiej sytuacji. Sądzę, że jest to połączenie daleko idącej niekompetencji oraz nieświadomości zagrożenia. Ciekawie wygląda komunikacja prezesa Kulińskiego:
Przeanalizowaliśmy zdarzenie zgodnie z obowiązującymi przepisami. Wstępne wyniki pokazały, że nie ma konieczności informowania prezesa UODO o cyberataku. Zdecydowaliśmy jednak o wszczęciu procedury powiadomienia UODO, ponieważ zależy nam na transparentności działań.
Z jednej strony nie ma potrzeby powiadamiania UODO, ale jednak powiadamiamy. Opublikowany przez twórców Ragnar Lockera zbiór danych to najlepszy dowód na to, że poczyniono zdecydowanie nieodpowiednie kroki w tej sprawie. Nieco asekuracyjnie, w informacji prasowej na temat ataki, przekazano listę dobrych praktyk które warto wykonać, gdy występuje obawa o prywatne dane. Tego typu podejście nie jest jednak wystarczające. Nie ma tutaj "przepraszam", nie ma szczegółowej analizy tego co się stało, nie ma odniesienia do tego, co opublikowali twórcy Ragnar Lockera. Brakuje tutaj wielu rzeczy.
Niekonsekwencja w komunikacji, nieświadomość problemu, ignorancja. Tak mogę skomentować postawę instytucji, którą reprezentuje prezes Kuliński. Cyberprzestępcy szybko obdarli ze złudzeń włodarzy EPEC, którzy "zapomnieli" wspomnieć o wycieku, a właściwie to nawet dawali do zrozumienia, że do niego nie doszło. Tak się nie robi.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
