Blisko rok po naruszeniu systemu ochrony danych osobowych, skutkującym dostępem osób nieuprawnionych do danych administrowanych przez Virgin Mobile, Prezes Urzędu Ochrony Danych Osobowych nałożył na operatora telekomunikacyjnego 1,9 miliona złotych kary. Jakie były okoliczności naruszenia i skąd wzięła się tak duża wysokość kary?
W drugiej połowie grudnia 2019 r. systemy teleinformatyczne tego operatora telekomunikacyjnego zostały zaatakowane przez niezidentyfikowane osoby. Wskutek tego ataku hakerskiego doszło do wycieku danych, polegającego na udostępnieniu danych klientów operatora znajdujących się w systemie rejestracji kart przedpłacanych osobom do tego niepowołanym. Dochodzenie przeprowadzone przez Urząd Ochrony Danych Osobowych wskazało, że system weryfikujący autentyczność i prawidłowość zapytań do tego systemu nie działał w praktyce. System nie weryfikował więc, czy zapytania dotyczące danych znajdujących się w systemie kart pre-paid pochodziły faktycznie od osób upoważnionych przez operatora do ich składania.
Organ nadzorczy stwierdził więc brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Wskazał jednocześnie, że operator sam przyczynił się do naruszenia, nie przeprowadził bowiem testów nastawionych na weryfikację zabezpieczeń aplikacji służącej do wprowadzania danych oraz systemu, z którym łączyła się ta aplikacja. Przedstawiona przez spółkę polityka przetwarzania danych również nie regulowała kwestii cyklicznego testowania, mierzenia i oceniania skuteczności stosowanych zabezpieczeń.
Mechanizm weryfikujący został przywrócony do sprawności i należycie przetestowany dopiero po ataku hakerskim i ujawnieniu danych osobom niepowołanym. Kara w dokładnej wysokości 1 968 524 złote była jedną z wyższych nałożonych do tej pory w Polsce. Jej wysokość spowodowana była przede wszystkim skalą naruszenia (wyciek danych obejmował blisko 115 tysięcy klientów operatora, w tym danych identyfikacyjnych, kontaktowych czy numerów PESEL, NIP i dowodów tożsamości) oraz wagą, charakterem oraz zakresem zarzucanych spółce naruszeń. Wysokość kary została i tak obniżona, organ nadzorczy uznał bowiem jako okoliczność łagodzącą efektywną i transparentną współpracę z UODO oraz działania informacyjne podjęte przez operatora.
Kara nałożona na Virgin Mobile jest kolejną z kar wywołanych atakiem hakerskim na systemy teleinformatyczne. Skuteczne włamanie i wyciek danych pokazał nienależyte ich zabezpieczenie i brak regularnego testowania mechanizmów chroniących poufność danych. W decyzji nakładającej karę Prezes UODO wskazał bowiem, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d RODO. Administrator zobowiązany jest do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.
Przedsiębiorcy sprzedający więc swoje usługi czy produkty elektronicznie powinni więc podjąć działania prewencyjne, w tym audyty bezpieczeństwa, czy testy penetracyjne. Nienależyte zabezpieczenie danych przetwarzanych w systemach IT grozi ich udostępnieniem, skutkującym nie tylko stratami wizerunkowymi, ale także odpowiedzialnością finansową.
autor: dr Jan Prasałek
[/vc_column_text][/vc_column][/vc_row]