fbpx
Fimmtudagur 21.nóvember 2024
Fréttir

Strætó og Advania í hár saman eftir árás frá hökkurunum í Karakurt – Öryggisbrestur og óbreytt admin lykilorð frá 2006

Ritstjórn DV
Þriðjudaginn 19. desember 2023 14:41

Ekki missa af Helstu tíðindum dagsins í pósthólfið þitt

Lesa nánar

Persónuvernd hefur komist að þeirri niðurstöðu að Strætó og Advania hafi ekki fullnægt kröfum persónuverndarlaga um viðeigandi öryggisráðstafanir í vinnslu persónuupplýsinga í kerfum Strætó. Þetta kemur fram í ákvörðun stofnunarinnar frá 28. nóvember. Málið má rekja til stórrar netárásar á kerfi Strætó í árslok 2021 þar sem óprúttnir aðilar komust yfir mikið magn af persónuupplýsingum sem varða á bilinu 10-15 þúsund landsmenn.

Brutust inn í kerfi og heimtuðu lausnargjald

Það var í desember árið 2021 að tölvukerfi Strætó urðu fyrir fjandsamlegri netárás. Utanaðkomandi komst yfir gögn sem voru hýst í kerfum fyrirtækisins, en hýsingin var á vegum Advania. Á aðfangadag jóla fékk Strætó tölvupóst frá þrjótunum sem kröfðust lausnargjalds, ellegar yrði gögnunum lekið. Degi síðar sá starfsmaður Strætó að á vefþjóni þeirra voru komin skjöl sem ekki áttu að vera þar. Reyndust þau koma frá þrjótunum og innihéldu sömu skilaboð og áður voru send. Lausnargjald átti að greiða fyrir 6. janúar en eftir samráð við netöryggissveitina CERT-IS ákvað Strætó að verða ekki við kröfum þrjótanna. Þrjótarnir auðkenndu sig sem meðlimi í hakkarahópnum Karakurt. Sá hópur er frægur í Bandaríkjunum og Evrópu fyrir umfangsmiklar árásir á fyrirtæki og stofnanir þar sem gögnum er stolið og haldið í gíslingu þar til lausnargjald fæst greitt.

Ekki reyndist þó mögulegt að komast að því hvernig þrjótarnir komust inn á kerfi Strætó. Ástæða þess er að svokallaðri atvikaskráningu var ábótavant. Atvikaskráning, eða atburðaskráning, er öryggisráðstöfun sem er til þess fallin að tryggja rekjanleika og getur haft varnaðaráhrif gegn árásum. Vöktun slíkra skráninga er til þess fallin að tryggja eftirlit með aðgangi og annarri vinnslu persónuupplýsinga og svo hægt sé að koma auga á óeðlileg atvik og grípa til ráðstafana.

Mögulega komust þrjótarnir inn í gegnum netþjón eða með því að senda veiðipóst (phishing) á starfsmenn. Persónuvernd ákvað að taka árásina til rannsóknar eftir að um hana var fjallað í fjölmiðlum. Strætó reyndi að velta ábyrgðinni yfir á Advania – þeim hafi borið að tryggja öryggi, atvikaskráningu og vöktun samkvæmt gildandi þjónustusamningi. Advania reyndi að verjast þessu með því að vísa til þess að þjónustusamningur fælist um rekstrarþjónustu og viki í engu að skyldu Advania til að stunda netvöktun. Advania benti á að Strætó væri enn að notast við svokallað lykilorð lénstjóra ( e. domain admin password) sem hafi ekki verið breytt síðan árið 2006. Líklegast sé að þrjótarnir hafi nýtt sér þann brest til að brjótast inn í kerfin.

Karakurt hafði komist yfir mikið magn af persónuupplýsingum um 10-15 þúsund einstaklinga. Sumar upplýsingarnar voru ósköp saklausar, svo sem nöfn, heimilisfang og kennitala, en aðrar viðkvæmari svo sem upplýsingar um sakaskrá einstaklinga sem höfðu sótt um vinnu hjá strætó eða gegndu verktöku fyrir fyrirtækið, launaupplýsingar um starfsmenn, auðkennisupplýsingar og fjárhagsupplýsingar svo dæmi séu tekin.

Bæði fyrirtækin ábyrg

Persónuvernd rakti að árásin hafi ekki komið úr lausu lofti heldur átt sér aðdraganda. Sá fyrsti í október þegar minni árás átti sér stað þar sem óprúttnir komust yfir nokkuð af gögnum. Strax þarna hafi verið tilefni fyrir Strætó að bregðast við öryggisbrest, en það var ekki gert. Hér hefði atvikaskráning verið mikilvæg og mögulega náð að draga úr umfangi stærri árásarinnar í desember. Þetta hafi kallað á viðbrögð, en ekkert gert.

Þar með voru að mati Persónuverndar, bæði fyrirtækin brotleg. Advania hafi lofað að fylgja tilteknum öryggisstuðlum í samningi sínum við Strætó, en til að uppfylla þá staðla hafi þurft að tryggja öryggi svo sem með vöktun og atvikaskráningu. Breyti engu þó að slík þjónusta hafi ekki verið tiltekin berum orðum í samningi. Strætó hefði svo haft fullt tilefni til að bregðast fyrr við og eins að tryggja að Advania væri að uppfylla áðurnefnda staðla sem sem með því að gera mat á upplýsingaöryggisáhættu.

Bæði fyrirtækin væru sek um að bregðast skyldu sinni að gæta að öryggi persónuupplýsinga. Hins vegar hafi bæði fyrirtæki farið í tafarlausar úrbætur og átt í góðu samstarfi um slíkt. Þau hafi sýnt samstafsvilja við rannsókn Persónuverndar og því ekki talið tilefni til að beita stjórnvaldssektum.

Athugasemdir eru á ábyrgð þeirra sem þær skrá. DV áskilur sér þó rétt til að eyða ummælum sem metin verða sem ærumeiðandi eða ósæmileg. Smelltu hér til að tilkynna óviðeigandi athugasemdir.

Fleiri fréttir

Mest lesið

Nýlegt

Fréttir
Fyrir 7 klukkutímum

Er þriðja heimsstyrjöldin í uppsiglingu? Hvað segja sérfræðingar?

Er þriðja heimsstyrjöldin í uppsiglingu? Hvað segja sérfræðingar?
Fréttir
Fyrir 10 klukkutímum

Segir að Kim Jong-un hafi Pútín að fífli

Segir að Kim Jong-un hafi Pútín að fífli
Fréttir
Fyrir 21 klukkutímum

Ákærð fyrir stórfellda líkamsárás á starfsmann Vinakots

Ákærð fyrir stórfellda líkamsárás á starfsmann Vinakots
Fréttir
Fyrir 22 klukkutímum

Salka Sól sendir borgarstjóra væna pillu – „Þú situr bara víst við þetta samningsborð Einar!“

Salka Sól sendir borgarstjóra væna pillu – „Þú situr bara víst við þetta samningsborð Einar!“