En agosto del pasado año MAPFRE notifica a la AEPD una brecha de seguridad, en la que el atacante aprovechando la mayor exposición de las redes de la entidad, debido principalmente al teletrabajo que ha implicado la actual situación provocada por la COVID-19, capturó un identificador y contraseña válidos para acceder a la red de la entidad en el puesto personal de un usuario que accedía a su puesto virtual en remoto, con su ordenador particular probablemente infectado con un malware, seguramente tras una campaña de phishing, y de esta forma el atacante:
- Se conectó a la red de la entidad y obtuvo mediante distintas herramientas de hacking credenciales de un usuario privilegiado y de un administrador de dominio.
- Realizó varios intentos de ex filtración de información que fueron bloqueados por los elementos de seguridad desplegados en la red de la organización.
- Distribuyó un ejecutable asociado a un ransomware.
La AEPD ante la notificación de esta brecha de seguridad por parte de la entidad, inicia actuaciones de investigación que finalizan con una resolución de archivo de las mismas.
Así tras las actuaciones de investigación la AEPD determina que, con anterioridad a la brecha de seguridad, la entidad disponía de medidas de seguridad técnicas y organizativas razonables en función de los posibles riesgos estimados, para evitar este tipo de incidencia, lo que permitió la rápida identificación, análisis y clasificación de la brecha de seguridad de datos personales. Estas medidas eran:
- Análisis de riesgo del tratamiento afectado por la brecha, para determinar que no supone un riesgo alto.
- EIPD del citado tratamiento.
- Con la crisis de la Covid-19 y para posibilitar el teletrabajo se reevalúo el riesgo y se definióun plan específico de refuerzode la ciberseguridad, para todos los tratamientos y especialmente para el afectado por la brecha.
- Plan de concienciación específico asociado a la situación generada por la COVID-19.
- En abril del 2018 se aprobó la realización de las auditorías de cumplimiento del RGPD y se definió un Plan de Auditorías que cubriera a todas las entidades del grupo sujetas al RGPD, con apoyo de un tercero experto en la materia.
- La empresa ha participado activamente la elaboración, de la “Guía para el tratamiento de los datos personales por aseguradoras” elaborada por UNESPA que, aunque no es un código de conducta, si es un mecanismo de autorregulación y contempla la necesidad de cumplir con una serie de principios específicos en materia de privacidad y protección de datos.
- En julio pasado se aprobó tanto la licitación del proyecto como la creación de un Grupo de Trabajo específico para el desarrollo de BCRs.
En cuanto al impacto sobre los datos afectados, esto es identificador de usuario y contraseña de acceso a los sistemas de información de la entidad, fue casi nulo, debido principalmente a:
- Se trata de datos básicos que no tienen aplicación fuera del entorno de sistemas de la organización.
- Quedaron inutilizados tras su bloqueo y el cambio de contraseñas asociadas a los mismos.
- El volumen que se encuentra en el rango de menos de 100.
- La rapidez para hacer público el ciberataque (web, locución Contact Center, RRSS, comunicados a personal, y a la AEPD) que permitió la eficaz actuación de clientes, trabajadores, colaboradores y proveedores.
Por lo que respecta a la actuación de la entidad tras la identificación de la amenaza, se procedió a:
- Cortar las conexiones desde la entidad hacia el resto de terceras empresas.
- Limitar el número de conexiones remotas a un reducido número de usuarios.
- Sacar de línea la copia de backup y aislar varios segmentos de red para evitar la propagación del malware.
- Apagar los sistemas hasta confirmar el alcance de la brecha.
- Convocar el Comité deCrisis y crear un Grupo de Trabajo multidisciplinar con los máximos expertos tanto de tecnología como de seguridaddel Grupo en la materia.
- Activar el Plan de Continuidad de Negocio a fin de garantizar los servicios:
- Restauración de sistemas y aplicaciones (junto a proveedores tecnológicos)
- Restauración segura en un entorno limpio y controlado.
- Reestablecer los servicios más críticos rápidamente.
- Investigación del ciberataque, constatando la no existencia de evidencias de fugas de información ni de expansión de los atacantes a otros entornos.
- Notificar rápidamente al Incibe, al CCN-CERT, a la Guardia Civil, así como proceder a realizar una serie de notificaciones sobre la evolución de la incidencia a la AEPD.
- Comunicar rápidamente con clientes, colaboradores, proveedores y empleados.
- Establecer un plan de refuerzo de la seguridad con las siguientes medidas urgentes a corto plazo y medidas a medio plazo:
- Refuerzo de las medidas específicas de prevención y detección de ataques en la política antivirus.
- Incremento de los umbrales de detección y del nivel de protección de la plataforma Antispam.
- Ampliación a todos los colectivos de usuarios de la autenticación multifactor para accesos remotos.
- Incremento de capacidades de monitorización, detección y respuesta con la aceleración del despliegue de soluciones (…) específicas en puestos y servidores.
- Incorporación de nuevas reglas específicas de detección en los sistemas de monitorización basadas en la experiencia acumulada.
- Aumento de las restricciones a la navegación por Internet.
- Inclusión de los indicadores de compromiso (IoC) relacionados con el ciberataque en la distintas plataformas y filtros de seguridad existentes (FW, IPS, Filtros de Contenido, etc.).
- Elevación del nivel de alerta en los sistemas de prevención de ataques DDoS.
- Incremento del nivel de control del uso de usuarios administradores
En relación con las medidas adoptadas para minimizar el impacto y erradicar lagunas en la seguridad que hubiese dejado el ataque, se procedió a la ejecución del Plan de Fortificación del entorno afectado que se ejecutó de forma inmediata a la finalización de los trabajos de gestión del incidente.
Finalmente concluye la AEPD que la actuación de la entidad responsable del tratamiento, ha sido diligente y proporcional con la normativa sobre protección de datos personales, y por lo tanto, acuerda proceder al archivo de las actuaciones.
Puede descargar la entrada en PDF clicando aquí.