DIGI - Jogászvilág получи 100 милиона глоби за защита на данните
По главното производство
Digi Távközlési és Szolgáltató Kft (DIGI) има инцидент за защита на данните, който е докладван на Националния орган за защита на данните и свобода на информацията (NAIH).
NAIH счете, че информацията, предоставена в уведомлението, не е достатъчна, за да се оцени дали DIGI е изпълнил изцяло задълженията си по GDPR.
Същността на инцидента със защитата на данните беше, че нападателят е използвал уязвимостта, достъпна чрез уебсайта www.digi.hu, и е имал достъп до личните данни на няколко заинтересовани страни, повечето от които са клиенти и абонати на DIGI и по-малка част от техния бюлетин абонати. Личните данни на клиентите и абонатите включват имената на субектите на данни, името на майката, мястото и времето на раждане, адреса, номера на личната карта (понякога личен номер), адреса на електронната поща, стационарния телефон и номера на мобилни телефони.
DIGI разбра за атаката, като я сигнализира на самия нападател, етичен хакер. Нападателят посочи, че е поискал само един ред от въпросната база данни като доказателство и че намеренията му са от помощен характер, така че обясни и техническия характер на грешката пред DIGI. След това DIGI коригира грешката.
Повечето данни, участващи в инцидента, са открити в база данни, създадена за целите на тестването. DIGI се опита да възстанови причината и целта на създаването на тестовата база данни чрез изследване на регистрационни файлове, системни предупреждения и кореспонденция. Регистрационните файлове и предупрежденията за предполагаемото време за качване обаче вече не бяха налични, така че не беше възможно да се възстановят ясно събитията. Имейл от тестов колега разкри, че в миналото е възникнала грешка, при която уеб сървърите не са могли да достигнат до сървърите на базата данни. В резултат на това наличността на абонатните данни е спряна.
DIGI приема, че за временно отстраняване на тази грешка данните са качени в тестовата база данни, за да се осигури наличността на абонатни данни. Източникът на данните, заредени в горната база данни за тестове, създадена във връзка с отстраняването на грешката, бяха личните данни, предоставени преди това от DIGI, като клиенти на мениджъра на данни. Клиентите предоставиха личната си информация онлайн или чрез други канали за продажба по време на различните си искове.
След коригиране на горната грешка, като по този начин се възстанови достъпът, данните, качени в тестовата база данни, трябваше да бъдат изтрити, но това не се дължи на пропуск. DIGI не знаеше за наличността на тези данни чрез горната уязвимост, докато атакуващият не съобщи за това. Достъпът до данните от нападателя не може да бъде открит от DIGI (напр. Въз основа на сигнализирането на мрежово защитно устройство), преди самият нападател да насочи вниманието си към него.
В допълнение към тестовата база данни, нападателят имаше и достъп до друга база данни зад уебсайта digi.hu, поддържан от DIGI, която съдържаше личните данни на абонатите за бюлетина на сайта. Въз основа на разследванията обаче не може да бъде открит неоторизиран достъп до конкретните лични данни, съхранявани в тази база данни, според DIGI. Поради уязвимостта обаче съществува и риск от достъп до тези данни.
Уязвимостта на неоторизиран достъп е причинена от уязвимост в системата за управление на съдържанието, използвана от DIGI, която е била използвана от нападател. Уязвимостта е известна повече от 9 години и е закърпена, но преди това не е била инсталирана от DIGI.
DIGI също така е информирала NAIH, че редовно проверява базите данни, които успява да предотврати обработката/съхранението на лични данни без конкретна цел, за да предотврати подобни инциденти за защита на данните. Той също така почиства базите данни от време на време, проверява тяхната сигурност и идентифицира приложенията и собствениците на данни, свързани с тях. Освен това, в резултат на по-нататъшно външно разследване, той ще обмисли получаването и експлоатацията на защитна стена от по-високо ниво.
Решението на NAIH
Оценка на инцидента
Съгласно член 4, параграф 12 от ОРЗД инцидентът за защита на данните представлява нарушение на сигурността, което води до неоторизиран достъп до обработваните лични данни. По този начин от гледна точка на концепцията връзката със събитието за сигурност може да се счита за ключов елемент. Във връзка с докладването на инциденти на DIGI и изясняването на фактите, може да се твърди, че нападателят е успял да осъществи достъп до тестовата база данни, създадена за тестване и отстраняване на неизправности, съдържаща лични данни, като е използвал уязвимостта, достъпна чрез уебсайта digi.hu, поддържан от DIGI. Следователно неоторизиран достъп до лични данни би могъл да се осъществи чрез използване на уязвимост на сигурността на ИТ, което доведе до инцидент за защита на данните.
Съгласно член 33, параграф 1 от ОРЗД, като общо правило, инцидентът за защита на данните трябва да бъде докладван на надзорния орган. Както в този параграф, така и в съображение 85 от GDPR се посочва, че администраторът може да се откаже от уведомлението само ако може да докаже, в съответствие с принципа на отчетност, че инцидентът със защитата на данните няма вероятност да застраши правата и свободите на физическите лица. Тъй като общото правило е да се съобщава за инцидента на властите, изключението от това също трябва да се разбира тясно.
Според съображение (75) от ОРЗД, ако обработването на данни, като съхранението на данни за клиенти на дребно и системни администратори в настоящия случай, може да доведе до кражба или злоупотреба с самоличност, то се счита за фундаментално рисковано. Данни, съхранявани в база данни, създадена от DIGI за целите на тестване и отстраняване на грешки (име на субекта на данни, име на раждане, име на майка, място и час на раждане, домашен адрес, номер на лична карта, личен идентификационен номер, имейл адрес, стационарен телефон и мобилен телефон номера, плащания и банкови данни), данни, свързани със заявената услуга) и кражба или злоупотреба с самоличност.