Przypadek Virgin Mobile – czyli, dlaczego regularne testowanie środków technicznych jest ważne

Dokładnie rok temu – 30 grudnia 2019 r. – Prezes Urzędu Ochrony Danych Osobowych (UODO) poinformował na swojej stronie www, że otrzymał od Virgin Mobile Polska zgłoszenie dotyczące naruszenia ochrony danych osobowych i w związku z tym przeprowadzi czynności kontrolne u tego operatora.

Notyfikacja dotyczyła naruszenia ochrony danych osobowych abonentów usług przedpłaconych, polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Spółka poinformowała organ, że do naruszenia ochrony danych doszło na skutek ataku hakerskiego na jedną z aplikacji informatycznych, która umożliwiała dostęp do danych rejestrowych.

Warto zauważyć różnicę w zawiadamianiu o naruszeniu ochrony danych osobowych przez operatora telekomunikacyjnego względem notyfikacji, o której jest mowa w art. 33 i 34 RODO. W przypadku operatorów telekomunikacyjnych powiadomienie Prezes UODO o naruszeniu powinno nastąpić nie później niż 24 godziny po jego wykryciu (jeśli jest to wykonalne). Termin ten jest krótszy niż czas wskazany w RODO – 72 godziny. Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych, a termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013.

W związku z notyfikacją Prezes UODO podjął decyzję o przeprowadzeniu czynności kontrolnych,. Zakresem kontroli urząd objął sposób przetwarzania, w tym sposób zabezpieczenia danych, w ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych. Kontrola polegała na odebraniu od pracowników operatora ustnych wyjaśnień oraz na oględzinach systemu informatycznego służącego do rejestrowania danych osobowych abonentów usług przedpłaconych.

Z komunikatu Prezesa UODO opublikowanego w połowie grudnia bieżącego roku mogliśmy natomiast dowiedzieć się, że organ właśnie nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł.

W decyzji organ nadzorczy stwierdził, że naruszenie polegało na niewdrożeniu przez Virgin Mobile „odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych”. W ocenie Prezesa UODO przedsiębiorca naruszył :

  • Zasady poufności danych (art. 5 ust. 1 lit. f RODO).
  • Zasady rozliczalności (art. 5 ust. 2 RODO).

W związku z naruszeniem

  • Obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO).
  • Obowiązków w zakresie zapewnienia poufności, integralności, dostępności i  odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b RODO).
  • Obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d RODO).
  • Obowiązku uwzględnienia ryzyka wiążącego się z  przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 RODO).

Powyższe skutkowało nałożeniem na Virgin Mobile administracyjnej kary pieniężnej w kwocie 1.968.524,00 PLN. Prezes UODO miarkował karę, biorąc pod uwagę również okoliczności łagodzące, jak np.

  •  Dobrą współpracę administratora.
  •  Szybkie usunięcie naruszenia po jego wykryciu.
  •  Wdrożenie dodatkowych rozwiązań, które mają dodatkowo podnieść bezpieczeństwo przetwarzanych danych.

W toku postępowania operator wyjaśniał m.in., że „wykorzystanie podatności systemu do przedmiotowego ataku skutkującego uzyskaniem dostępu do danych, nie było zależne od braku odpowiedniego testowania, mierzenia czy oceniania systemu, ponieważ wskazane czynności były regularnie i prawidłowo prowadzone przez spółkę”, oraz że „spółka przyjęła środki ochrony danych w postaci: procedur określających metodykę analizy ryzyka, procedurę klasyfikacji poziomów bezpieczeństwa informacji, politykę bezpieczeństwa informacji, procedurę zarządzenia systemem informatycznym ”. Jednak Prezes UODO uznał, że środki te nie były adekwatne.

Postępowanie ujawniło, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Program miał sprawdzać, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. Okazało się, że taka weryfikacja nie działała, a przed jej wdrożeniem mechanizm nie był testowany. Ostatecznie doprowadziło to do tego, że w grudniu 2019 r. w spółce doszło do incydentu wycieku danych osobowych na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid.

Prezes UODO ustalił więc, że spółka nie przeprowadzała wcześniej testów tej konkretnej aplikacji i systemu, które byłyby nastawione na weryfikację zabezpieczeń dotyczących podatności związanej z zaistniałym naruszeniem danych osobowych. Dlatego, kontynuując uzasadnienie, Prezes UODO podkreślił, że „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d [RODO]. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.(…) dokonywanie przeglądów w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.”

W ocenie Prezesa UODO przyjęte przez operatora środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez spółkę przestrzegane. W ocenie Prezesa UODO do wykrycia wykorzystanej podatności wystarczyłoby zweryfikowanie podstawowej zasady działania systemu, ale działania związane z naprawą tej niezbędnej funkcjonalności podjęte zostały dopiero po incydencie. Analizując błędy popełnione przez Virgin Mobile, Prezes UODO przedstawił również podstawowe zasady rzetelnie prowadzonej analizy ryzyka. Organ nadzorczy wskazał, że analiza ryzyka przeprowadzana przez administratora powinna:

  • Być udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania.
  • Brać pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.
  • Określać istniejące zabezpieczenia, między innymi w taki sposób, aby ich nie powielać, oraz sprawdzać skuteczność funkcjonowania tych zabezpieczeń; powyższe podyktowane jest ty, że istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.
  • Być przeprowadzone np. metodą zdefiniowania poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu.

 

W treści uzasadnienia decyzji Prezesa UODO wielokrotnie wybrzmiało, że incydentalny przegląd zabezpieczeń nie spełnia wymogu regularnego testowania środków technicznych. Pomimo usunięcia przez Spółkę uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, będących przyczyną naruszenia, w wyniku stwierdzonych nieprawidłowości postępowanie administracyjne zakończyło się nałożeniem kary.

Źródła:

Komunikat UODO nt czynności kontrolnych wobec Virgin Mobile Polska

Decyzja Prezesa UODO

Rozporządzenie Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. U. UE. L. z 2013 r. Nr 173, str. 2)

Autor

Paulina Wirska

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Autor artykułów branżowych. Trener na szkoleniach z ochrony danych osobowych.