Cyber Security and GDPR. Συνθέσεις και Αντιθέσεις

Το cyber security και το GDPR θεωρούνται στενά αλληλένδετες έννοιες. Κάποιες φορές όμως είναι και αλληλοσυγκρουόμενες.

 

Το Υπουργείο Εσωτερικών, μέσω της Γενικής Διεύθυνσης Εσωτερικών και Ηλεκτρονικής Διακυβέρνησης, εξέδωσε πρόσφατα μια ενημέρωση για την πολιτική τήρησης αρχείων καταγραφής, επισημαίνοντας την ανεπαρκή τήρηση των αρχείων καταγραφής σε διάφορες τεχνικές διατάξεις και εξυπηρετητές.

Σύμφωνα με την ενημέρωση, έχει διαπιστωθεί από τεχνικές διερευνήσεις περιστατικών κυβερνοασφάλειας ότι η τήρηση των αρχείων καταγραφής σε διάφορους εξυπηρετητές και δικτυακές διατάξεις είναι ανεπαρκής.

Αυτά τα αρχεία είναι ζωτικής σημασίας για τις τεχνικές διερευνήσεις, καθώς μπορούν να παράσχουν ακριβή συμπεράσματα σχετικά με το χρονοδιάγραμμα και την έκταση ενός περιστατικού, όπως για παράδειγμα αν έχει συμβεί διαρροή δεδομένων.

Η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων συστήνει ισχυρά τη λήψη αντιγράφων ασφαλείας αυτών των αρχείων καταγραφής σε τακτά χρονικά διαστήματα και την αποθήκευσή τους σε διαφορετικό μέσο. Αυτό θα επιτρέψει την τήρηση των αρχείων καταγραφής για ένα χρονικό διάστημα ενός έτους, συνδυάζοντας τα δεδομένα τόσο επί των συστημάτων όσο και εκτός αυτών.

Το Υπουργείο παρέχει επίσης συνδέσμους προς διαδικτυακές πηγές που μπορούν να βοηθήσουν τους χρήστες να εφαρμόσουν αυτές τις πρακτικές, ανάλογα με την τεχνολογία που χρησιμοποιούν. Επιπλέον, προτείνεται η εγκατάσταση του λογισμικού Sysmon της σουίτας Sysinternals της Microsoft και η τήρηση των αντίστοιχων αρχείων καταγραφής στα συστήματα με Λειτουργικό Σύστημα Windows, με τη λήψη αντιγράφων ασφαλείας τουλάχιστον ανά δύο εβδομάδες.

Οι οδηγίες και οι κατευθύνσεις που δίνει η διεύθυνση ηλεκτρονικής διακυβέρνησης και το τμήμα Κυβερνοασφάλειας ,παρότι είναι γενικές και αόριστες, κινούνται προς την σωστή κατεύθυνση.

Θα θέλαμε να εκφράσουμε τις επιφυλάξεις μας όσο αφορά τo λογισμικό sysmon της σουίτας Sysinternals της Microsoft  το οποίο θεωρούμε ότι εξυπηρετεί τον σκοπό της Κυβερνοασφάλειας αλλά όχι απαραιτήτως τις επιδιώξεις του κανονισμού προστασίας προσωπικών δεδομένων γνωστού με τα αρχικά GDPR.

Ας ξεκινήσουμε με μια σύντομη περιγραφή του λογισμικού sysmon της σουίτας Sysinternals της Microsoft  για όσους δεν το γνωρίζουν

Sysmon Το System Monitor (Sysmon) είναι μια υπηρεσία και ένας οδηγός συσκευής των Windows που, μόλις εγκατασταθεί σε ένα σύστημα, παραμένει ενεργός ακόμη και μετά από επανεκκινήσεις του συστήματος για να παρακολουθεί και να καταγράφει τη δραστηριότητα του συστήματος στο αρχείο καταγραφής συμβάντων των Windows.

Παρέχει λεπτομερείς πληροφορίες σχετικά με τη δημιουργία διεργασιών, τις δικτυακές συνδέσεις και τις αλλαγές στον χρόνο δημιουργίας αρχείων. Μέσω της συλλογής των γεγονότων που παράγει χρησιμοποιώντας τη συλλογή συμβάντων των Windows ή πράκτορες SIEM και την επακόλουθη ανάλυσή τους, μπορείτε να αναγνωρίσετε εχθρική ή ασυνήθιστη δραστηριότητα και να κατανοήσετε πώς λειτουργούν οι εισβολείς και τα κακόβουλα λογισμικά στο δίκτυό σας.

Το Sysmon περιλαμβάνει τις εξής δυνατότητες:

  • Καταγράφει τη δημιουργία διεργασιών με πλήρη γραμμή εντολών για τις τρέχουσες και γονικές διεργασίες.
  • Καταγράφει το hash των αρχείων εικόνας διεργασίας χρησιμοποιώντας SHA1 (το προεπιλεγμένο), MD5, SHA256 ή IMPHASH.
  • Περιλαμβάνει έναν GUID διεργασίας στα γεγονότα δημιουργίας διεργασίας για να επιτρέψει τη συσχέτιση γεγονότων ακόμη και όταν τα Windows επαναχρησιμοποιούν τα ID διεργασιών.
  • Καταγράφει τη φόρτωση οδηγών ή DLL με τις υπογραφές και τα hashes τους.
  • Καταγράφει την ανοιχτή πρόσβαση για ανάγνωση από δίσκους και τόμους.
  • Προαιρετικά καταγράφει τις δικτυακές συνδέσεις, συμπεριλαμβανομένης της πηγής διεργασίας, των διευθύνσεων IP, των αριθμών θυρών, των ονομάτων των οικοδεσποτών και των ονομάτων των θυρών για κάθε σύνδεση.
  • Ανιχνεύει αλλαγές στο χρόνο δημιουργίας αρχείων για να κατανοήσει πότε δημιουργήθηκε πραγματικά ένα αρχείο. Η τροποποίηση των χρονοσφραγίδων δημιουργίας αρχείων είναι μια τεχνική που χρησιμοποιείται συχνά από κακόβουλο λογισμικό για να καλύψει τα ίχνη του.
  • Αυτόματη επαναφόρτωση της διαμόρφωσης αν έχει αλλάξει στο μητρώο.
  • Φιλτράρισμα κανόνων για να συμπεριλάβει ή να αποκλείσει ορισμένα γεγονότα δυναμικά.
  • Δημιουργεί γεγονότα από πολύ νωρίς στη διαδικασία εκκίνησης για να καταγράψει τη δραστηριότητα που πραγματοποιείται ακόμη και από εξελιγμένο κακόβουλο λογισμικό σε επίπεδο πυρήνα.Σημειώστε ότι το Sysmon δεν παρέχει ανάλυση των γεγονότων που παράγει, ούτε προσπαθεί να προστατεύσει ή να κρύψει τον εαυτό του από τους επιτιθέμενους.

Cyber Security and GDPR. H περίπτωση του Office 365

Προτού όμως καταγράψουμε τις επιφυλάξεις μας για το πολύτιμο ομολογουμένως εργαλείο της Microsoft επιτρέψτε μας να ξεκινήσουμε με κάποιες ενστάσεις για ένα άλλο δημοφιλές λογισμικό της Microsoft . Το γνωστό σε όλους Office 365.

Άρθρο στο  smartlockr.io που μπορείτε να διαβάσετε εδώ ( https://www.smartlockr.io/en/blog/is-microsoft-365-gdpr-compliant )  αναφέρει ότι, παρά την πρόσφατη ανακοίνωση της Microsoft ότι έχει εγκαθιδρύσει ένα “data border  – σύνορο δεδομένων” μεταξύ των ΗΠΑ και της Ευρώπης, τα προϊόντα της, όπως το Microsoft 365, δεν είναι ακόμη 100% συμβατά με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR).

Η Microsoft ισχυρίζεται ότι, με αυτό το νέο “data border“, τα δεδομένα των ευρωπαϊκών επιχειρήσεων δεν αποθηκεύονται πλέον στις ΗΠΑ, αλλά μόνο στην Ευρώπη. Αυτό θα ήταν μια λύση στο πρόβλημα του Αμερικανικού Cloud Act, που απαιτεί όλες τις πληροφορίες σε διακομιστές στις ΗΠΑ να είναι προσβάσιμες από τις αμερικανικές υπηρεσίες πληροφοριών.

Ωστόσο, το άρθρο επισημαίνει ότι, παρά την αλλαγή αυτή, οι αμερικανικές ρυθμίσεις συνεχίζουν να αποτελούν πρόβλημα. Αυτό οφείλεται στο γεγονός ότι, αν και οι αμερικανικές αρχές δεν μπορούν να έχουν φυσική πρόσβαση σε έναν διακομιστή στην Ευρώπη, μπορούν νομικά να απαιτήσουν από οποιαδήποτε αμερικανική εταιρεία να επιτρέψει πλήρη πρόσβαση στα αποθηκευμένα δεδομένα, ακόμη και αν αυτοί οι διακομιστές βρίσκονται στην Ευρώπη ή οπουδήποτε αλλού στον κόσμο.

Παρόμοιες επιφυλάξεις διαβάζουμε σε άρθρο του TechCrunch  που μπορείτε να διαβάσετε εδώ (https://techcrunch.com/2022/11/28/microsoft-365-faces-darkening-gdpr-compliance-clouds-after-german-report/?guccounter=1)  αναφέρει ότι η Microsoft ενδέχεται να αντιμετωπίσει νομικά προβλήματα στην Ευρωπαϊκή Ένωση, καθώς μια εργασιακή ομάδα γερμανικών ρυθμιστών προστασίας δεδομένων διαπίστωσε ότι η Microsoft δεν έχει ακόμη καταφέρει να επιλύσει κανένα από τα προβλήματα συμμόρφωσης που έχουν τεθεί σε αυτήν.

Η ομάδα εργασίας εξέτασε τη συμμόρφωση των προϊόντων Microsoft 365 με ορισμένες διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) της ΕΕ. Μεταξύ των συνεχιζόμενων ζητημάτων που έθεσε η ομάδα είναι η έλλειψη σαφήνειας και ακρίβειας στις συμβάσεις της Microsoft και την επεξεργασία για το 365, καθώς και τη νομική βάση που ισχυρίζεται ότι επεξεργάζεται τα δεδομένα.

Η ομάδα εργασίας επίσης αμφισβητεί τη βιωσιμότητα της επίκλησης της Microsoft σε μια “νόμιμη ενδιαφέρουσα” βάση ως νομική βάση για την επεξεργασία δεδομένων για τους δικούς της σκοπούς όπου οι πελάτες του 365 είναι δημόσιοι φορείς.

Το άρθρο αναφέρει επίσης ότι η Microsoft συνεχίζει να παραχωρεί στον εαυτό της ανεπαρκώς περιορισμένα δικαιώματα για ορισμένους τύπους επεξεργασίας. Η μαζική συλλογή τηλεμετρικών και διαγνωστικών δεδομένων από τη Microsoft είναι άλλη μια ανησυχία για τους ρυθμιστές, με την ομάδα να υποδεικνύει ότι τα δεδομένα επεξεργάζονται από τη Microsoft “κατά βάση για δικούς της σκοπούς”.

Τα δεδομένα που μεταφέρονται έξω από την ΕΕ είναι άλλος τομέας εστίασης, δεδομένων των συνεχιζόμενων νομικών αβεβαιοτήτων που σχετίζονται με τις εξαγωγές δεδομένων της ΕΕ σε τρίτες χώρες όπως οι ΗΠΑ.

Η ομάδα εργασίας επισημαίνει ότι πολλές υπηρεσίες 365 απαιτούν από τη Microsoft να έχει πρόσβαση σε μη κρυπτογραφημένα δεδομένα των πελατών , πράγμα που σημαίνει ότι η προφανής λύση της εφαρμογής ισχυρής κρυπτογράφησης δεν είναι συνήθως διαθέσιμη σε αυτό το πλαίσιο υπηρεσίας cloud. Τέλος, το άρθρο αναφέρει ότι οι πολιτικές της Microsoft σχετικά με τη διατήρηση και διαγραφή δεδομένων δεν πληρούν πάντα τις απαιτήσεις που ορίζονται στο GDPR.

To sysmon της Microsoft και ο GDPR

 

Ας επιστρέψουμε τώρα στο SysMon της Microsoft το οποίο σε μια πρώτη ανάλυση είναι ένα εργαλείο παρακολούθησης και καταγραφής της δραστηριότητας του συστήματος και δεν αποθηκεύει από μόνο του προσωπικά δεδομένα. Ωστόσο, ανάλογα με το πώς χρησιμοποιείται και τι είδους δεδομένα καταγράφει, θα μπορούσε να εμπλακεί σε θέματα που σχετίζονται με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR).

Αν το Sysmon χρησιμοποιείται για την καταγραφή δεδομένων που μπορούν να ταυτοποιήσουν ένα άτομο (όπως ονόματα χρηστών, διευθύνσεις IP, κ.λπ.), τότε θα πρέπει να χρησιμοποιείται με συμμόρφωση προς τον GDPR. Αυτό σημαίνει ότι θα πρέπει να υπάρχει νόμιμη βάση για την επεξεργασία των δεδομένων, να τηρούνται τα δικαιώματα των υποκειμένων των δεδομένων (όπως το δικαίωμα πρόσβασης, διόρθωσης και διαγραφής), και να υπάρχουν κατάλληλα μέτρα ασφαλείας για την προστασία των δεδομένων.

Επιπλέον, θα πρέπει να ληφθούν υπόψη οι αρχές του GDPR όπως η ελαχιστοποίηση των δεδομένων (δηλαδή, μόνο τα απαραίτητα δεδομένα πρέπει να συλλέγονται και να επεξεργάζονται) και η προστασία από το σχεδιασμό (δηλαδή, τα μέτρα ασφαλείας πρέπει να ενσωματωθούν στο σύστημα από την αρχή).

Συνεπώς, ενώ το Sysmon καθαυτό δεν είναι “συμβατό” ή “ασύμβατο” με τον GDPR, η χρήση του θα πρέπει να γίνεται με τρόπο που συμμορφώνεται με τον κανονισμό.

Σε άρθρο της JPCERT Coordination Center / JPCERT/CC (είναι μια ΜΚΟ που θεωρείται ως η πρώτη ομάδα αντίδρασης σε επείγουσες καταστάσεις ασφάλειας υπολογιστών στην Ιαπωνία) που μπορείτε να διαβάσετε εδώ (https://blogs.jpcert.or.jp/en/2018/09/visualise-sysmon-logs-and-detect-suspicious-device-behaviour–sysmonsearch.html ) βλέπουμε να έχει  αναπτύξει το “SysmonSearch”, ένα σύστημα που συγκεντρώνει τα αρχεία καταγραφής Sysmon για γρηγορότερη και πιο ακριβή ανάλυση.

Ας δούμε πώς αυτό μπορεί να σχετιστεί με τις πιθανές παραβιάσεις του GDPR:

  1. Καταγραφή Προσωπικών Δεδομένων: Το Sysmon μπορεί να καταγράψει λεπτομερείς πληροφορίες, όπως διευθύνσεις IP, ονόματα διαδικασιών, ονόματα αρχείων και άλλα στοιχεία που μπορεί να σχετίζονται με την ταυτότητα ενός ατόμου.
  2. Εργαλεία Ανάλυσης και Παρακολούθησης: Το SysmonSearch παρέχει λειτουργίες αναζήτησης, ανάλυσης και παρακολούθησης των αρχείων καταγραφής Sysmon, καθιστώντας δυνατή την ανάλυση της δραστηριότητας των χρηστών σε λεπτομερές επίπεδο.
  3. Πιθανές Παραβιάσεις GDPR: Αν τα παραπάνω δεδομένα χρησιμοποιούνται χωρίς τη σωστή ενημέρωση και συγκατάθεση των χρηστών, ή αν δεν προστατεύονται με τα κατάλληλα μέτρα ασφαλείας, μπορεί να υπάρξει παραβίαση των διατάξεων του GDPR.

Συνοψίζοντας, το Sysmon και το SysmonSearch μπορούν να παρέχουν λεπτομερή καταγραφή και ανάλυση της δραστηριότητας των χρηστών, αλλά η χρήση τους πρέπει να γίνεται με προσοχή για να μην παραβιαστούν οι διατάξεις του GDPR. Αυτό μπορεί να περιλαμβάνει την ενημέρωση των χρηστών, τη λήψη της συγκατάθεσής τους και την εφαρμογή των κατάλληλων μέτρων ασφαλείας για την προστασία των δεδομένων.

Ένα υποθετικό παράδειγμα παραβίασης του GDPR με το sysmon

 

Ας πάρουμε ένα υποθετικό παράδειγμα: Ένας χρήστης, ο οποίος ονομάζεται “Γιάννης Παπαδόπουλος”, συνδέεται στο σύστημα από μια συγκεκριμένη διεύθυνση IP. Κατά τη διάρκεια της συνεδρίας του, ο Γιάννης εκτελεί μια σειρά ενεργειών, οι οποίες καταγράφονται από το Sysmon. Αυτές οι ενέργειες μπορεί να περιλαμβάνουν την εκτέλεση εφαρμογών, την πρόσβαση σε αρχεία ή την επικοινωνία με άλλα συστήματα μέσω του δικτύου.

Τα δεδομένα που καταγράφονται από το Sysmon, όπως το όνομα του χρήστη “Γιάννης ” και η διεύθυνση IP από την οποία συνδέθηκε, μπορούν να χρησιμοποιηθούν για την ταυτοποίηση του ατόμου. Αυτό μπορεί να θεωρηθεί παραβίαση του GDPR, καθώς το GDPR απαιτεί την προστασία των προσωπικών δεδομένων και την ελαχιστοποίηση της συλλογής δεδομένων στο ελάχιστο απαραίτητο επίπεδο. Επιπλέον, το GDPR απαιτεί την ενημέρωση των χρηστών για τη συλλογή και την επεξεργασία των προσωπικών τους δεδομένων, κάτι που μπορεί να μην συμβαίνει σε αυτήν την περίπτωση.

Στην εποχή της ψηφιακής εξέλιξης, τα εργαλεία ασφαλείας όπως το Sysmon παρέχουν απαραίτητη προστασία και επιτήρηση. Ωστόσο, η ίδια λεπτομερής καταγραφή και παρακολούθηση που ενισχύει την ασφάλεια μπορεί επίσης να οδηγήσει σε παραβιάσεις του GDPR εάν δεν χειριστεί σωστά. Οι οργανισμοί πρέπει να βρουν μια ισορροπία, εφαρμόζοντας τεχνολογίες που προστατεύουν τα δεδομένα και ταυτόχρονα σέβονται τις νομικές και ηθικές υποχρεώσεις προς τους χρήστες τους.

5/5 - (1 vote)