Nie można zwlekać ze sprawdzeniem potencjalnych luk w systemach

3

Niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia doprowadziła spółkę ID Finance Poland do utraty danych. Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych przez co doszło do naruszenia zasady poufności danych i nałożył na spółkę karę w wysokości ponad 1 mln zł.

Ukarana spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.

W toku postępowania UODO ustalił, że do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Administrator został powiadomiony o tym przez jednego ze specjalistów zajmujących się cyberbezpieczeństwem, który wykrył podatność i wskazał przykładowe, dostępne publicznie informacje. Administrator zamiast rzetelnie sprawdzić jego doniesienia i monitorować podmiot przetwarzający czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych, co wskazywał w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do wykradzenia danych z tego serwera.

Do tego naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone. Zdaniem UODO administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań. Ponadto administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze.

Organ nadzoru uznał też, że brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzającego na doniesienie o luce w systemie nie -wyłącza odpowiedzialności administratora za naruszenie ochrony danych. To administrator musi mieć zdolność do wykrywania naruszeń, zaradzania im oraz ich zgłaszania – to kluczowy element środków technicznych i organizacyjnych.

W ocenie UODO spółka, mimo szybkiego przekazania podmiotowi przetwarzającemu informacji o potencjalnej luce w zabezpieczeniach serwera, nie podjęła działań w sposób wystarczający. Postępowanie wykazało, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą.

UODO, nakładając karę za to, że w wyniku szeregu zaniedbań administratora doszło do naruszenia poufności danych osobowych, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych. Ponadto z uwagi na fakt, że wyciekły też niezaszyfrowane hasła, istnieje możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach klientów, jeżeli w innych serwisach posługiwali się tym samym loginem (np. e-mail) i hasłem. Przy wymierzaniu wysokości kary organ wziął też pod uwagę zwłokę administratora w podjęciu działań zapobiegawczych.

Wysokość kary powinna spełnić funkcję represyjną, ale i prewencyjną. W ocenie organu powinna ona zapobiec podobnym naruszeniom w przyszłości zarówno w ukaranej spółce, jak i u innych administratorów.

źródło: UODO

Treść tylko dla zalogowanych Użytkowników!