15:41
15/12/2020

Mamy kolejną w Polsce wysoką karę “za RODO” i znów jest to kara dla firmy, która została dotknięta atakiem. Warto podkreślić, że na decyzję o karze wpłynął brak regularnego testowania, które – zdaniem UODO – mogło zapobiec atakowi.

Firma Virgin Mobile Polska dostała od UODO karę w wysokości – dokładnie – 1.968.524,00 zł. Ogólnym powodem nałożenia kary jest “brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych”. Warto jednak wejść w szczegóły.

Przypomnijmy, że w grudniu 2019 r. niektórzy klienci Virgin Mobile otrzymali SMS-y informujące o tym, że ich dane osobowe zostały wykradzione. Firma poinformowała, że stała się ofiarą “ataku hakerskiego” i zgłosiła sprawę do UODO.

Ze zgłoszenia złożonego do UODO wynikało, że osoba nieuprawniona pozyskała 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu.

UODO zdecydował się na przeprowadzenie kontroli w firmie.

Co poszło nie tak?

To oczywiste, że Virgin Mobile musi zbierać dane o abonentach usług przedpłaconych. System do tego celu został zaprojektowany jeszcze w czasach przed-rodowych, co mogło mieć pewne znaczenie dla sprawy (nie było zasady privacy-by-design). Tak czy owak zbieranie odbywa się za pomocą punktów sprzedaży i jest realizowane przez podmioty zewnętrzne, z którymi Spółka ma podpisane umowy (również te dotyczące danych osobowych). Proces rejestracji danych odbywa się poprzez aplikację dostępną z poziomu przeglądarki.

W toku postępowania okazało się, że wymiana danych między aplikacją a systemem, który te dane przechowuje, miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Program miał sprawdzać, czy żądanie wpłynęło od uprawnionego podmiotu. W praktyce weryfikacja nie działała, a ten właśnie mechanizm został wykorzystany przez atakującego by pozyskać dane. Mechanizm ów nie został wcześniej przetestowany. Dopiero po incydencie podjęto odpowiednie działania związane z naprawą tej funkcji systemu.

UODO: Nie było regularnych testów

Wniosek UODO był taki, że spółka przyczyniła się do sytuacji gdyż nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji służącej do wprowadzania danych oraz systemu, z którym łączyła się ta aplikacja. Dokumentacja wewnętrzna w postaci m.in. polityki przetwarzania danych również nie regulowała kwestii stałego testowania, mierzenia i oceniania skuteczności zabezpieczeń.

Virgin: To było gorsze niż “atak zewnętrzny”

Spółka nie zgodziła  się z tym zarzutem. Tłumaczyła, że decydując się na wdrożenie i korzystanie ze wspomnianego systemu przeprowadziła liczne jego testy, pomiary i oceny. Ryzyko dla praw i wolności również miało być regularnie oceniane. Każdorazowo w przypadku zmian organizacyjnych lub prawnych w Spółce, środki techniczne i organizacyjne były poddawane przeglądom.

Virgin Mobile podkreśliła też, że sposób wykorzystania podatności wskazuje, że dane osobowe nie zostały pobrane wskutek zewnętrznego obejścia systemu, ale…

“wykorzystanie wiedzy do włamania do systemu jest ryzykiem trudniejszym do uniknięcia niż atak zewnętrzny polegający na złamaniu zabezpieczeń”.

W sierpniu Virgin Mobile złożyła dodatkowe wyjaśnienia. Stwierdziła, że zakres danych, których dotyczyło naruszenie, był zdecydowanie węższy, niż wskazany w treści pierwszego zgłoszenia. Naruszenie pełnego zakresu danych osobowych wystąpiło w 4522 przypadkach, tj. odnosiło się do imion i nazwisk, numeru PESEL i numeru dokumentu abonenta. W  pozostałym zakresie, naruszenie odnosiło się do: imion, nazwisk oraz numeru PESEL (108702 przypadków) lub numeru dokumentu abonenta (10167 przypadków).

Mimo powyższego zdaniem Prezesa Urzędu Ochrony Danych Osobowych braki w ustalonych procedurach dotyczące regularnego testowania, mierzenia i oceniania przyczyniły się do wystąpienia naruszenia ochrony danych osobowych.

W decyzji UODO (nr DKN.5112.1.2020) czytamy:

W ocenie Prezesa Urzędu dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę systemu (…)
Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym Spółka wywiązywała się z tego obowiązku częściowo, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń w sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności

Dobrze, że Virgin współpracował

Ustalając wysokość kary pieniężnej PUODO uwzględnił jako okoliczność łagodzącą dobrą współpracę Spółki z organem nadzorczym. UODO docenił też działania informacyjne podjęte przez spółkę, które mogły prowadzić do ograniczenia skutków naruszenia. Niestety UODO uznał, że nałożenie administracyjnej kary pieniężnej jest “konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Spółce naruszeń”.

Kara dla Virgin nie jest tak wysoka jak kara dla Morele.net, która również padła ofiarą ataku. Niemniej wchodzi ona do zdecydowanej czołówki kar pod względem wysokości i zapewne długo się w tej czołówce utrzyma.

Wnioski? Róbcie regularne testy bezpieczeństwa / testy penetracyjne swoich systemów.

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. Czy rozumie ktoś to zdanie:
    “wykorzystanie wiedzy do włamania do systemu jest ryzykiem trudniejszym do uniknięcia niż atak zewnętrzny polegający na złamaniu zabezpieczeń”?

    “Włamanie do systemu”, to coś innego niż “złamanie zabezpieczeń”???

    • Chodzi prawdpodobnie o “insider threat” (ktoś wie jak zaatakować system i nie musi niczego przełamywać/zgadywać).

    • Jak domniemam, hasło było jedno dla każdej firmy i nie ulegało specjalnym zmianom. Gdy pracownik takiego podmiotu chciał, to mógł zalogować się do systemu i pobrać dane nawet z domu.

    • Chociaż, z tego co pamiętam to tam w ogóle nie było tzw. logowania, a jedynie dane identyfikacyjne, które pewnie były używane przez wielu pracowników danego podmiotu i których sprawdzanie podobno nie do końca działało.

    • @chmiels, @Observer
      No to nieźle :) . Czyli niedoszacowali ryzyko, że ktoś posłuży się kartką przyklejoną do współdzielonego monitora? :D

  2. Niestety UODO uznał, że nałożenie administracyjnej kary pieniężnej jest “konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Spółce naruszeń”.

    Nieoficjalnie: opinia wielu o tak wysokiej karze UODO jest taka, że mamy dziurę budżetową, zwiększoną jeszcze pandemią, ograniczeniami funkcjonowania gospodarki, więc trzeba ją łatać wlepiając zbyt duże kary.
    Oczywiście służby nie dostaną kar za przesyłanie, przetwarzanie danych plaintekstem, bo to tylko redystrybucja środków wewnątrz państwa.

    • Niestety taka jest smutna prawda UODO to obecnie maszynka do łatania dziury budżetowej.

  3. Jaką korzyć z kary będą mieli poszkodowani?

    • Taką, że kolejna firma dwa razy się zastanowi, czy opłaca się oszczędzać na specjalistach… Jak wykosztują się na fachowców, to Twoje dane nie wyciekną i nie będziesz miał komornika.
      To za mało?

    • Żadną. Jak w Polsce. Urząd zarobi swoje.

      Jak chcesz korzyść, to musisz wykazać przed sądem straty. Zajmie to sporo czasu, nie ma gwarancji powodzenia. np. udowodnić że na ciebie wzieli kredyt przez ten wyciek. pytanie jak to udowodnisz ?

      Wymiana dowodu jest za darmo, czas stracony jest nie do odzyskania.

      To takie informacyjne dla ciebie, kiedyś wyciekały dane nie było info. Teraz jest info.

      Możesz ewentualnie negocjować z podmiotem np. darmowy abonament miesięczny, kwartalny w ramach zadośuczynienia. Raczej się nie uda, ale próbować można.

    • @asdsad
      Niestety to tak nie działa.
      Nie da się wszystkiego zabezpieczyć, tak samo jak nie da się wszystkiego przetestować.
      Z doświadczenia wiem że nawet jeśli system jest w 100% przetestowany pod każdym względem to po wpuszczeniu do niego ludzi co kilka dni pojawia się w narzedziach do monitorowania jakiś błąd. Nie mówiąc już o przypadkach których nawet monitoring nie wyłapuje i dowiadujemy się o nich dopiero w mailu od klienta.

      Nie mamy informacji odnośnie tego jaki problem z zabezpieczeniami tak naprawdę wystapił.
      Mógł to być zarówno całkowity brak walidacji, jak i jakiś edge case którego nikt nie przewidział.

      A fakt że UODO to kolejny poborca podatków raczej nikogo nie zaskakuje, więc nie ważne jak skrajny to przypadek kara musi być.

    • @hubertnnn

      Niczego nie odkryłeś – bezpieczeństwo to proces, a nie stan. Do wyboru mieli dwie opcje:
      a) Po co testować, skoro i tak się włamią?
      b) Testujmy – zawsze coś znajdziemy i poprawimy.

      Wybrali wariant A – bo darmowy. Rozumiesz?

      Jeśli nie, to skanduj za likwidacją mandatów za prędkość, przez “poborców policyjnych” – bo przecież i tak rozjeżdża się ludzi na pasach.

  4. Dwie bańki dla telkomu to “duża” kara? Wy tak poważnie?

    • To nie jest jeden z głównych 4 operatorów, tylko operator MVNO, który nawet nie ma swoich salonów.

  5. oczekiwałbym od Was trochę więcej profesjonalizmu i znajomości podstawowych zasad matematyki, np. zaokrąglania liczb – 1.96 zaokrągla się do 2, nie to 1.9
    potem nie ma się co dziwić, że zabezpieczenia są słabe, jeśli osoby zajmujące się szerokopojętym bezpieczeństwem mają problemy na tym poziomie…

    • zabrakło magicznego słowa “ponad”

    • Zależy kto zaokrągla, dłużnik czy wierzyciel. “90 percent of baseball is mental; the other half is physical.” mawiał Yogi Berra i nie przeszkodziło mu to w karierze, oczywiście sportowej.

    • Zaokrąglanie w dół oraz w kierunku zera, coś panu mówi, uczą tego w podstawówce zaraz obok klasycznego zaokrąglania. Też polecam zapoznać się z regułami Bradis-Kryłowa, abyś nie poprawiał kiedyś inżynierów że 1,5 i 2,5 daje 2.

    • Wydaje mi się, że zgodnie z regułami Bradis-Kryłowa, 1,5 i 2,5 daje 4,0 o ile “i” rozumiemy jako znak dodawania.

  6. Przypomnijmy, że kiedyś nie trzeba było rejestrować kart sim, więc wtedy przynajmniej część kloentów mogła wybrać czy ryzykować wyciek swoich danych osobowych czy nie. Rejestracja sim bezpieczeństwa raczej nie poprawiła, przestępcy i tak potrafią się ukrywać, ograniczyła za to wolność, rozleniwiła też i tak już lewniwe polskie służby – żeby się tylko zbytnio Janusze pracą nie zmęczyli podczas oczekiwania na emeryturę w wieku 40 lat.

  7. “brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych” – i tym magicznym zdaniem można kroić z kasy każdą firmę w Polsce, właściwie można podciągnąć wszystko, nawet jak pracownik przyjdzie z małą kamerą i zacznie nagrywać dane osobowe i je udostępniać, bo przecież zawsze można było zainwestować w skaner jak na lotnisku i ciecia co zrobi rewizje każdemu z pracowników. Państwo zarobiło 2 miliony zł ( będzie na nowe limuzyny ), firma straciła 2 miliony zł ( najwyżej kolejna ogłosi upadłość ) , klienci których dane osobowy wyciekły zostali na lodzie i niech dają sobie sami radę. A dlaczego nasze kochane Państwo nie wdroży odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo obywatelowi którego dane osobowe zostały skradzione ? dlaczego dowolny parabank lub firma na podstawie samych danych z dowodu jest w stanie udzielić mi kredytu przypisać abonament itd ? Przecież nie podpisałem żadnej umowy podpisem elektroniczny ? Wysłanie umowy kurierem do podpisu ? wolne żarty przecież kurier nie jest od weryfikacji kto podpisuje taką umowę a nawet nie ma odpowiednich kompetencji by to zrobić.
    PS kara Amazonu za łamanie praw pracowniczych itd 18 tys. zł
    Tak oto żyjemy w świecie gdzie godność pracownika ( człowieka ) jest mniej warta niż jego dane osobowe.

  8. Taka kara to dla niektórym top managerom dobrze zrobi nader często słyszę że mam skończyć z tym pierdzieleniem o rodo bo im sprzedaż przez to spada.

  9. To jest troche bez sensu, ze firmy placa kary, wiem, wiem straszak ale placa je Panstwu. Taka kara powinna zostac w jakis sposob wyplacona poszkodowanym (w tym mnie), a czemu tak?
    Placa milosciiwe panujacym ale jak ktos wezmie na mnie kredyt, przez ten wyciek, to ja mam problem i Panstwo nie potrafi mi pomoc/nie chce. Wiec jestem dwa razy poszkodowany.
    Oczywiscie temat swap simow i wyludzania kredytow to inna bajka ale spokojnie daloby sie temu skutecznie przeciwdzialac

  10. PESEL ma się jeden na całe życie….i tylko sam nr PESEL wystarcza do lewego Kredytu. Wszykie inne dane mogą być wyssane z palca a i tak Sąd orzeknie ciebie jako kredytobiorcę….bo to był Twój PESEL

    • Wydaje mi się, że potrzebny byłby dowód zawarcia umowy przez Ciebie, samo posiadanie danych osobowych przez kredytodawcę wystarczającym dowodem nie jest.
      To dlatego właśnie powołuje się grafologów ;-)
      Aczkolwiek to długa i nieprzyjemna ścieżka to na końcu raczej niewiele osób zostaje z nieswoimi długami.

  11. Trochę niska ta kara ale telekomy są specjalnie traktowane, mają taryfę ulgową. Powinno być conajmniej 20 milionów biorąc pod uwagę to jakie dane wyciekły.

  12. A ja zadam pytanie czy atakujący poniósł jakieś konsekwencje? Został odnaleziony i pociągnięty do odpowiedzialności karnej? RODO jest mechanizmem przeniesienia odpowiedzialności za kryminalną działalność osób/organizacji na przedsiębiorców.
    Tak załatwia się na świecie obecnie wiele spraw. Zamiast ścigać sprawców i wymierzać surowe kary, mydli się wszystkim oczy nowymi regulacjami.

Odpowiadasz na komentarz Meteo ro log

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: