Mynediad diawdurdod at ddata Blackbaud


Mae’r wybodaeth isod yn ymwneud â chwmni o’r enw Blackbaud, sy’n cyflenwi gwasanaethau meddalwedd ymgysylltu a rheoli cysylltiadau i nifer o sefydliadau addysgol ac elusennau yn y DU, a hefyd ledled y byd.  Mae Prifysgol De Cymru yn un o’r sefydliadau hynny sy’n gweithio gyda Blackbaud yn rheoli cofnodion ei graddedigion a’i chefnogwyr ac, yn anffodus, yn un o’r rhai sydd wedi’i heffeithio gan y mynediad diawdurdod.

Sylwch os gwelwch yn dda nad oes gan gwmni Blackbaud gysylltiad â phlatfform dysgu ar-lein y Brifysgol, o’r enw Blackboard.

Mae Prifysgol De Cymru yn cymryd diogelwch data yn ddifrifol iawn. Cyn gynted ag y cawsom ein hysbysu gwnaethom lansio ymchwiliad ein hunain ac mae mwy o fanylion i’w gweld isod, yn cynnwys camau rydym wedi’u cymryd mewn ymateb.

 

Beth ddigwyddodd?

Cawsom wybod gan Blackbaud ar 16 Gorffennaf 2020 ei fod wedi darganfod ymosodiad meddalwedd wystlo ym mis Mai 2020.  Tynnodd y seiberdroseddwr gopi o is-set o ddata wrth gefn o amgylchedd letyol Blackbaud NetCommunity rhywbryd rhwng 7 Chwefror a 20 Mai 2020.

Mae Blackbaud wedi rhoi gwybod ei fod wedi gweithio gyda sawl trydydd parti, yn cynnwys arbenigwyr gorfodi’r gyfraith ac arbenigwyr fforensig annibynnol, a’u bod wedi talu gorchymyn y seiberdroseddwr er mwyn sicrhau na fyddai’r data’n cael ei rannu ymhellach ac y byddai’n cael ei ddifa, er na allwn gadarnhau’n bendant i hynny ddigwydd. 

 

Sut gafodd Prifysgol De Cymru ei heffeithio?

Roedd Prifysgol De Cymru’n defnyddio NetCommunity ar gyfer anfon negeseuon e-bost cymunedol yn unig, a pheidiodd â defnyddio’r amgylchedd hunan-letyol hwn ym mis Rhagfyr 2018.

Roedd y data y cafodd y seiberdroseddwr afael ynddo yn ddata wrth gefn oedd yn ymwneud ag anfon negeseuon e-bost drwy NetCommunity.

Fel data hanesyddol wrth gefn, nid oedd y data yr effeithiwyd arno yn cydredeg ag unrhyw ddewisiadau cyfathrebu cyfredol. Er mai hanesyddol oedd anian y set ddata a brofodd fynediad diawdurdod, serch hynny roeddem yn teimlo ei bod yn briodol i hysbysu pawb a allai fod wedi’u heffeithio, er gwaethaf dewisiadau cyfathrebu hirdymor y glynwyd atynt.

Ein dealltwriaeth ni oedd bod unrhyw ddata – yn cynnwys data wrth gefn – a gafodd ei ddefnyddio i anfon negeseuon e-bost wedi cael ei ddifa pan orffennodd y Brifysgol ddefnyddio NetCommunity.  Gwaetha’r modd, mae’n ymddangos na wnaeth Blackbaud hynny.

Mae Blackbaud yn cadarnhau na wnaeth y digwyddiad hwn gyrraedd gwasanaethau yn amgylchedd y cwmwl cyhoeddus ac maent yn cadarnhau na chafodd y brif gronfa ddata alumni fynediad diawdurdod mewn unrhyw fodd. 

 

Pa wybodaeth oedd o dan sylw?

O’r wybodaeth a gafwyd gan Blackbaud, y data y cafodd y seiberdroseddwr fynediad iddo oedd enwau a chyfeiriadau e-bost ‘anfon at’ yn unig. Nid oedd data arall mewn perygl, gan nad oedd unrhyw ddata arall yn cael ei gadw yn y platfform a brofodd fynediad diawdurdod yn ôl yr hyn a ddeallwn gan Blackbaud. Gan mai at bwrpas wrth gefn y cadwyd y wybodaeth a heb ei ddiweddaru, mae’n debygol nad yw nifer o’r cyfeiriadau ‘anfon at’ yn gyfredol.

Defnyddir NetCommunity mewn gwahanol ffyrdd gan wahanol Brifysgolion a sefydliadau, felly cafodd pob sefydliad ei effeithio’n wahanol. 

 

Pam na wnaeth Blackbaud hysbysu PDC am y mynediad diawdurdod yn gynt a pham mai nawr rydw i’n cael gwybod?

Blaenoriaeth Blackbaud yn gyntaf oedd cadw’r ymosodiad seiber draw a thaflu’r seiberdroseddwyr allan o’u system. Yna dechreuasant ymchwiliad i ddeall beth a gafodd ei effeithio cyn bod mewn sefyllfa i hysbysu pwy oedd wedi’u heffeithio ac ym mha fodd.

Gwnaethom ni gysylltu ag alumni a chefnogwyr ar y cyfle cyntaf ar ôl i ni gael ein hysbysu am y mynediad diawdurdod ac yn dilyn hynny rydym wedi darparu mwy o fanylion penodol ar ôl i ni eu derbyn.

 

Beth ydym ni wedi’i wneud ynglŷn â’r sefyllfa?

Ar ôl cael clywed am y mynediad diawdurdod hwn gwnaethom lansio ein hymchwiliad ein hunain ac rydym wedi cymryd y camau canlynol:

·         Rydym wedi hysbysu Swyddfa’r Comisiynydd Gwybodaeth (ICO)

·         Rydym wedi hysbysu pobl y credwn sydd wedi’u heffeithio, i roi gwybod iddynt am y digwyddiad ac i’w cynghori i fod yn wyliadwrus ac yn ymwybodol o fygythiadau wrth ddefnyddio’u e-bost

·         Rydym wedi bod mewn cyswllt cyson â Blackbaud mewn ymdrech i ddarganfod pa ddata a effeithiwyd, sut lwyddodd yr hacwyr i gael mynediad i’r data a pham yr oedi cyn ein hysbysu ni

·         Rydym wedi gorchymyn Blackbaud i ddifa pob data sy’n gysylltiedig ag amgylchedd letyol wrth gefn NetCommunity ac rydym yn cydweithio gyda’r cwmni i gael sicrwydd fod hyn wedi’i wneud

·         Mae ein Tîm Diogelwch TG yn gweithio gydag eraill yn y sector i ddeall pa gamau y mae Blackbaud wedi’i gymryd i gynyddu ei ddiogelwch

 

Camau y byddwn yn eu cymryd yn y dyfodol

Byddwn yn parhau i weithio gyda Blackbaud i ymchwilio i’r mater ac rydym yn adolygu’r cytundebau contract gyda nhw, gan ganolbwyntio ar eu mesurau diogelwch cyfredol a’u rhai arfaethedig ar gyfer ein data.  Wrth symud ymlaen, rydym hefyd yn adolygu ein perthynas barhaus gyda nhw fel prosesydd data. 

 

Beth all y rhai sydd wedi’u heffeithio ei wneud?

Nid oes angen i chi gymryd unrhyw gamau o ran y digwyddiad hwn.

Rydym yn argymell eich bod yn parhau’n wyliadwrus ac yn effro i unrhyw negeseuon e-bost anghyffredin ac yn peidio, os bydd e-bost yn eich cymell, rhannu a datgelu cyfrinair neu fanylion personol.

Mae gan wefan y National Cyber Security Centre gyngor defnyddiol am ddiogelwch ar-lein a all fod o gymorth.



Rydym yn deall y gall y digwyddiadau hyn beri gofid i’n alumni. Serch hynny, rydym yn gobeithio fod y wybodaeth rydym wedi’i ddarparu yn rhoi sicrwydd i chi fod y Brifysgol wedi, ac y bydd yn parhau i wneud popeth i gadw’ch gwybodaeth yn ddiogel. 

Os oes gennych fwy o bryderon, byddwch cystal ag e-bostio alumni@southwales.ac.uk


#community