image

Britse advocaat lekt cliëntgegevens door software-update

donderdag 16 maart 2017, 16:31 door Redactie, 11 reacties

In Groot-Brittannië is een advocaat beboet voor het lekken van cliëntgegevens door een software-update. De advocaat had de informatie van 250 volwassenen en kinderen op haar computer staan. De gegevens werden naar het internet geupload toen de man van de advocaat de software op de computer bijwerkte.

Zo'n 725 onversleutelde documenten die op de computer waren gemaakt en opgeslagen werden tijdens de update naar het internet geupload. Vervolgens werden ze daar door een zoekmachine gevonden en geïndexeerd. "Deze advocaat heeft zonder goede reden haar verantwoordelijkheid over het hoofd te zien om de vertrouwelijke en zeer gevoelige informatie van haar cliënten te beschermen", aldus Steve Eckersley van de Britse databeschermingsautoriteit ICO. De advocaat kreeg een boete van omgerekend 1150 euro.

Reacties (11)
16-03-2017, 16:33 door Vixen - Bijgewerkt: 16-03-2017, 16:33
Och, één of een paar daagjes werken en ze heeft die 1150 euro al weer terugverdient ;)

Als mensen haar nog vertrouwen tenminste...
16-03-2017, 16:37 door Spiff has left the building
Welke software upload persoonlijke documenten bij een software-update?
16-03-2017, 16:41 door Anoniem
Vreemd verhaal....had die man niet gewoon het idee om even een backup te maken vóór de update en heeft hij dat op een verkeerde plaats in de cloud neergezet?
16-03-2017, 17:25 door karma4
https://www.lawgazette.co.uk/practice/ico-probes-173-law-firms-over-data-protection-breaches/5048260.article

Meer een cultureel probleem dan technisch.
16-03-2017, 17:45 door Spiff has left the building
Door karma4, 17:25 uur:
https://www.lawgazette.co.uk/practice/ico-probes-173-law-firms-over-data-protection-breaches/5048260.article
Dat verheldert uiteraard helemaal niets betreffend het bijzonder rare feit dat ICO beschreef in het artikel, "was uploaded to the internet when the barrister’s husband updated software on the couple’s home computer".
Ik kan me voorstellen dat het vermoeden van Anoniem van 16:41 uur zou kunnen kloppen.
Het zou werkelijk prettig geweest zijn wanneer ICO zo'n relevant detail had willen toelichten in het artikel.
16-03-2017, 18:44 door karma4 - Bijgewerkt: 16-03-2017, 19:12
Door Spiff: [Het zou werkelijk prettig geweest zijn wanneer ICO zo'n relevant detail had willen toelichten in het artikel.
Daar heb je gelijk in, echter het lijkt om een niet zo handige acties te gaan, inderdaad zie anoniem 16.41 Dan is techniek niet aan de orde. Net zoals bij whale phising, hoeven we de technische details niet te weten anders dan... stom stom... https://www.theregister.co.uk/2017/03/16/barrister_fined_over_data_breach/

update: heb ik toch het hel verhaal voor je: https://ico.org.uk/media/action-weve-taken/mpns/2013678/mpn-data-breach-barrister-20170316.pdf Letterlijk staat er een handmatige actie, gedeelde computer en admin account bij "Ïd". Combineer ongoing until 5 jan. de remedial actions (25) en advies (45). Je leest dat ze de documenten is gaan encrypten.

Wat me opviel in die andere link is dat er kennelijk nauwelijks aandacht voor de gegevensbeveiliging is als cultuur binnen die advocaten wereld. De ICO "Information Commissioner’s Office" heeft zo'n 178 kantoren op data lek gevallen onderzocht in 2014 en dat kwam via een WOB toevallig in april 2015 even boven de tafel. https://www.egress.com/news/egress-ico-foi-2016. Zou het aantal stom-stom handelingen als oorzaak data-lek echt zo hoog liggen. Vermoedelijk wel.
Als je verder zoekt zie dat de ICO (tegenhanger AP) als aardig wat boetes uitgedeeld heeft.
16-03-2017, 19:06 door Anoniem
Door Spiff:
Door karma4, 17:25 uur:
https://www.lawgazette.co.uk/practice/ico-probes-173-law-firms-over-data-protection-breaches/5048260.article
Dat verheldert uiteraard helemaal niets betreffend het bijzonder rare feit dat ICO beschreef in het artikel, "was uploaded to the internet when the barrister’s husband updated software on the couple’s home computer".

Het feit dat gegevens van de advocaat op een gezamelijke computer staat, vind ik al vreemd en eigenlijk al een inbreuk op het vertrouwen van de klanten.

Peter
16-03-2017, 20:16 door Spiff has left the building
Door karma4, 18:44 uur, bijgewerkt 19:12 uur:
update:
heb ik toch het hele verhaal voor je:
https://ico.org.uk/media/action-weve-taken/mpns/2013678/mpn-data-breach-barrister-20170316.pdf

Ha, dankjewel, de link naar pdf-document had ik stomheidshalve over het hoofd gezien in het ICO artikel.
Uit dat pdf-document:
12.
The desktop computer was password protected but the files were unencrypted.
15.
Ms xxxxx-'s husband wanted to update the software on the desktop computer. On 19 September 2015, he temporarily uploaded Ms xxxxx's files (725 documents) to an online directory to back them up. He assumed that the documents were safe.
16.
However, the documents were visible to an internet search engine and 15 of the documents contained in the folders were cached and indexed. This meant that a document could be easily accessed using a recognisable word, such as a name.
Duidelijk.
Slechte combinatie. Zij had geen encryptie toegepast, en hij kopieerde ter backup naar een online directory.

Nogmaals bedankt voor het verwijzen naar dat pdf-document.
16-03-2017, 20:30 door Spiff has left the building
Door Anoniem, 19:06 uur:
Het feit dat gegevens van de advocaat op een gezamelijke computer staat, vind ik al vreemd en eigenlijk al een inbreuk op het vertrouwen van de klanten.
Peter
Daar geef ik je beslist gelijk in.
Bij het zonet doornemen van het bovengenoemde pdf-bestand heb ik alleen gelet op hoe die bestanden waren "uploaded to the internet when the barrister’s husband updated software on the couple’s home computer", omdat ik uit het ICO artikel in eerste instantie niet had begrepen dat "temporarily uploaded to an internet directory as a back up during the software upgrade" een doelbewuste actie door die echtgenoot was geweest.
Of de advocaat ook nog op de vingers is getikt wegens het delen van de computer, daar heb ik niet op gelet bij het doornemen van het pdf-bestand. Ik meen begrepen te hebben dat het voldoende geacht zou zijn als encryptie toegepast zou zijn.
17-03-2017, 06:47 door karma4
Door Anoniem:
Het feit dat gegevens van de advocaat op een gezamelijke computer staat, vind ik al vreemd en eigenlijk al een inbreuk op het vertrouwen van de klanten.
Peter
Eens.
Trek hem eens door naar de machinebeheerder voor servers (root access ). Die moeten net zo als die husband geen toegang tot gevoelige data hebben.
De encryptie en encryptie sleutel moeten bij de gebruikers zitten. Zoiets is niet altijd werkbaar maar zou het streven moeten zijn van de dozenschuiver ofwel OS personen. Nee het enkel neerzetten van tools en dan zeggen het is voor de applicatie gaat het niet oplossen.

In dit geval was de harde schijf gencrypt. Vinkje voor de checklist gezet audit certificaat zou afgegeven zijn. Toch heeft de ico het terecht afgewezen en niet als voldoende naar de stand der techniek gewaardeerd.
18-03-2017, 09:40 door Anoniem
Door Anoniem: Het feit dat gegevens van de advocaat op een gezamelijke computer staat, vind ik al vreemd en eigenlijk al een inbreuk op het vertrouwen van de klanten.

Peter
De PDF geeft ook daar achtergrond over, zie punten 11-14. Het was haar standalone desktop computer die ze primair voor werk gebruikte en haar man had admin-toegang. Er zijn richtlijnen van de "Bar Council and her Chambers" uit 2013 die kennelijk niet gedeeld gebruik van computers verbieden maar wel aangeven dat dan versleuteling van sommige bestanden vereist kan zijn.

Het lijkt erop dat het geen pc voor gezamenlijk gebruik was maar dat haar man het technisch beheer van haar pc voor zijn rekening nam. Alleen is beheer ook een vorm van gebruik. Omdat dat hem toegang tot de vertrouwelijke gegevens gaf had ze versleuteling moeten toepassen. Dat zou, als dit inderdaad hun opzet was, ook voldoende zijn geweest.

Dat ze haar man toevertrouwde dat hij niet in die gegevens zou gaan grasduinen kan terecht zijn geweest. Het lijkt duidelijk dat hun inzicht in IT en met name in de werking van de gebruikte cloud-dienst onvoldoende was om het beheer van die gegevens goed te doen. De versleuteling is niet alleen nodig omdat je iemands integriteit niet vertrouwt, hij is ook nodig omdat ook integere mensen dit soort fouten kunnen maken. Iemands betrouwbaarheid is niet alleen een functie van zijn integriteit, maar ook van zijn competentie.

De pest is dat mensen vaak van zichzelf niet inzien hoe weinig verstand ze eigenlijk hebben van een onderwerp, en dat ook niet goed in kunnen zien omdat dat inzicht meer kennis vergt dan ze hebben. Het gevolg is zelfoverschatting (dit heet het Dunning-Kruger-effect). Bij IT is dat gevaar nog eens extra groot omdat de partijen die de software en diensten leveren er niet op gericht zijn hun afnemers de benodigde kennis bij te brengen. Integendeel zelfs, een van de belangrijkste verkoopargumenten (zeker waar het op kleinschalig gebruik gericht is) is nou juist dat het allemaal zo moeiteloos goed gaat dat je geen specialistische kennis nodig hebt. En omdat inherent veilige ontwerpen (je deelt data pas met de wereld als je dat op niet mis te verstane wijze hebt toegestaan, bijvoorbeeld) nog wel eens botsen met dat beoogde gemak krijgt die veiligheid vaak veel minder prioriteit dan de marketing suggereert. Software en diensten worden aan de man gebracht alsof alles vanzelf goed gaat, en dat is domweg niet zo. De markt- en marketinggedreven economie die we hebben leidt tot razendsnelle ontwikkeling van allerlei zaken, maar ook tot het negeren of onderwaarderen van eigenschappen die wel belangrijk maar niet sexy zijn. De informatie die het grote publiek bereikt wordt gedomineerd door wat de marketing benadrukt, en ik kan het (zeker kleine) afnemers eigenlijk niet kwalijk nemen dat ze daar intrappen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.