OFF-Topic

Piratas informáticos publican datos robados al hospital clinic.

Dek0
Dek0 #61 Abr '23 Penitente

#58 y a la misma vez no poner medidas adecuadas para securizar datos que afectan a la integridad de personas, es un incumplimiento de la ley. Siendo además los datos de tipo médico, genéticos, de ideología política, afiliación sindical, idealismo religioso, etc. que más afectan a la identidad e intimidad de las personas los más protegidos de acuerdo a todos los reglamentos de protección de datos que hay.

No estamos hablando de un simple correo electrónico o teléfono, que todos sabemos que ya de por sí que alguien tenga acceso a ellos te puede suponer inconvenientes a nivel laboral, bancario, de posible uso fraudulento de tu propia identidad, es que como ya han dicho, los propios seguros pueden tener acceso a datos que pueden hacer que cambie la relación contractual que con ellos, y literalmente joderte tu futuro, tu vida, o el de tus familiares a nivel laboral, económico y judicial, y en infinitos más aspectos que los que supone un simple email o teléfono.

Y te recuerdo que si en un seguro incumples las condiciones para las que se te ha asegurado (ejemplo: una instalación de gas mal mantenida por tu parte, que se te rompa algo de la casa con más de 10 años, o en la joyería vender en la calle sin tomar medidas de protección), ese seguro no te va a cubrir los daños causados por tu propia negligencia.

En una fuga de datos no hay ningún seguro que cubra los inconvenientes causados a las víctimas, muchas veces miles o millones de personas. A lo máximo que tienes derecho es a denunciar ante el órgano regulador en protección de datos si has sido perjudicado, y no todo el mundo tiene los conocimientos ni disponibilidad económica para lo que supone meterse en un proceso judicial, que luego además prácticamente seguro en caso de ganar, no te va a cubrir ni los gastos del proceso, ni los daños o inconvenientes causados por la exposición de tus datos, ni el tiempo perdido en el proceso. La víctima aquí es la persona que ve expuesta sus datos, no la entidad que no ha sabido tratarlos adecuadamente, y esa persona no tiene ningún tipo de "seguro" ante la exposición.

Es responsabilidad de las propias empresas o entidades llevar a cabo auditorías de seguridad tanto internas como externas, utilizar modelos de seguridad como certificaciones ISO de calidad del tratamiento de la información y de la seguridad para cumplir ese objetivo, o llevar a cabo políticas internas organizativas y de formación aplicadas a sus propias particularidades.

Cualquier empresa de tamaño medio/grande suelen tomar medidas de este tipo, pero qué casualidad que en organismos o "empresas" gubernamentales o con participación de gobiernos a algún nivel, sea donde se tienen medidas más laxas para aplicar esta securización.

1 respuesta
B
[Borrado] #62 Abr '23

#61 pero quién dice que no tienen una sola medida de seguridad? Es que parece que estéis hablando de que tienen las contraseñas en Google keep y usan solo Windows defender con firewall desactivado...

Evidentemente tendrán sus informáticos de sistemas y administradores y demás ingenieros y técnicos para manejar su infraestructura. Lo cual no exime de ser atacados y vulnerables.

NADIE es invulnerable. Por más ingenieros de seguridad informática que tengan y sus software de miles de euros en seguridad.

3 respuestas
Dek0
Dek0 #63 Abr '23 Penitente

#62 si eres tan cortimer de pensar que las únicas medidas de seguridad en una empresa son el tener una contraseña en google keep y tener activo el firewall de windows, estás dejando bastante claro que no tienes ni reputísima idea de lo que implica el tratamiento de la seguridad de datos personales.

1 respuesta
B
[Borrado] #64 Abr '23

#63 te estoy diciendo que igual vosotros os creéis que esta gente tiene las contraseñas sin encriptar en keep o en un bloc de notas y que no cumplen la legalidad.

Os estáis sacando de los cojones que no tienen seguridad y no cumplen la LOPD y que han incumplido la ley por ser hackeados y os estoy diciendo que estáis equivocados en cuanto a que ellos no tienen culpa de que un hacker les hackee. Pero igual os pensáis que todos estos tienen que tener un CPD subterráneo en la planta -10, en el interior de una cámara acorazada con un equipo de ingenieros expertos en ciberseguridad evitando los ataques en tiempo real de rusia y demás como si fueran el CNI en seguridad nacional y que si no tienen eso así, es culpa de ellos que les hayan atacado, están incumpliendo la ley y les van a multar.

Pues ya os estoy diciendo que NO

2 respuestas
doogie780
doogie780 #65 Abr '23

#64

Te juegas algo a que seguían usando PCs con windows 7 sin actualizar porque "el software de la máquina de rayos X sólo funciona en 7" y la nueva versión del software cuesta €€€ y no la han comprado? Te juegas algo a que no hay un solo RADIUS para controlar el acceso a otros sistemas desde el AD? Te juegas algo a que hay tomas de red habilitadas sin dot1x?

Pues esto, es tecnología de hace 20 años. Es lo mínimo que debe tener una empresa que tenga más de 5 pc's en red.

En España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su artículo 34 que las empresas son responsables de la seguridad de los datos personales que manejan, y deben adoptar medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento.

Ya te digo yo que SÍ

1 respuesta
Dek0
Dek0 #66 Abr '23 Penitente

#64 pues mira, he trabajado en sistemas en una aseguradora que trata datos médicos y económicos de sus clientes tan críticos como aquellos que puede tratar hacienda o un hospital, que SÍ cumplia prácticamente todas las condiciones que has comentado: servidores y equipos de producción con sus buenos SAI, sistemas de refrigeración y anti inundaciones, sus políticas de copias de seguridad diarias y semanales, con guardados de copias físicas en cámaras de seguridad en una planta -2 en 2 CPD distintos controlando los accesos biométricamente, con cámaras de seguridad y empleados de seguridad privada (igual que la sede principal de la empresa y sus oficinas), sin contar con las copias automatizadas en una nube encriptada, políticas de cambio de contraseñas trimestrales, de formación a nuevos empleados, y anual para empleados ya contratados, actualización constante de parches de seguridad tanto a nivel de equipos individuales, como en firewalls y servidores, control escrupulosísimo de las políticas de red o del uso de dispositivos USB (bloqueando incluso físicamente los puertos USB en determinados equipos), uso absolutamente obligatorio de antivirus... Todo esto para cumplir con las certificaciones de los modelos de seguridad y tratamiento de la información que cumplía y que cada tantos años tienen que renovar, y para pasar tanto sus auditorías privadas como las públicas de los reguladores a los que estaban sometidos.

Has tratado con la infraestructura informática de hospitales públicos? Porque da la casualidad que justo un par de años antes de trabajar en esa aseguradora yo sí, y te puedo asegurar que ni una sola de estas condiciones anteriormente mencionadas se cumplía de manera extendida, tratando datos de la misma importancia.

Repito, las víctimas son aquellos que ven expuestos sus datos, no las empresas ni organismos a los que les roban los datos, que son los responsables de ellos, y que tienen la obligación LEGAL de darles un tratamiento correcto.

2
B
[Borrado] #67 Abr '23

#65 ya pero es que si es así, no hay forma de que actualicen porque no se van a quedar sin usar las máquinas sanitarias y hasta que la empresa de la máquina no proporcione compatibilidad no se podrá cambiar.

Sin ir más lejos eso pasaba hasta hace nada en el propio ministerio del interior 😂 se necesitaba Windows 7 y de 32 bits! 🤷‍♂️
Pero es que es lo que hay si quieres usar y necesitas usar X hardware

1 respuesta
Dek0
Dek0 #68 Abr '23 Penitente

#67 pero qué cojones... intentas justificar con lo de "es por el hardware de las máquinas sanitarias" a TODA una infraestructura de red y seguridad deficiente de un sistema sanitario? Pero en qué planeta vives?

1 respuesta
B
[Borrado] #69 Abr '23

#68 pero tú crees que están con Windows 7 en toda la red sanitaria? En qué planeta vives tú macho.

Pero si hackearon el puto teléfono del presidente del gobierno de España y varios políticos más... Y queréis exigirle a un hospital que sea infranqueable.

Abrid los ojos y dejar de ver Mr. Robot anda.

2 respuestas
doogie780
doogie780 #70 Abr '23

#69

Pero si precisamente te está diciendo que las redes/infraestructuras son mucho más complejas y por ello mismo debes estar al tanto de la seguridad.

Que no todos los PC's tienen Windows 7, busca una foto del clinic y verás que no es del todo arcaico y aún así han caído. El ambulatorio de un pueblo de Soria pues imagínate el coladero que puede ser. Y tú sostienes que es una lotería y que "oops me han hackeado" y ni deben molestarse por ello ni exigir responsabilidades cuando les hackean.

El que debería dejar de fliparse con películas eres tú, que no has visto un cpd más que en fotos de Amazon.

1 respuesta
B
[Borrado] #71 Abr '23

#70 "y ni deben molestarse".
Es que ahí está el tema. NADIE ha dicho que no tengan que hacer nada, pero sois vosotros los que afirmáis que no han cumplido con la ley y la culpa es de ellos, y les tienen que sancionar y bla bla bla y yo os digo que no, y que solo hay un culpable legal en este tema: el hacker.
No hay más debate.
Pero erre que erre con que si el hospital no cumplía con la ley, iba con Windows 7 y bla bla bla porque mi empresa esto o yo estuve donde lo otro.

1 respuesta
Dek0
Dek0 #72 Abr '23 Penitente

#69 Es exigible porque sea una infraestructura pública o privada, debería estar sometida al mismo nivel de seguridad que si fuera un sistema informático de algo que genera un beneficio económico. Y ese es precisamente el problema.

Qué supone una diferencia en la manera de tratar los datos en una aseguradora que en un hospital, aun a pesar de tener los datos tratados en ambas la misma importancia?. Simplísimo EL DINERO.

Si una red o un sistema de datos se cae, o está expuesto a una vulnerabilidad en un banco o una aseguradora, cada hora que está parada, es DINERO que está dejando de ingresar.

Un hospital se para porque se ha roto algo, y el daño va a ser para los pacientes que van a tener que esperar. Al ser una servicio público no hay beneficio económico directo para la organización, a quien se perjudica a los pacientes y contribuyentes, no a accionistas privados. Las sanciones o multas a las empresas privadas "se la pelan", si no fuera por la imágen o repervusión pública. es tan difícil que se investiguen a fondo, son tan bajas las multas y les suponen tan poco con respecto al volumen de su actividad, que el cumplir o no la normativa como tal les da lo mismo. Si se esfuerzan en securizar es porque pierden dinero de su actividad.

Este problema con las infraestructuras y las administraciones públicas YA es un gran problema, y lo será más aún en un futuro cercano. Esto ha salido a la luz porque es un hospital público, cuando está de moda hablar de los problemas de la sanidad, y encima en Cataluña, para qué queremos más... Lo preocupante son todas las fugas que hay todas las semanas a todos los niveles de los cuales no sabemos nada porque no interesa, o de las que ni siquiera se han enterado los propios gobiernos o reguladores.

Hasta que no haya un reglamento técnico con unos mínimos exigibles aplicado a los sistemas de la seguridad y a la calidad del tratamiento de datos, que no lo hay ni a nivel del sistema sanitario ni de las entidades públicas (se deja en manos de las auditorías y de los sistemas de certificación), que aplicado en otras áreas de servicio público si que existen, y que supongan multas o consecuenvias que de verdad afecten a la actividad de estos organismos, todo lo relacionado con el sector público va a seguir siendo un coladero.

doogie780
doogie780 #73 Abr '23

#71

https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673

Artículo 73. Infracciones consideradas graves.

d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679.
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.

https://reduce.es/la-aepd-multa-con-60-000-euros-a-una-empresa-por-la-perdida-de-usbs/

1 1 respuesta
B
[Borrado] #74 Abr '23

#73 pero tú sabes que no tienen medidas técnicas?
Que tengas medidas técnicas no impide que te ataquen y penetren.
Y que te penetren no quiere decir que no tengan medidas técnicas.

2 respuestas
Dek0
Dek0 #75 Abr '23 Penitente

#74 si te lees el LOPD o el RGPD verás que no hay unas calidades mínimas exigidas por ley para garantizar el tratamiento de información. Hay "objetivos" meramente verbales, no requisitos técnicos exigibles como si hay para otras cosas como el servicio de suministro de agua (cantidad de puntos de accesos al servicio por densidad de población, calidad química del agua, regularidad y obligatoriedad del servicio), o el servicio postal (puntos de acceso al servicio por densidad de población, plazos de calidad, sistemas de medición y estadísticos obligatorios, criterios para la regularidad del servicio), o telefónico, entre muchos otros, que deberían ser exigibles a aquellos organismos que dan un servicio público y universal.

Sinceramente, que intentes defender lo indefendible, me hace pensar que o eres funcionario, o trabajas para alguna administración pública, porque el intentar justificar que pueda haber gente perjudicada de manera directa y severa a su vida por una negligencia de un organismo, no tiene lógica ninguna.

doogie780
doogie780 #76 Abr '23

#74

Si les han hackeado, no tienen las que POR LEY DEL GPDR deben. Qué es lo que no entiendes de esto?

1 respuesta
B
[Borrado] #77 Abr '23

#76 lo que no entiendo es cómo puedes creer que por tener X cosas eres inhackeable cuando nadie lo es. Eso es lo que no entiendes tú de mí. Y por más medidas de seguridad que tengas, aún teniendo la máxima, te pueden hackear y no por eso será culpa del atacado sino del atacante.

1 respuesta
doogie780
doogie780 #78 Abr '23

#77

Pero es que como no tienes ni idea de sistemas sueltas esas cosas. Tú te crees que no se puede ser inhackeable, y yo te digo que si te comes un ransom es que tienes sistemas sin parchear, porque funcionan en base a vulnerabilidades. Punto y final. Si no revisas las actualizaciones, ES TU CULPA.

Los zeroday para colar ransom no los he visto en mi vida. Que me corrija @WinnieSirPo

Es un riesgo que conlleva trabajar con sistemas informáticos, del mismo modo que un policía debe llevar protecciones (pagadas por el estado ojo, que creo que andan hasta comprando el kevlar ellos mismos) aunque "la culpa sea del atacante". Y lo que te están diciendo es que está sin regular, no se dejan un duro y como nunca se depuran responsabilidades pues nunca mejora.

Por mucho que te empeñes, tienes obligaciones con la ley (que no sé si es que no sabes leer o no quieres contestar a lo del BOE) si vas a tratar con datos sensibles de personas y no conozco algo más sensible que el historial médico.

3 1 respuesta
Ulmo
Ulmo #79 Abr '23
#43mesie:

La empresa en la que trabajo factura aproximadamente 10 millones al año y mi jefe ni se plantea comprar un puto stormshield SN610 que vale unos 1000€ porque dice que es tontería.

La empresa de mi novia mueve más de 80 millones en venta al año y van tirando con una VPN y un disco compartido para toda la empresa. Y cuando digo toda, es toda, que mi pareja puede acceder desde el disco duro montado en su portátil desde los excels que prepara la mujer de la limpieza para registrar sus turnos hasta la presentación de planes futuros que tiene la dirección.

Manuales de producción, y cualquier otro know-how suelto ahí todo en un mismo disco en carpetas randoms y archivos excel, word, y ppt según le haya dado al tío que lo creó.

A la gente le mola vivir al límite.

1 1 respuesta
WinnieSirPo
WinnieSirPo #80 Abr '23 Boina Roja

#79 esto es en España y empresa media no? Porque esas chapuzas solo se las he visto a las empresas medias Españolas.
#78 la mayoría de ha leos que he visto han colados a middle Managers que querían tener privilegios administrativos y mas accesos de los que deberían. Son los primeros en pinchar y caer en phishing. La segunda es temas de configuración laxa, porque total, nos cubre el seguro si pasa algo. He visto unas chapuzas cojonudas y estoy hablando de empresas que valen billones de dólares, y la mayor cagada que cometen es el outsourcing a India, Pakistan… vamos a la zona se APAC

2 1 respuesta
itonny
itonny #81 Abr '23 Inocente

#62 me imagino que si dices eso nunca has trabajado con una entidad pública ni has visto sus entrañas, o peor aún, que te dediques a este mundillo y no te enteres por donde te pega el aire xd

5
Pitufooscuro
Pitufooscuro #82 Abr '23 Inocente

#62 cps con cuñas en la puerta para que no cierre, ese es el nivel de la adm pública.

fuNN
fuNN #83 Abr '23

Usuarios compartiendo contraseñas, contraseñas apuntadas en .txt en el propio escritorio, acceso abierto al cpd porque “ahí guardamos los folios”

En España la gente aún no es consciente de que a través de un ordenador con acceso a internet, y más aún, por poner uno, un Windows 7, están sobreexpuestos.

Yo conozco empresas a nivel nacional muy tochas con sus DCs corriendo en varios 2003, y ya les atacó un grupo que sabían muy bien lo que hacían, tuvieron suerte pero ahí siguen con 4 o 5 2003 con sus roles

1
Ulmo
Ulmo #84 Abr '23

#80 creo que por facturación y empleados entra en la definición de gran empresa, pero quizás alguien que lo sepa de forma más precisa me puede corregir.

1 respuesta
itonny
itonny #85 Abr '23 Inocente

#84 desde los 50 empleados palante

Y luego el SII desde los 600.000€ en adelante

ninha
ninha #86 Abr '23

La policía catalana ha conseguido impedir el acceso a los datos publicados por los hackers en la internet profunda, el ámbito oculto de internet por dónde se mueven los ciberdelincuentes, según ha avanzado el diario ARA y confirmado la SER. La página del grupo RansomHouse en la red TOR ya no está disponible y cuando se intenta acceder solo aparece un mensaje que dice que el portal está desactivado. Este portal es dónde los piratas informáticos que atacaron los ficheros del Clínic distribuyeron la semana pasada parte de los datos robados.

Los Mossos no han dado explicaciones técnicas sobre cómo han conseguido bloquear la web, y tampoco aventuran si este procedimiento evitará nuevas filtraciones.

Ser Catalunya

2 1 respuesta
B
[Borrado] #87 Abr '23

#86 Tiene pinta de ayuda internacional. Si han sido publicados, aunque hayan pillado al grupo, con que una persona ajena al grupo lo haya descargado va a seguir rulando los datos

11 días después
Andy
Andy #88 Abr '23
1 respuesta
ClaudeS
ClaudeS #89 Abr '23

Si los pillan:

1 respuesta
Andy
Andy #90 Abr '23

#89 que se han filtrado los datos. los han hecho públicos y son accesibles via torrent.
editado el post, lo han vuelto a poner ocultando parte del enlace al archivo

Usuarios habituales

Tags