Czytaj również: Prawie 3 mln zł kary dla Morele.net za wyciek danych >>
Jolanta Ojczyk: Firma Morele.net ukarana została za to, że sklep padł ofiarą ataku hakerskiego?
Mirosław Sanek: Kara est nie za to, że ktoś się włamał do bazy danych, ale za niewystarczające środki zabezpieczające. Spółka naruszyła przepisy RODO, bo doszło do nieadekwatnego zabezpieczenia danych i niewłaściwego oszacowania ryzyka. Firma nie doprowadziła do naruszeń w sposób celowy, nie możemy więc przypisać jej umyślności. Z tego powodu, a także na skutek współpracy z nami, kara jest niższa niż mogłaby być.
Jak wysoka kara mogłaby być nałożona, gdyby spółka nie współpracowała?
Nie mogę odpowiedzieć na to pytanie, bo urząd odnosi się tylko do danego stanu faktycznego. W tej sprawie wysokość kary ma być skuteczna, proporcjonalna i odstraszająca. Zgodnie zaś z RODO kara za naruszenie przepisów tego rozporządzenia może wynieść nawet 20 milionów euro.
Czytaj również co o decyzji UODO mówi Marcin Serafin, partner w kancelarii Maruta Wachta, obsługującej spółkę Morele.net >>
Które naruszenie zdaniem UODO przesądziło o wysokości kary?
W uzasadnieniu decyzji wskazujemy trzy podstawowe naruszenia. Po pierwsze spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Po drugie spółka nieskutecznie monitorowała potencjalne zagrożenia dla praw i wolności, zwłaszcza związanych z nietypowymi zachowaniami w sieci. Spółka nie zorientowała się odpowiednio szybko, że dochodzi do pobierania dużej ilości danych. Po trzecie spółka nie była w stanie wykazać, od kiedy zbierała dane osobowe w celu ułatwienia wypełniania przyszłych wniosków o spłatę ratalną i w tym zakresie nie przedstawiła oświadczeń o wyrażeniu zgody na takie przetwarzanie, a zatem naruszono zasadę rozliczalności. Naruszenie zasady poufności i brak monitorowania jest jednak znacznie istotniejsze niż naruszenia zasady legalności.
W decyzji wskazali państwo na potrzebę wdrożenia podwójnego uwierzytelniania, ale bez przeprowadzenia analizy ryzyka. Dlaczego?
Jest wiele wytycznych, które wskazują na konieczność użycia takiego, a nie innego środka. Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji już w 2016 roku rekomendowała stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych. Na zasadność stosowania prawidłowo dobranych środków technicznych w zakresie kontroli dostępu i uwierzytelniania wskazują również inne organizacje zajmujące się bezpieczeństwem informacji, np. Fundacja OWASP, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania. W 2017 roku Fundacja przedstawia listę największych zagrożeń dla aplikacji internetowych wraz z metodami zapobiegania im. Jednym z zagrożeń jest właśnie przełamanie środka uwierzytelniającego - najczęściej jednoetapowego. Jako środek zapobiegawczy Fundacja rekomenduje zaś stosowanie wieloetapowego uwierzytelniania. Są też inne normy – wskazaliśmy je w decyzji, które pokazują, jakie zabezpieczenia stosować.
Przed czym ma uchronić takie podwójne uwierzytelnianie i wzmożony monitoring?
W omawianej sprawie doszło nie tylko do przejęcia danych przez nieodpowiednie osoby, ale także do phishingu – ma on na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego. W tej sprawie w wiadomościach SMS wysłanych do klientów sklepu, podszyto się pod spółkę. Oszuści wzywali do dokonania dodatkowej opłaty w wysokości 1 zł, w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej DotPay. Takie ataki mogą być trudne do wykrycia i obrony, a z danych CERT Polska wynika, że phishing występuje najczęściej. W tej sprawie zaś właśnie nieskuteczne monitorowanie potencjalnych zagrożeń przyczyniło się do uzyskania nieuprawnionego dostępu do danych klientów. Przetwarzając dane osobowe ponad 2 200 000 użytkowników – biorąc pod uwagę jeszcze zakres danych należy uznać to za przetwarzanie na dużą skalę – spółka miała obowiązek na bieżąco oceniać i monitorować potencjalne zagrożenia. Gdyby go wypełniła, zapewne dostrzeżonoby wzmożony ruch w sieci. Ponadto to administrator zobowiązany jest do weryfikacji zarówno doboru jak i poziomu skuteczności stosowanych środków technicznych. Nie przekonał nas, że użył adekwatne.
Gdyby od początku spółka miała dwuetapowe uwierzytelniania, mogła uniknąć ataku?
Z pewnością znacząco obniżyłoby to ryzyko uzyskania nieuprawnionego dostępu przez osobę nieupoważnioną, a tym samym zminimalizowałoby ryzyko naruszenia
Czy to oznacza, że wszystkie sklepy internetowe powinny wdrożyć sugerowane w decyzji zabezpieczenia, by ustrzec się przed wysoką karą?
Każdy, kto przeczyta decyzję, zrozumie, że UODO dba o bezpieczeństwo danych. Po to wprowadza się zabezpieczenia, by uchronić osoby przed utratą dotyczących je danych. Każdy administrator musi jednak indywidualnie przeanalizować, ile i jakie dane zbiera, i jak powinien je zabezpieczyć. Po prostu trzeba przeprowadzić analizę ryzyka i stosować odpowiednie środki ochrony danych.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
