Trzecia, największa kara UODO – i co z tego wynika…

 

 
 

Komentują eksperci z Działu Nowych Technologii i Cyberbezpieczeństwa w Rödl & Partner

A. Wódz, J. Zuber

 
morele%2Bkara.jpg
 

W ostatnim czasie na stronie uodo.gov.pl pojawiła się decyzja Prezesa Urzędu Ochrony Danych Osobowych (PUODO) dotycząca kary dla spółki Morele.net sp. z o.o za niewystarczające zabezpieczenia organizacyjne i techniczne. PUODO nałożył na spółkę karę w wysokości ponad 2.830.410 mln zł (660.000 EUR), co odbiło się szerokim echem w mediach. 

Fakty

W stanie sprawy, mniej więcej rok temu osoby nieuprawnione uzyskały w nie do końca sprecyzowany do dzisiaj sposób, dostęp do danych 2,2 mln klientów Morele.net, takich jak: imię, nazwisko, numer telefonu, e-mail i adres do doręczeń. Wśród tych klientów ok. 35 tys. osób zostało okradzionych również z danych o numerze PESEL, serii i numerze dowodu tożsamości, poziomu wykształcenia, adresie zameldowania, adresie do korespondencji, źródłach dochodu, wysokości dochodu netto, kosztach utrzymania gospodarstwa domowego, stanie cywilnym i wysokości zobowiązań kredytowych lub alimentacyjnych. Nieuprawniony dostęp miał miejsce przynajmniej dwa razy co przyczyniło się do krytycznego stanowiska PUODO. 

Rozliczalność

Podczas kontroli stwierdzono, że Morele.net przetwarzała bez podstawy prawnej wnioski ratalne, a reprezentanci Spółki twierdzili, że nie wiedzieli w ogóle, że ma to miejsce w ich systemach. Przechowywano jednak bez potrzeby kopie dokumentów dostarczonych przez klientów starających się o uzyskanie rat kredytowych. Dostęp do danych ponad dwóch milionów klientów w Spółce ma około 600 osób, co pokazuje skalę przedsięwzięcia i problem z tzw. „rozliczalnością”. PUODO również zarzuca brak przeprowadzenia analizy ryzyka przetwarzania danych osobowych (przeprowadzono częściową analizę dla procesów, w sposób nieformalny). PUODO w decyzji odniósł się do zastosowania dobrych standardów bezpieczeństwa informacji, jak na przykład ISO 27001:2017. 

Wytyczne ds. bezpieczeństwa

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych, w ramach kontroli dostępu i uwierzytelniania rekomenduje stosowanie mechanizmu uwierzytelnienia dwuetapowego dla systemów obejmujących dostęp do danych osobowych. Prezes UODO podkreślał, że owe wytyczne powstały już połowie 2016 r., a fakt ich nie wdrożenia może wynikać z nieprzeprowadzonej analizy ryzyka dla systemów przetwarzających dane osobowe.

ENISA jest niejedyną organizacją mówiącą o dobrych praktykach, czy standardach bezpieczeństwa na rynku. PUODO w swojej decyzji pisze: „Fundacja OWASP, międzynarodowa organizacja non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania, w swoim dokumencie „OWASP Top 10 – 2017”, przedstawia listę największych zagrożeń dla aplikacji internetowych wraz z metodami zapobiegania im. Jednym z nich jest przełamanie środka uwierzytelniającego (najczęściej jednoetapowego). Jako środek zapobiegawczy rekomendowane jest stosowanie wieloetapowego uwierzytelniania jako sposób na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń”. Fundacja OWASP udostępnia dokumenty i narzędzia pomagające tworzyć i testować oprogramowanie w sposób bezpieczny (co ważne wszystko jest udostępnione za darmo). Na ich stronie można znaleźć takie dokumenty jak: OWASP Application Security Verification Standard (ASVS) Project (dla programistów, leaderów, projekt menadżerów), czy „OWASP Testing Guide v4” (dla zespołów Quality Assurance, testerów manualnych, testerów bezpieczeństwa) i wiele innych pomocnych źródeł. Pisanie i utrzymywanie oprogramowania by było bezpieczne, wpisuje się w SSDLC (Secure Software Development Lifecycle), które promuje OWASP od jej założenia, tj. od grudnia 2001 r. Minęło prawie 20 lat, a nadal ignoruje się dobre praktyki. Nic dziwnego, że Prezes UODO podkreśla, że najwyższy już czas z tej wiedzy skorzystać.

Kolejnym argumentem podniesionym przez PUODO był brak skutecznych środków monitorujących i reagowania na incydenty. Ilość danych pobieranych przez hackerów była tak duża, że były one wysyłane przez 8 dni. Spółka miała więc świadomość, że ktoś wysyła dużą ilość danych poza firmę, ale nie wiedziała jak zareagować ani jak poradzić sobie z takim nienaturalnym zachowaniem w sieci. Dodatkowo, zarzucono Morele.net początkowe ignorowanie wiadomości od klientów w sprawie wycieku danych, co przyczyniło się do późniejszych prób oszustwa poszkodowanych klientów Morele.net poprzez postawienie przez przestępców fałszywej bramki płatności elektronicznej w celu wyłudzenia pieniędzy. 

I co dalej…

Wszystko to stawia podejście do ochrony danych w Morele.net  w bardzo złym świetle. Pokazuje to, że firma mogła nie być gotowa na wyzwania związane z prowadzeniem działalności w Internecie. 

W naszej codziennej pracy audytorskiej obserwujemy, że firmy nie są świadome realnych zagrożeń bezpieczeństwa fizycznego, a bezpieczeństwo informatyczne pozostawia jeszcze wiele do życzenia.

Należy zauważyć, że Morele.net nie została ukarana za to, co działo się po wycieku danych, ale za rażące niedbalstwo w podejściu do ochrony danych, które doprowadziło do tego ataku. W tym także za brak świadomości, jakie dane i jak długo są przetwarzane w Spółce. Współpraca z PUODO wpłynęła na zmniejszenie kary do poziomu niewiele więcej niż 1 zł za jeden wykradziony rekord, co, biorąc pod uwagę założenia Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) odnośnie wysokości kar w stosunku do rocznego obrotu firmy, jest karą w zasadzie symboliczną. 

Jesteśmy ponad rok od wejścia w życie RODO, a patrząc na jego stosowanie w codziennej praktyce, widać, że jeszcze sporo pracy przed nami…

 
Sylwia Rasińska