Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Procedury rodo u administratora muszą działać

22-09-2020 Autor: Adam Klimowski

Decyzja węgierskiego organu nadzorczego o nałożeniu rekordowo wysokiej „kary za rodo” piętnuje wciąż występującą praktykę zapewnienia ochrony danych osobowych jedynie na papierze – bez jej formalnego wdrożenia.

 

W czerwcu 2020 r. NAIH (z węg. Nemzeti Adatvédelmi és Információszabadság Hatóság – Krajowy Urząd Ochrony Danych i Wolności Informacji) ogłosił nałożenie administracyjnej kary pieniężnej na firmę Digi Távközlési Szolgáltató Kft (dalej: DIGI) za nieprzestrzeganie ogólnego rozporządzenia o ochronie danych1. W pierwszej chwili uwagę mediów przykuła przede wszystkim wysokość kary – rekordowe 100 milionów forintów, czyli niemal dwa razy więcej niż wszystkich 29 poprzednich węgierskich kar razem wziętych!


W następnej kolejności zaczęto zgłębiać przyczyny tej sytuacji, ukarany administrator był oczywiście majętnym przedsiębiorstwem, co po części tłumaczy ogłoszoną przez NAIH 100-milionową kwotę, ale jedynie po części. Jak się okazało, naruszenie miało dość banalną przyczynę i można go było uniknąć, gdyby rzeczywiście zadziałały procedury bezpieczeństwa.


9-letnia dziura na stronie


Wspomniana na początku firma DIGI jest spółką mediową, która działa na Węgrzech od ponad 20 lat i oferuje usługi telefoniczne, dostęp do telewizji kablowej oraz internetu. Do jej klientów zalicza się co piąte węgierskie gospodarstwo domowe.


We wrześniu 2019 r. do DIGI zwróciła się osoba (opisana w decyzji organu nadzorczego jako „etyczny haker”), która uzyskała dostęp do firmowej strony internetowej digi.hu. Jak się okazało, strona została przygotowana na podstawie bezpłatnego systemu zarządzania treścią (CMS – content managment system) o nazwie Drupal. Haker, mając wiedzę na temat błędów różnych wersji Drupala, wykorzystał 9-letnią lukę i dostał się do tej części serwisu internetowego, która nie była dostępna publicznie. Tam znalazł m.in. bazy danych, zawierające szereg danych osobowych.


Spółka niezwłocznie zawiadomiła Krajowy Urząd Ochrony Danych i Wolności Informacji o incydencie bezpieczeństwa. W październiku 2019 r. rozpoczęło się postępowanie, w trakcie którego ustalono szczegóły naruszenia.
nDwie bazy + dane administratora = problem Haker uzyskał dostęp do dwóch baz danych. Jedna z nich zawierała dane klientów (imiona, nazwiska, miejsca i daty urodzenia, dane z dokumentów tożsamości, numery kont bankowych, hasła, adresy e-mail, numery telefonów stacjonarnych lub komórkowych), a druga – dane osób zapisanych na newslettery DIGI (imiona i adresy e-mail).


W tekście decyzji podanym do publicznej wiadomości usunięto informacje na temat dokładnej liczby osób dotkniętych zdarzeniem czy rzędu wielkości. Tylko jedno zdanie decyzji świadczy o tym, że liczba osób znajdujących się w bazach była znacząca w stosunku do ogólnej liczby klientów DIGI. Biorąc pod uwagę zasięg usług operatora, zasadne będzie zatem operowanie wielkościami rzędu dziesiątek tysięcy osób. Powagi sytuacji dodaje okoliczność, że żadna z tych baz nie była zaszyfrowana.


Haker, jakby tego było mało, był w stanie sięgnąć również do tego miejsca w panelu administracyjnym, które pozwalało na zapoznanie się z informacjami o użytkownikach serwisu, w tym także tych o uprawnieniach administratora. Mógł więc teoretycznie dokonać szybkiego zgrania bazy klientów, równie szybkiego jej usunięcia, publikacji informacji na stronie internetowej itd. Na szczęście jego celem nie było przejęcie bazy danych czy szkodzenie dla samego szkodzenia. Bezsporny jednak pozostaje fakt, że gdyby na miejscu etycznego hakera znalazła się osoba o złych zamiarach, DIGI oraz jej klienci mieliby poważne problemy.


Kiedy już ustalono, co tak naprawdę się wydarzyło, przyszła pora na ustalenie przyczyn. Tu lektura decyzji węgierskiego organu nadzorczego zaczyna się robić naprawdę ciekawa.

 

Poważna luka w systemie testów IT


DIGI podjęła decyzję o wykorzystaniu do zbudowania digi.hu bezpłatnego systemu zarządzania treścią. Nie był to przejaw źle pojętej oszczędności. Narzędzia, takie jak WordPress, Joomla! czy właśnie Drupal, są wykorzystywane zarówno przez wielkie korporacje, jak i osoby prywatne z podobnych względów. Są to systemy używane przez miliony użytkowników, z dużą gamą funkcjonalności, łatwe w obsłudze nawet dla osób początkujących i darmowe.


Oczywiście jest i druga strona medalu – im popularniejsze narzędzie, tym większa szansa, że jego zabezpieczenia będą (z tego czy innego względu) łamane.


Administrator danych może zatem używać bezpłatnego CMS-a pod warunkiem, że będzie na bieżąco czuwał nad jego bezpieczeństwem (używał stabilnych wersji systemu, nie wgrywał podejrzanych dodatków i na bieżąco instalował aktualizacje, likwidujące luki). NAIH nie robił więc DIGI zarzutu z tego, że używała darmowego narzędzia. Problemem było to, że firma nie zadbała o usunięcie ze strony istniejącej od dziewięciu lat luki (w skali technologii informacyjnych to wieczność). Administrator wskazywał, że nie było żadnej oficjalnej (udostępnionej przez twórców systemu) aktualizacji, likwidującej problem, a nie chciał korzystać z rozwiązań innych użytkowników Drupala, bo uznał to za zbyt ryzykowne działanie.


Mogłoby się więc wydawać, że DIGI dokonała podstawowej analizy ryzyka, ważąc „za” i „przeciw” i podjęła lepiej lub gorzej uzasadnioną, ale świadomą decyzję, gdyby nie inna okoliczność, ustalona w toku postępowania. Praprzyczyną problemu była 9-letnia luka, ale DIGI nie wiedziała o niej od 2010 r. Administrator powziął wiedzę na ten temat dopiero we wrześniu 2019 r., gdy etyczny haker wskazał mu problem. Czy więc kierownictwo nie przewidywało żadnego rodzaju testów informatycznych, których celem byłoby wykrywanie ewentualnych problemów? Wręcz przeciwnie, Dokumentacja, którą DIGI dostarczyła organowi, ujawniła, że takie testy były przewidziane i regularnie prowadzone. Obejmowały systemy informatyczne, ale już nie stronę digi.hu.

 

[...]

 

Autor jest prawnikiem i głównym specjalistą ds. ochrony danych osobowych w firmie JAMANO.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.