Kara na morele.net – opinia

Cyprian Gutkowski

Geneza

Pod koniec listopada 2018 roku zaczęły spływać niepokojące informacje o podejrzanych sms-ach do klientów sklepu morele.net. Dokonujący zakupów w tym sklepie zaraz po zakupach otrzymywali podejrzane wiadomości tekstowe informujące o konieczności dopłaty do zakupów w wysokości 1 zł. W rzeczywistości był to klasyczny link phishingowy wyłudzający dane uwierzytelniające do bankowości elektronicznej oraz kod autoryzacyjny przelewu, dzięki któremu przestępcy mogli ukraść ofierze wszystkie oszczędności. Sklep zareagował publikując oświadczenie, że nie ma nic wspólnego z sms-ami i są one próbą oszustwa, jednocześnie zapewniając, że bazy danych osobowych są w pełni bezpieczne a ich poufność nie została naruszona. Dopiero 18 grudnia Morele.net zaczęło informować swoich klientów, że ich dane zostały wykradzione, jednocześnie usuwając poprzedni komunikat, tak by nie wprowadzał w błąd zainteresowanych osób. W niedługim czasie ujawnił się również haker, który poinformował, że dysponuje danymi i skasuje bazę danych za „jedyne” 500 tysięcy złotych, dzięki czemu sklep będzie mógł zapomnieć o całej sprawie.

Efekt

Wyciekły dane dotyczące około 2 milionów użytkowników sklepu. Wśród wykradzionych danych były imiona, nazwiska, numery telefonu, adresy e-mail oraz zaszyfrowane hasło do sklepu. Morele.net zostało surowo ukarane przez UODO (Urząd Ochrony Danych Osobowych) kwotą 644 780 Euro czyli prawie 3 milionów złotych. Jest to piąta co do wysokości kara nałożona przez organy nadzorcze spośród wszystkich 82 kar nałożonych do tej pory. Dotkliwiej ukarane zostały jedynie wielkie międzynarodowe korporacje takie jak British Airways, Marriott International, Google i rządowa bułgarska agencja skarbowa (wyciekły dane dotyczące około 6 milionów obywateli Bułgarii). Należy przy okazji nadmienić, tak aby mieć właściwy ogląd sytuacji, że najniższa do tej pory nałożona kara to 118 Euro (niemiecki organ nadzorczy).

Postarajmy się zrozumieć za co została wymierzona ta kara. Kara została wydana za  naruszenie obowiązku wynikającego z art. 32 ust. 1 i 2 rozporządzenia 2016/679 polegającego na doborze skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelnienia oraz naruszenie zasad zgodności z prawem, rzetelności i rozliczalności przy przetwarzaniu danych osobowych. W decyzji UODO czytamy: „Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka (…) Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.”

Jeżeli spojrzymy na karę ze strony zwykłego obywatela, to można dojść do wniosku, że kara nie jest taka wysoka, wypada mniej więcej po złotówce za każdego poszkodowanego klienta (osobiście bym się bardzo źle czuł gdybym wiedział, że moje dane warte są jedynie ok 1 zł), przy trzy razy większej grupie poszkodowanych wspomniana już wyżej bułgarska agencja skarbowa, która także padła ofiarą hakera i naruszyła te same obowiązki dotyczące środków ochrony technicznej ukarana została karą w kwocie 2 600 000 Euro. Jednak spojrzenie ze strony prowadzącego biznes jest już odmienne, stara się on zrozumieć jaki sens ma zgłoszenie do organu nadzorczego naruszenia ochrony danych osobowych, zainwestowanie dużych pieniędzy (z moich informacji wynika że około 1 mln złotych) w jedynie element bezpieczeństwa jakim jest cyberbezpieczeństwo, skoro w żaden sposób nie uchroniło go to przed jedną z najwyższych kar. Człowiek biznesu zaczyna analizować swoje postępowanie krok po kroku. Do jakich wniosków może więc dojść przedsiębiorca? Faktycznie sytuacja była na tyle medialna, że UODO by się o niej na pewno dowiedział. Jednak czy organ nadzorczy potrafiłby udowodnić, że to z moich baz i infrastruktury pochodził wyciek, czy ma zdolności i zasoby do takich badań? Pewnie tak, choć pewności nie ma. Więc może warto  było z punktu widzenia biznesowego zapłacić tę 1/6 wysokości nałożonej kary na okup dla przestępcy i zapomnieć o sprawie? Tutaj już ja mam bardzo prostą odpowiedź dla przedsiębiorcy – no nie, przy zapłacie haraczu, nikt nie powinien sądzić, że faktycznie można będzie zapomnieć o sprawie i przestępca nie zgłosi się do przedsiębiorcy ponownie, bo  przypomni mu się, że ma jeszcze jedną kopię danych i teraz dodatkowo załączyć może do niej dokumentację udawadniającą „zapłatę za milczenie” i spokojnie może to przesłać do właściwego organu nadzorczego, jeśli nie dostanie drugiej transzy okupu. Każdy zdaje chyba sobie sprawę, że wtedy kara będzie dużo wyższa. Płacenie okupu nie jest więc nigdy dobrym rozwiązaniem, choćby nie wiem jak kuszącym.

Wnioski

Z decyzji organu nadzorczego dowiadujemy się, że kara byłaby większa, gdyby nie dobra współpraca Morele.net z UODO „Przy ustalaniu jej wysokości Prezes UODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.”. Faktycznie, Morele.net współpracowało z UODO, zmieniło swoje procedury, zastosowało dodatkowe środki techniczne, wydało przy tym spore pieniądze czym ewidentnie poprawiło bezpieczeństwo przetwarzania danych osobowych. Najbardziej chyba zastanawia fakt czemu odrzucono wniosek złożony przez Morele.net w ramach postępowania UODO o powołanie niezależnego biegłego w celu oceny posiadanych zabezpieczeń technicznych, które zdaniem firmy były na dużo wyższym poziomie niż stosowane standardowo. Przecież tezy stawiane przez Urząd powinny zostać zweryfikowane, bo każdy kto zajmuje się bezpieczeństwem wie, że nie da się zbudować idealnego, odpornego na wszelkie ataki systemu, a zainwestowanych środków nigdy nie będzie dość. Tezy Urzędu zweryfikowane na pewno zostaną ale przez sąd, a szkoda, bo transparentne i nie budzące zastrzeżeń postępowanie przed Urzędem powinno być normą.

Może rozwiązaniem idealnym jest taki stan, by w regulacjach prawnych sankcjonowania naruszenia ochrony danych osobowych ustalić, by kara nakładana przez organ nadzorczy pozostawała w znacznej większości w podmiocie nią ukaranym, a podmiot został zobowiązany do wydatkowania jej w przeciągu roku na rozbudowę systemu bezpieczeństwa ochrony danych osobowych. Niewątpliwie wpłynęłoby to na poziom bezpieczeństwa i to rozwiązanie satysfakcjonowałoby przede wszystkim podmioty danych osobowych, czyli nas wszystkich, dając poczucie wyższego bezpieczeństwa a i firmą dużo łatwiej byłoby akceptować takie kary. Zwłaszcza w sytuacji gdy do naruszenia ochrony danych doszło nie w skutek świadomego działania lub zaniechania administratora danych, a w skutek przestępstwa, bo jak czytamy w oświadczeniu Morele.net „Sytuacja, w której zaatakowany podmiot w wypadku pełnej i transparentnej współpracy z organami państwowymi musi się liczyć z widmem kary, przy jednoczesnym braku konsekwencji prawnych dla przestępców, prowadzić może do zniechęcenia tychże podmiotów do współpracy z organami Państwa i – w efekcie – do dalszego zwiększania skali problemu cyberprzestępczości, zwłaszcza w wypadku szantażu przedsiębiorstw.”.

Jedno jest pewne, każdy przedsiębiorca powinien zadbać o dane klientów czy kontrahentów, bo jest to krytyczne dla jego biznesu, zwłaszcza gdy główną jego działalność stanowi masowe przetwarzanie danych osobowych.

Autor: Cyprian Gutkowski

Źródło zdjęcia: https://pixabay.com/illustrations/big-data-information-data-3964871/

Share Button