Основне провадження

Digi Távközlési és Szolgáltató Kft (DIGI) має інцидент із захисту даних, про який повідомлялося Національному органу з питань захисту даних та свободи інформації (NAIH).

NAIH вважав, що інформація, надана в повідомленні, була недостатньою для оцінки того, чи DIGI повністю виконав свої зобов'язання згідно з GDPR.

Суть інциденту із захистом даних полягала в тому, що зловмисник використовував уразливість, доступну через веб-сайт www.digi.hu, і мав доступ до персональних даних кількох зацікавлених сторін, більшість з яких були клієнтами та передплатниками DIGI, і менша частина їх бюлетеня передплатники. Персональні дані клієнтів та абонентів включали імена суб'єктів даних, ім'я матері, місце та час народження, адресу, номер посвідчення особи (іноді особистий номер), адресу електронної пошти, стаціонарний телефон та номери мобільних телефонів.

DIGI стало відомо про напад, подавши сигнал самому зловмиснику, етичному хакеру. Зловмисник зазначив, що він просив лише один рядок з відповідної бази даних як доказ і що його наміри мають допоміжний характер, тому він також пояснив DIGI технічний характер помилки. Потім DIGI виправив помилку.

Більшість даних, причетних до інциденту, були знайдені в базі даних, створеній для тестування. DIGI намагався відновити причину та мету створення тестової бази даних, перевіряючи файли журналів, системні попередження та кореспонденцію. Однак файли журналів та сповіщення про передбачуваний час завантаження були вже недоступні, тому не вдалося чітко відновити події. В електронному листі від колеги-випробувача було виявлено, що раніше траплялася помилка, під час якої веб-сервери не могли дістатися до серверів баз даних. В результаті доступність даних про абонентів припинилася.

DIGI припускає, що для тимчасового усунення цієї помилки дані були завантажені в тестову базу даних для забезпечення доступності даних про абонентів. Джерелом даних, завантажених у вищезазначену тестову базу даних, створену у зв’язку з усуненням помилки, були персональні дані, раніше надані DIGI як клієнти менеджера даних. Клієнти надавали свою особисту інформацію в Інтернеті або через інші канали продажів під час їх різноманітних претензій.

Після виправлення вищезазначеної помилки, таким чином, відновлення доступу, дані, завантажені в тестову базу даних, повинні були бути видалені, але це сталося не через пропуск. DIGI не знав про доступність цих даних через вищезазначену вразливість, поки зловмисник не повідомив про це. Доступ зловмисника до даних не міг виявити DIGI (наприклад, на основі сигналізації пристрою мережевої безпеки), перш ніж сам зловмисник звернув на це увагу.

На додаток до тестової бази даних, зловмисник також мав можливість отримати доступ до іншої бази даних за веб-сайтом digi.hu, що підтримується DIGI, яка містила особисті дані тих, хто підписався на інформаційний бюлетень на цьому сайті. Однак на підставі розслідувань не вдається виявити несанкціонований доступ до конкретних персональних даних, що зберігаються в цій базі даних, згідно з даними DIGI. Однак через вразливість також існував ризик доступу до цих даних.

Уразливість несанкціонованого доступу була спричинена вразливістю в системі управління вмістом, що використовується DIGI, яку експлуатував зловмисник. Вразливість відома більше 9 років і була виправлена, але раніше не встановлювалася DIGI.

DIGI також повідомив NAIH, що він регулярно перевіряє бази даних, яким вдається запобігти обробці/збереженню персональних даних без конкретної мети, щоб запобігти подібним випадкам захисту даних. Він також час від часу очищає бази даних, перевіряє їх безпеку та визначає програми та власників даних, пов’язаних з ними. Крім того, в результаті подальшого зовнішнього розслідування він розгляне можливість отримання та експлуатації брандмауера вищого рівня.

digi

Рішення НАІХ

Оцінка інциденту

Відповідно до статті 4 (12) GDPR, інцидент із захистом даних є порушенням безпеки, що призводить до несанкціонованого доступу до оброблюваних персональних даних. Таким чином, з точки зору концепції, зв'язок із подією безпеки може вважатися ключовим елементом. У зв'язку з повідомленням про інциденти DIGI та роз'ясненням фактів можна сказати, що зловмиснику вдалося отримати доступ до тестової бази даних, створеної для тестування та усунення несправностей, що містить персональні дані, використовуючи вразливість, доступну на веб-сайті digi.hu, що підтримується DIGI. Отже, несанкціонований доступ до персональних даних міг мати місце шляхом використання вразливості ІТ-безпеки, що призвело до інциденту із захистом даних.

Відповідно до статті 33 (1) GDPR, як правило, інцидент із захисту даних повинен повідомлятися контролюючому органу. Як у цьому пункті, так і у статті 85 GDPR зазначено, що контролер може відмовитись від повідомлення лише в тому випадку, якщо він може продемонструвати, згідно з принципом підзвітності, що інцидент із захистом даних, швидше за все, не поставить під загрозу права та свободи фізичних осіб. Оскільки загальне правило - повідомляти про інцидент владі, виняток з цього також слід розуміти вузько.

Згідно зі статтею (75) GDPR, якщо обробка даних, наприклад, зберігання даних про роздрібних споживачів та системних адміністраторів у цій справі, може призвести до викрадення або зловживання особистих даних, це вважається принципово ризикованим. Дані, що зберігаються в базі даних, створеній DIGI для цілей тестування та налагодження (ім'я суб'єкта даних, ім'я народження, ім'я матері, місце та час народження, домашня адреса, номер посвідчення особи, персональний ідентифікаційний номер, адреса електронної пошти, стаціонарний телефон та мобільний телефон номери, платіжні та банківські дані), дані, що стосуються запитуваної послуги), а також викрадення або зловживання особистими даними.

Що стосується безпеки обробки даних, стаття 32 (1) GDPR говорить, що, беручи до уваги, серед іншого, стан науки і техніки та пов'язані з цим ризики, відповідальність контролера несе відповідальність за гарантування безпеки дані за допомогою відповідних технічних та організаційних заходів. Пункт 1 (а) цієї статті включає, де це можливо, псевдонімізацію та шифрування персональних даних.

DIGI заявила, що не усунула вразливість до інциденту, оскільки пакет виправлень не є частиною офіційно випущеної версії програмного забезпечення. І він не стежить за неофіційними виправленнями та не стежить за ними, оскільки - через кількість неофіційних виправлень, внесених у програмне забезпечення - він не має можливості або можливості розповісти про це. DIGI регулярно проводить тестування на вразливість систем, якими керує, однак це не поширювалось на веб-сайт digi.hu, поки не стався інцидент.

NAIH виявив, що обробка даних клієнтів, на яких постраждав інцидент, може вважатися ризикованою, виходячи зі змісту категорій даних. Значним фактором, що збільшує ризики, є те, що база даних, якою керує DIGI, містила велику кількість персональних даних суб’єктів даних.

Відповідно до висновку експерта, підготовленого ІТ-експертом NAIH, веб-програма вразливості, що використовується DIGI, могла відфільтрувати вразливість, яка спричинила інцидент. NAIH зазначає, що використання цього програмного забезпечення не вимагає особливо “високого рівня знань в галузі ІТ” або здатності до декомпозиції коду; їх управління може засвоїти людина, яка має середній досвід роботи в питаннях ІТ-безпеки після певної практики та часу. Зберігання конфіденційних даних у звичайному тексті в базі даних - це високий рівень безпеки, на думку експерта NAIH, який можна усунути за допомогою належного шифрування.

Згідно з NAIH, у випадку веб-сайтів, які є загальнодоступними в Інтернеті та їх також може відвідувати велика кількість клієнтів (можливо), готовність до потенційних вразливостей може бути підвищена. У даному випадку це не буде особливо турбувати DIGI з точки зору стану науки і техніки та вартості впровадження, також з огляду на його позицію на ринку. DIGI також замовив регулярне тестування вразливості веб-сайту та всіх інших доступних в Інтернеті систем після інциденту, визнавши необхідність цього.

Виходячи з вищесказаного, NAIH дійшов висновку, що рівень безпеки управління базами даних, що беруть участь у інциденті, не відповідав вимогам статті 32 (1) - (2) GDPR.

Бази даних були створені DIGI із програмним забезпеченням, яке дозволяє шифрувати дані. У зв'язку з застосовуваною технологією, отже, можна було використовувати шифрування оброблюваних персональних даних, і його застосування не повинно означати ніяких додаткових витрат. Однак DIGI не зашифрував персональні дані в базах даних, якими він керував, тому не використовував цю опцію для баз даних, які постраждали в результаті інциденту. Він заявив, що захист персональних даних в принципі забезпечується обмеженням доступу та належним розподілом прав, і що використання такого шифрування може спричинити проблеми щодо застосовності та роботи баз даних.

Однак, за відсутності використання шифрування, переважна більшість персональних даних, що зберігаються в базах даних, постраждалих від інциденту, стали читабельними або несанкціонованими. Це, у свою чергу, значно збільшило ризики для постраждалих. Шифрування персональних даних також згадується у статті 32 (1) (а) GDPR як відповідний захід безпеки. Хоча Замовник не вказав, чому він вважає шифрування бази даних проблематичним у зв'язку з цим конкретним управлінням даними, за відсутності цього він повинен прагнути захистити від витоку конфіденційних та великих обсягів персональних даних. Ви повинні мати змогу обґрунтувати точні причини нешифрування відповідно до статті 5 (2) GDPR.

Оскільки нешифрування значно збільшило ризик інциденту та заходи безпеки, що застосовуються до суб'єктів даних, NAIH закликав DIGI дотримуватися статті 32 (1) (а) GDPR та власних внутрішніх правил. база даних, що містить усі персональні дані, якими вона управляє, щоб зменшити ризики щодо виправданості використання шифрування та інформування NAIH про результати, також відповідно до принципу підзвітності;.

Створення тестової бази даних

Принцип "обмеження цілей" у статті 5 (1) (b) GDPR вимагає, щоб персональні дані збиралися лише для визначених, явних та законних цілей, а не оброблялись способом, несумісним із цими цілями.

DIGI вказав мету створення тестової бази даних, на яку постраждав інцидент, в тому, що сталася помилка, яка спричинила недоступність даних про абонента. Щоб виправити цю помилку, була створена тестова база даних, що містить різні дані абонентів, надані під час укладення договорів про передплату. Таким чином, мета створення цієї бази даних (виправлення помилок) є окремою від мети оригінальної обробки персональних даних (виконання контракту). Виправлення помилок може бути законним як окрема мета управління даними, але це окреме управління даними також повинно відповідати вимогам GDPR, включаючи принцип цілеспрямованого управління даними.

Мета виправлення помилок у зв'язку зі створенням тестової бази даних зберігається до тих пір, поки сама помилка не буде виправлена ​​DIGI. Після того, як помилку буде виправлено, окрема мета обробки даних також перестане існувати, так що відповідно до статті 17 (1) (а) GDPR тестова база даних, що містить персональні дані, повинна бути видалена. NAIH виявила, що зберігання бази даних після усунення несправностей вже не мала жодної мети щодо управління даними.

Він забороняє зберігання застарілих персональних даних, які більше не можуть бути використані з будь-якою метою, відповідно до принципу обмеженого зберігання, встановленого у статті 5 Регламенту GDPR. Однак принцип обмежує обмеження періоду зберігання лише для зберігання даних таким чином, щоб ідентифікувати суб'єктів даних. Таким чином, контролер даних все ще має можливість зберігати анонімізовані дані, але це повинно бути зроблено таким чином, що неможливо зробити висновок про них від суб'єкта даних та ідентифікувати їх далі.

NAIH наклав на DIGI штраф за захист даних у розмірі 100 мільйонів HUF за вчинення вищезазначених порушень.

Пов’язані статті:

Brexit: підписано нову торгову угоду
30 грудня 2020 р.

Лідери ЄС підписали угоду про умови майбутньої двосторонньої торгівлі та інших відносин між ЄС та Великобританією в середу вранці.

Новий урядовий указ допоможе виправдати непрацездатність під час надзвичайних ситуацій
28 грудня 2020 р.

Урядовий указ був опублікований у випуску "Magyar Közlöny" від 24 грудня, який дозволяє лікарю надсилати лист пацієнта непрацездатним - тобто папір, необхідний для оплати лікарняних - електронною поштою до 8 лютого 2021 року.

Помирювальні органи можуть закрити 10 000 справ і цього року
28 грудня 2020 р.

Згідно з резюме Угорської торгово-промислової палати (МКІК), примирні органи, які займаються справами про захист прав споживачів, у 2019 році закрили загалом 10 501 справу, і їх кількість може розвинутися аналогічним чином у 2020 році.

"Це ще не кінець!"
22 грудня 2020 р.

У наступній статті автор обходить ситуацію, коли спосіб припинення трудових відносин незрозумілий.

Орган з питань конкуренції штрафує 1 мільярд форинтів для консультантів з персоналу
18 грудня 2020 р.

Угорський орган з питань конкуренції (GVH) встановив, що Угорська асоціація кадрових консультантів обмежує конкуренцію серед своїх членів у своїх внутрішніх правилах. Влада наклала штраф у розмірі 1 млрд. Форинтів за порушення.