DIGI a fost amendată cu 290.000 euro pentru încălcarea GDPR

digi amenda gdpr

Autoritatea privind protecția datelor din Ungaria (NAIH) a aplicat recent o amendă de aproximativ 290.000 EUR către DIGI Zrt. pentru o vulnerabilitate a site-ului care nu fusese remediată ani de zile.

Până la acest moment, este cea mai mare amendă aplicată de NAIH în Ungaria, conform 24.hu.

Digi Zrt. (Digi), este un furnizor de diverse servicii de comunicații electronice și televiziune pentru peste 800.000 de gospodării, partea din Ungaria a Digi România.

Motivul pentru această amendă a fost o vulnerabilitate cunoscută a site-ului, care nu a fost remediată de ani de zile și a permis unui hacker etic să aibă acces, de exemplu, la o bază de date de test creată în urmă cu câțiva ani, care conține diverse categorii de date personale ale abonaților.

Ce s-a întâmplat?

În septembrie 2019, un hacker etic a raportat o vulnerabilitate a securității la Digi. Vulnerabilitatea privea site-ul lor web care rulează pe o platformă populară de gestionare a conținutului open source și, în special, două baze de date.

Primă vulnerabilitate se referea la o bază de date de testare a abonaților, care a fost creată pentru rezolvarea problemelor cu ani în urmă. Această bază de date conținea, de asemenea, date de identificare ale administratorilor de sistem, ceea ce duce la riscuri suplimentare de securitate. A doua bază de date conținea numele și adresele de e-mail ale abonaților la buletinul informativ Digi (newsletter). Această din urmă bază de date era o bază de date folosită în mod curent de către Digi, iar nu o bază de testare.

Baza de date de test conținea date precum numele persoanei în cauză, data nașterii ,numele, numele mamei, locul și data nașterii, adresa, numărul cărții de identitate, dacă este cazul ,numărul personal, adresa de e-mail, fix și numărul de telefon mobil, numărul de cont bancar, date legate de contract, date referitoare la serviciul utilizat . Datele personale din baza de date nu au fost criptate. NAIH a concluzionat că datele ar fi putut fi folosite pentru furtul de identitate. Scopul prelucrării acestor date era încheierea unui contract de abonament.

A doua bază de date live conținea doar numele și adresa de e-mail, scopul fiind trimiterea ofertelor comerciale.

Potrivit site-ului 24.hu, din cauza măsurilor necorespunzătoare de protecție a datelor de fond la DIGI, două baze de date care conțin date sensibile ale clienților au devenit ușor accesibile. Compania a aflat despre toate acestea de la un hacker etic, iar încălcarea securității a fost imediat raportată autorităților, cu care Digi a cooperat. În afară de baza de date de test care conține datele abonatilor, nicio bază de date pentru newslettere care conține nume și adrese de e-mail nu a fost protejată în mod adecvat. Baza de date de test a inclus, de asemenea, numele abonaților, locul nașterii, adresa de e-mail și numărul de telefon.

Decizia NAIH nu dezvăluie numărul exact de persoane vizate de incident, deoarece aceste informații au fost marcate ca un secret comercial, dar menționează că vulnerabilitatea a permis accesul potențial neautorizat la un număr mare de persoane vizate. Decizia sugerează că această cifră a fost semnificativă chiar și în raport cu populația maghiară totală.

Digi a raportat că nu există semne de acces real neautorizat la date, în afară de accesul hackerului etic. Hackerul etic a descărcat o singură linie din baza de date pentru a demonstra existența vulnerabilității în raportul ei. Autoritatea nu a contestat acest fapt.

Vulnerabilitatea se afla în sistemul de gestionare a conținutului open source de pe site-ul Digi. Conform deciziei, problema era cunoscută și erau disponibile patch-uri pentru remedierea acesteia. Digi a mai declarat că acestea nu fac parte din patch-urile oficiale și acesta este motivul pentru care acestea nu au fost actualizate pe site.

Digi însuși a raportat încălcarea datelor cu caracter personal autorității în termenul de 72 de ore și a încetat vulnerabilitatea instalând patch-ul relevant și ștergând baza de date de testare. Conform NAIH, DIGI a comis mai multe erori deoarece eroarea CMS-ului Drupal unde era stocata baza de date este cunoscută de 9 ani și a fost disponibil un update de securitate (patch), dar acesta nu a fost instalat de către DIGI. Circumstanța agravantă în impunerea amenzii a fost aceea că datele sensibile erau disponibile printr-o scăpare de securitate de o lungă perioada de timp.

NAIH a efectuat o anchetă între octombrie 2019 și decembrie 2019. Autoritatea a implicat un expert IT extern.

Amenda administrativă de 100 milioane HUF (aproximativ 290.000 EUR) este egală cu aprox. 0,2% din cifra de afaceri anuală a Digi din exercițiul financiar precedent. Suma a fost calculata in functie de dimensiunea bazei de clienți implicate și de poziția pe piață a furnizorului de servicii, precum și de lipsa criptării. Digi are dreptul de a face apel la decizie.

Abonează-te la newsletter și rămâi informat

Cu ce plecăm de aici?

  • Conformitatea GDPR nu este doar un exercițiu de documentare. Altfel spus, documentele singure nu te scapă de o amendă și nu te fac conform GDPR. Din decizia aplicată rezultă că Digi avea la dispoziție o documentare solidă de conformitate internă a datelor, inclusiv politici privind securitatea informațiilor. Acestea teoretic ar fi fost suficiente pentru a evita încălcarea datelor cu caracter personal. Cu toate acestea, se pare că punerea în aplicare practică a acestor politici și proceduri nu a fost suficientă. Concluziile deciziei și cuantumul amenzii susțin că aplicarea unor politici fără implementare reală nu poate salva operatorii de date de la amenzi administrative.
  • Efectul deciziei asupra programelor de tip bug-bounty. De asemenea, din decizie rezultă că, chiar dacă nu există furt real sau scurgere de date cu caracter personal, o vulnerabilitate gravă singură poate duce la o amendă administrativă ridicată. Autoritatea nu a contestat că nu există semne de furt de date sau de acces neautorizat la date. Pe baza faptelor raportate, hackerul etic a accesat o singură linie a bazei de date pentru a demonstra existența vulnerabilității în raportul ei trimis la Digi. Cu toate acestea, autoritatea nu a luat în considerare acest lucru ca un factor atenuant la impunerea amenzii. Decizia nu indică faptul că Digi avea un program de recompensare a hackerilor etici (cum au, spre exemplu, cei de la BitDefender), ceea ce înseamnă că hackerul etic a acționat din proprie inițiativă. Cu toate acestea, nu este clar dacă existența unui program oficial de recompensare a erorilor ar fi făcut vreo diferență.
  • Operatorii site-urilor web extrem de vizitate și orientate către clienți trebuie să pună în aplicare măsuri tehnice și organizatorice stricte pentru a asigura un nivel de securitate conform GDPR. NAIH a clarificat în decizia sa că, pentru site-urile web extrem de vizitate, operatorul trebuie să aplice un standard de securitate mai ridicat. Digi a subliniat că patch-urile, care erau disponibile, nu făceau parte din actualizări oficiale ale platformei de gestionare a conținutului open source. Cu toate acestea, NAIH a constatat că Digi și-a încălcat obligația neidentificând vulnerabilitatea, luând în considerare faptul că site-ul web este frecvent utilizat de clienți, stadiul tehnicii și costurile implementării unui sistem suficient pentru a evita o astfel de vulnerabilitate.
  • Contează gradul de penetrare al soluției open-source în piață atunci când luăm în calcul nivelul de securitate. În apărarea sa, Digi a menționat că accesul la aceste informații ar fi putut fi făcut doar de o persoană cu cunoștinte tehnice peste medie, cu o pregătire specifică în acest scop. Cu toate acestea, NAIH, în urma expertizei, a considerat că acest lucru nu este valabil, întrucât fiind o platformă de tip open-source frecvent folosită în piață, vulnerabilitatea ”putea fi cu ușurință descoperită” de o terță parte. De aceea a și fost reținută drept circumstanță agravantă.
  • Remedierea rapidă și raportarea corectă a încălcării datelor către autoritatea de supraveghere nu au fost o circumstanță atenuantă. Se pare că NAIH nu consideră raportarea la timp a încălcării și cooperarea deplină cu autoritatea ca un factor atenuant atunci când determină cuantumul amenzii. Conform deciziei aplicate, respectarea prevederilor GDPR privind raportarea incidentelor nu poate fi considerată ca un factor atenuant în sine. Pe de o parte, alți operatori de date ar putea lua în considerare să nu raporteze incidente în mod proactiv. Pe de altă parte, dacă autoritatea de supraveghere descoperă incidentul, este foarte probabil ca acest factor să fie printre primele elemente de pe circumstanțele agravante. Altfel spus, îndeplinirea unei obligații legale de raportare nu poate fi reținută ca o circumstanță atenuantă, dar lipsa raportării poate fi o circumstanță agravantă.
  • Faptul că un website este deținut pe o platformă gen open-source nu înseamnă că nu trebuie protejat. Indiferent de platforma pe care un operator de date o alege, aceasta trebuie actualizată cu ultimele patch-uri de vulnerabilitate.
  • Mediile de test trebuie de asemenea securizate și protejate. Dezvoltarea unor funcționalități presupune de multe ori medii de testare, până ce are loc lansarea efectivă. Aceste medii de testare trebuie supuse acelorași rigori de securitate ca și cum ar fi ”versiuni” live, în special atunci când conțin elemente de date cu caracter personal.
  • Mediile de test trebuie șterse după ce scopul a fost atins. În măsură în care mediile de test și depanare nu sunt șterse după ce este identificată vulnerabilitatea sau problema, se încalcă principiul limitării la scop, precum și principiul unei durate a stocării cât mai reduse. Mai mult, acest fapt a fost reținut și ca circumstanță agravantă de către NAIH.

Circumstanțe atenuante reținute

Potrivit deciziei, NAIH a reținut în sarcina Digi următoarele 2 circumstanțe atenuante:

  • faptul că nu a avut anterior un incident privind încălcarea prelucrării datelor cu caracter personal
  • faptul că Digi a recunoscut că baza de test în cauză ar fi trebuit ștearsă mai devreme

Decizia este disponibilă doar în limba maghiară pe site-ul autorității aici.

Sursele articolului: Bird & Bird, 24.hu, NAIH, Schmidt & Partners, Hungary News.


La avocatoo.ro oferim servicii de conformare GDPR croite pe afacerea ta prin optimizarea proceselor. Scrie-ne și hai să stăm de vorbă.