DIGI a primit o amendă de 100 de milioane de confidențialitate

Acțiunea principală

Digi Távközlési és Szolgáltató Kft (DIGI) are un incident de protecție a datelor, care a fost raportat Autorității Naționale pentru Protecția Datelor și Libertatea Informației (NAIH).

NAIH a considerat că informațiile furnizate în notificare nu erau suficiente pentru a evalua dacă DIGI și-a respectat pe deplin obligațiile care îi revin în temeiul GDPR.

Esența incidentului de protecție a datelor a fost că un atacator a exploatat vulnerabilitatea disponibilă prin intermediul site-ului www.digi.hu și a avut acces la datele personale ale mai multor părți interesate, dintre care majoritatea erau clienți și abonați DIGI și o parte mai mică a buletinului lor informativ. abonați. Datele cu caracter personal ale clienților și abonaților includeau numele, numele mamei, locul și ora nașterii, adresa de domiciliu, numărul de identitate personal (uneori numărul personal), adresa de e-mail, numerele fixe și de telefon mobil ale persoanelor vizate.

DIGI a conștientizat atacul semnalându-l atacatorului însuși, un hacker etic. Atacatorul a indicat că a solicitat doar o singură linie a bazei de date în cauză ca dovadă și că intențiile sale erau de natură asistentă, așa că a explicat și natura tehnică a erorii către DIGI. DIGI a corectat eroarea.

Majoritatea datelor implicate în incident au fost găsite într-o bază de date creată în scopul testării. DIGI a încercat să reconstruiască motivul și scopul creării bazei de date de testare examinând fișiere jurnal, alerte de sistem și corespondență. Cu toate acestea, fișierele jurnal și alertele pentru timpul presupus de încărcare nu mai erau disponibile, astfel încât nu a fost posibilă reconstituirea clară a evenimentelor. Un e-mail de la un coleg de test a dezvăluit că în trecut a apărut o eroare în care serverele web nu au putut ajunge la serverele bazei de date. Ca urmare, disponibilitatea datelor abonaților a încetat.

DIGI presupune că, pentru a elimina temporar această eroare, datele au fost încărcate în baza de date de testare pentru a asigura disponibilitatea datelor abonaților. Sursa datelor încărcate în baza de date de test de mai sus, creată în legătură cu eliminarea erorii, au fost datele personale furnizate anterior de DIGI, în calitate de clienți ai managerului de date. Clienții și-au furnizat informațiile personale online sau prin alte canale de vânzare în timpul diferitelor revendicări.

După rezolvarea erorii de mai sus, restabilind astfel accesul, datele încărcate în baza de date de testare ar fi trebuit șterse, dar acest lucru nu s-a datorat omiterii. DIGI nu a fost conștient de disponibilitatea acestor date prin vulnerabilitatea de mai sus până când atacatorul a raportat-o. Accesul la date de către atacator nu a putut fi detectat de DIGI (de exemplu, pe baza semnalizării unui dispozitiv de securitate a rețelei) înainte ca atacatorul însuși să-și atragă atenția asupra acestuia.

Pe lângă baza de date de testare, atacatorul a avut și ocazia să acceseze o altă bază de date din spatele site-ului digi.hu menținut de DIGI, care conținea datele personale ale celor care s-au abonat la newsletter-ul de pe site. Cu toate acestea, pe baza investigațiilor, nu poate fi detectat acces neautorizat la datele personale specifice stocate în această bază de date, potrivit DIGI. Cu toate acestea, din cauza vulnerabilității, a existat și un risc de acces la aceste date.

Vulnerabilitatea accesului neautorizat a fost cauzată de o vulnerabilitate în sistemul de gestionare a conținutului utilizat de DIGI care a fost exploatată de un atacator. Vulnerabilitatea este cunoscută de mai bine de 9 ani și a fost reparată, dar nu a fost instalată anterior de DIGI.

DIGI a informat, de asemenea, NAIH că verifică în mod regulat bazele de date pe care le gestionează pentru a preveni prelucrarea/stocarea datelor cu caracter personal fără un scop specific pentru a preveni incidente similare de protecție a datelor. De asemenea, curăță bazele de date din când în când, le verifică securitatea și identifică aplicațiile și proprietarii de date asociați acestora. În plus, ca urmare a unei investigații externe suplimentare, va lua în considerare obținerea și operarea unui firewall de nivel superior.

digi

Decizia NAIH

Evaluarea incidentului

În conformitate cu articolul 4 alineatul (12) din GDPR, un incident de protecție a datelor este o încălcare a securității care are ca rezultat accesul neautorizat la datele cu caracter personal prelucrate. Din punctul de vedere al conceptului, conexiunea cu evenimentul de securitate poate fi astfel considerată un element cheie. În legătură cu raportarea incidentelor DIGI și clarificarea faptelor, se poate afirma că atacatorul a reușit să acceseze baza de date de testare creată în scopuri de testare și depanare care conțin date personale, exploatând vulnerabilitatea disponibilă prin intermediul site-ului digi.hu menținut de DIGI. Astfel, accesul neautorizat la datele personale ar fi putut avea loc prin exploatarea unei vulnerabilități de securitate IT, care a dus la un incident de protecție a datelor.

Conform articolului 33 alineatul (1) din GDPR, ca regulă generală, un incident de protecție a datelor trebuie raportat autorității de supraveghere. Atât acest alineat, cât și considerentul 85 din GDPR afirmă că operatorul poate renunța la notificare numai dacă poate demonstra, în conformitate cu principiul responsabilității, că incidentul de protecție a datelor nu este de natură să pună în pericol drepturile și libertățile persoanelor fizice. Întrucât regula generală este de a raporta incidentul autorităților, excepția de la aceasta trebuie de asemenea înțeleasă în mod restrâns.

Potrivit considerentului (75) din GDPR, dacă prelucrarea datelor, cum ar fi stocarea datelor pentru clienții cu amănuntul și administratorii de sistem în acest caz, ar putea duce la furtul de identitate sau la utilizarea abuzivă, se consideră că este fundamental riscant. Date stocate într-o bază de date creată de DIGI în scopuri de testare și depanare (numele persoanei vizate, numele nașterii, numele mamei, locul și ora nașterii, adresa de domiciliu, numărul cărții de identitate, numărul personal de identificare, adresa de e-mail, telefonul fix și telefonul mobil numere, date de plată și date bancare), date referitoare la serviciul solicitat) și furt de identitate sau utilizare abuzivă.

În ceea ce privește securitatea prelucrării datelor, articolul 32 alineatul (1) din GDPR prevede că, ținând seama, inter alia, de starea științei și tehnologiei și de riscurile implicate, este responsabilitatea operatorului să asigure securitatea datelor prin măsuri tehnice și organizatorice adecvate. Alineatul 1 litera (a) din acest articol include, dacă este cazul, pseudonimizarea și criptarea datelor cu caracter personal.

DIGI a spus că nu a remediat vulnerabilitatea până la incident, deoarece pachetul de corecții nu face parte dintr-o versiune oficială a software-ului. Și nu urmărește sau monitorizează remedierile neoficiale, deoarece - din cauza numărului de remedieri neoficiale făcute software-ului - nu are posibilitatea sau capacitatea de a spune despre asta. DIGI efectuează teste regulate de vulnerabilitate ale sistemelor pe care le gestionează, cu toate acestea, acest lucru nu s-a extins la site-ul digi.hu până când a avut loc incidentul.

NAIH a constatat că gestionarea datelor clienților afectați de incident ar putea fi considerată riscantă pe baza conținutului categoriilor de date. Un factor semnificativ care crește riscurile este că baza de date gestionată de DIGI conținea un număr mare de date cu caracter personal ale persoanelor vizate.

Potrivit unui expert pregătit de expertul IT al NAIH, aplicația de vulnerabilitate web utilizată de DIGI ar fi putut filtra vulnerabilitatea care a cauzat incidentul. NAIH notează că utilizarea acestor programe nu necesită un „nivel înalt de cunoștințe IT” sau capacitate de descompunere a codului, gestionarea acestora poate fi stăpânită de o persoană cu experiență medie în probleme de securitate IT după o anumită practică și timp. Stocarea datelor sensibile în text simplu în baza de date este o problemă de securitate ridicată în opinia expertului NAIH, care poate fi eliminată prin utilizarea unei criptări adecvate.

Potrivit NAIH, în cazul site-urilor web care sunt disponibile public pe internet și care pot fi vizitate și de un număr mare de clienți, se poate aștepta ca pregătirea potențialelor vulnerabilități să fie sporită. Acest lucru nu ar fi deosebit de îngrijorător pentru DIGI în cazul de față în ceea ce privește starea științei și tehnologiei și costul implementării, având în vedere poziția sa pe piață. DIGI a comandat, de asemenea, testarea regulată a vulnerabilității site-ului web și a tuturor celorlalte sisteme disponibile pe internet după incident, recunoscând necesitatea acestui lucru.

Pe baza celor de mai sus, NAIH a concluzionat că nivelul de securitate al gestionării bazelor de date implicate în incident nu respectă cerințele articolului 32 alineatele (1) - (2) din GDPR.

Bazele de date au fost create de DIGI cu un software care permite criptarea datelor. În legătură cu tehnologia aplicată, a fost deci posibil să se utilizeze criptarea datelor personale procesate, iar aplicarea acesteia nu poate însemna costuri suplimentare. Cu toate acestea, DIGI nu a criptat datele personale din bazele de date pe care le-a gestionat, deci nu a folosit această opțiune pentru bazele de date afectate de incident. El a declarat că protecția datelor cu caracter personal a fost în principiu asigurată prin restricționarea accesului și alocarea corespunzătoare a drepturilor și că utilizarea unei astfel de criptări ar putea cauza probleme în aplicabilitatea și funcționarea bazelor de date.

Cu toate acestea, în absența utilizării criptării, marea majoritate a datelor personale stocate în bazele de date afectate de incident au devenit lizibile sau neautorizate. La rândul său, acest lucru a crescut semnificativ riscurile pentru cei afectați. Criptarea datelor cu caracter personal este menționată și la articolul 32 alineatul (1) litera (a) din GDPR ca măsură de securitate adecvată. Deși Clientul nu a specificat de ce consideră criptarea bazei de date ca fiind problematică în legătură cu această gestionare specială a datelor, în absența acesteia, trebuie să se străduiască să se protejeze împotriva scurgerii unor cantități mari și sensibile de date cu caracter personal. Trebuie să puteți justifica motivele exacte pentru necriptare în conformitate cu articolul 5 alineatul (2) din GDPR.

Deoarece necriptarea a crescut semnificativ riscul incidentului și măsurile de securitate aplicate persoanelor vizate, NAIH a solicitat DIGI să respecte articolul 32 alineatul (1) litera (a) din GDPR și propriile sale reguli interne. baza de date care conține toate datele personale pe care le gestionează pentru a reduce riscurile în ceea ce privește dacă este justificată utilizarea criptării și pentru a informa NAIH cu privire la rezultatele acestora, de asemenea, în conformitate cu principiul responsabilității;.

Crearea unei baze de date de testare

Principiul „limitării scopului” din articolul 5 alineatul (1) litera (b) din GDPR impune ca datele cu caracter personal să fie colectate numai în scopuri specificate, explicite și legitime și să nu fie prelucrate într-un mod incompatibil cu aceste scopuri.

DIGI a indicat scopul creării bazei de date de testare afectate de incident prin faptul că a apărut o eroare care a făcut ca datele abonatului să devină indisponibile. Pentru a corecta această eroare, a fost creată o bază de date de testare care conține diverse date despre abonați furnizate în timpul încheierii contractelor de abonament. Scopul creării acestei baze de date (corectarea erorilor) este, prin urmare, separat de scopul prelucrării inițiale a datelor cu caracter personal (executarea unui contract). Corecția erorilor poate fi legitimă ca scop separat de gestionare a datelor, dar această gestionare separată a datelor trebuie să respecte, de asemenea, cerințele GDPR, inclusiv principiul gestionării intenționate a datelor.

Scopul corectării erorilor în legătură cu crearea bazei de date de testare este menținut până când eroarea însăși a fost corectată de DIGI. Odată ce eroarea a fost corectată, scopul separat al prelucrării datelor va înceta, de asemenea, să existe, astfel încât, sub rezerva articolului 17 alineatul (1) litera (a) din GDPR, baza de date de testare care conține date cu caracter personal ar fi trebuit ștearsă. NAIH a constatat că stocarea bazei de date după depanare era deja lipsită de orice scop de gestionare a datelor.

Acesta interzice stocarea datelor cu caracter personal învechite care nu mai pot fi utilizate în niciun scop, în conformitate cu principiul stocabilității limitate prevăzut la articolul 5 din GDPR. Cu toate acestea, principiul limitează limitarea perioadei de păstrare la stocarea datelor într-un mod care identifică persoanele vizate. Astfel, operatorul de date are în continuare posibilitatea de a stoca date anonimizate, dar trebuie să se facă în așa fel încât să nu se poată trage concluzii despre acestea de la persoana vizată, acestea putând fi identificate în continuare.

NAIH a impus DIGI o amendă de protecție a datelor de 100 milioane HUF pentru comiterea încălcărilor de mai sus.

Articole similare:

Brexit: semnat un nou acord comercial
30 decembrie 2020.

Liderii UE au semnat miercuri dimineață un acord cu privire la viitoarele relații comerciale bilaterale și alte relații dintre UE și Marea Britanie.

Un nou decret guvernamental va ajuta la justificarea incapacității de muncă în caz de urgență
28 decembrie 2020.

Un decret guvernamental a fost publicat în numărul din 24 decembrie al Magyar Közlöny, care permite medicului să trimită pacientului certificatul de incapacitate de muncă - adică hârtia necesară pentru plata bolii - prin e-mail până la 8 februarie 2021.

Și în acest an, 10.000 de cazuri pot fi închise de către organele de conciliere
28 decembrie 2020.

Potrivit rezumatului Camerei de Comerț și Industrie din Ungaria (MKIK), organismele de conciliere care se ocupă de cazuri de protecție a consumatorilor au închis în total 10.501 de cazuri la nivel național în 2019, iar numărul acestora se poate dezvolta în mod similar în 2020.

"Acesta nu este sfarsitul!"
22 decembrie 2020.

În articolul următor, autorul se întoarce în situația în care metoda de încetare a angajării nu este clară.

Autoritatea de concurență amendează 1 miliard HUF pentru consultanții de personal
18 decembrie 2020.

Autoritatea Maghiară a Concurenței (GVH) a constatat că Asociația Maghiară a Consultanților în Personal a restricționat concurența între membrii săi în regulamentele sale interne. Autoritatea a impus o amendă de 1 miliard HUF pentru încălcare.