Jan 12 / Agnese Boboviča

Ja gribi dzīvot mierā, gatavojies karam!

Polijas uzraudzības iestāde sodījusi ID Finance Poland par novēlotu rīcību, saistībā ar saņemto informācīju par sistēmas ievainojamību, piemērojot 1.069.850,00,00 PLN lielu GDPR sodu (aptuveni 250 tkst. EUR).

Proti, lai arī saskaņā ar preses relīzi, uzņēmums bija sodīts par to, ka novilcinājis pasākumu veikšanu, lai nodrošinātu personas datu drošību, nedaudz vairāk iepazīstoties ar pašu lēmumu pat man radās sajūta, ka atsevišķi uzņēmuma paskaidrojumi rada vairāk jautājumu nekā atbilžu, it sevišķi, lasot tos kopsakarā ar citiem paskaidrojumiem. Protams, visu nevar zināt un iespējams tur ir saskatāma kāda loģika, bet kā minēju - vairāk jautājumu, kā atbilžu.

Pārkāpums esot izveidojies tādejādi, ka veicot servera pārkonfigurāciju esot palicis atverts viens ports kā rezultātā, serverī esošie klientu dati ( 218 657 datu subjektu dati, kur vēlāk precizēts, ka ir bijuši tikai 140 699 datu subjektu dati) bijuši brīvi pieejami. Runājot par personas datu kategorijām - vārds, uzvārds, ģimenes stāvoklis, ienākumi, izglītības līmenis, informācija par darba devēju, bankas konta Nr.,utt. jeb - visi dati, ko aizpilda, vēloties saņemt aizdevumu, kā arī, parole reģistrācijai moneyman.pl platformā.
 
Sākotnēji informāciju par to, ka ir šāda brīva piekļuve serverī esošajiem personas datiem, uzņēmums saņēma no “neatkarīga kiberdrošības eksperta”. Pēc vairākām dienām, kad uzņēmums it kā bija risinājis šo jautājumu, piemēram, pārsūtot ziņojumu, tajā skaitā, aizsūtot paziņojumu apstrādātājam ar pavadtekstu "smart phishing", lai pārbauda vai attiecīgā informācija ir patiesa, nenoskaidrota trešā persona lejupielādēja serverī esošos datus un pašus datus izdzēsa. Pēc šīm darbībām uzņēmums saņēma e-pastu ar izpirkuma maksas pieprasījumu, lai atgūtu lejupielādētos un izdzēstos datus. Tikai šajā brīdī uzņēmums vērsās uzraudzības iestādē par personas datu aizsardzības pārkāpumu, lai gan jau sākotnēji neatkarīgais kiberdrošības eksperts bija pievienojis ekrānšāviņa uzņēmumus, kas atspoguļoja arī datu bāzē klientam pieškirto Nr. un citu identificējošo informāciju.

Kā norādījusi uzraudzības iestāde - jā, jāziņo uzraudzības iestādei par personas datu aizsardzības pārkāpumu ir tad, kad ir iegūts apliecinājums, ka tiešām personas datu aizsardzības pārkāpums ir noticis, bet attiecīgajā situācijā jau sākotnējā informācija bija ar lielu detalizācijas pakāpi, kā arī par atbilstošu rīcību nevar uzskatīt tādu rīcību kā attiecīgajā situācijā, kur problēmas cēloņi un to esamība tika skaidrota 10 dienas, kur atgādināšu, ka saskaņā ar Datu regulas(VDAR) nosacījumiem pirmatnējais ziņojums par personas datu aizsardzības pārkāpuma iesniedzams ne vēlāk kā 72 h laikā pēc uzzināšanas par personas datu aizsardzības pārkāpumu.   
Skaidrojot, ko nozīmē “uzzināja”, Eiropas datu aizsardzības kolēģija savā atzinumā (WP250) ir norādījusi:
“ Kad pārzinim kļūst “zināms”? 
Kā minēts iepriekš, VDAR prasīts, lai pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās paziņotu par pārkāpumu un, ja iespējams, ne vēlāk kā 72 stundas pēc tam, kad pārzinim tas kļuvis zināms. Tas var radīt jautājumu par to, kad var uzskatīt, ka pārzinim ir kļuvis “zināms” par pārkāpumu. DG29 viedoklis ir šāds: uzskatāms, ka pārzinim ir kļuvis “zināms”, ja šim pārzinim ir pietiekama pārliecība, ka ir radies informācijas drošības incidents, kura rezultātā tiek apdraudēti personas dati. 
Tomēr, kā norādīts iepriekš, VDAR prasa, lai pārzinis īstenotu visus attiecīgos tehniskās aizsardzības un organizatoriskos pasākumus, lai nekavējoties konstatētu pārkāpumu un ātri informētu par to uzraudzības iestādi un datu subjektus. Tajā noteikts arī, ka fakts, vai paziņošana izdarīta bez nepamatotas kavēšanās, būtu jānosaka, jo īpaši ņemot vērā pārkāpuma raksturu un smagumu, kā arī tā sekas un nelabvēlīgo ietekmi uz datu subjektu. Tas uzliek pienākumu pārzinim nodrošināt, ka viņam savlaicīgi kļūs “zināmi” visi pārkāpumi, ļaujot viņam veikt atbilstošus pasākumus. Kad tieši var uzskatīt, ka pārzinim ir “zināms” konkrētais pārkāpums, tas būs atkarīgs no konkrētā pārkāpuma apstākļiem. Dažos gadījumos jau no sākuma būs samērā skaidrs, ka ir noticis pārkāpums, bet citos gadījumos var būt nepieciešams zināms laiks, lai noteiktu, vai personas dati ir apdraudēti. Tomēr uzsvars būtu jāliek uz tūlītēju rīcību incidenta izmeklēšanā, lai noteiktu, vai tiešām ir noticis personas datu aizsardzības pārkāpums, un, ja tā ir, veikt koriģējošas darbības un paziņot, ja nepieciešams. “

Vēlākos paskaidrojumos uzņēmums norādīja, ka uzbrukums nav skāris pamata klienta datu bāzi un ka šajā serverī esot glabāti tikai dati, kuri izmantoti testēšanai. Tāpat, uzņēmums sniedzot paskaidrojumu norādīja, ka pamata datu bāzē paroles tiekot glabātas hašotas (Hash), bet tikai šajā datu bāzē  paroles esot bijušas brīvi pieejamas. Un šeit ir tā vieta, kur man pietrūkst loģikas, proti, ja ekspluatācijas datu bāzē paroles ir “nesalasāmas”, tad kā tas nākas, ka pēc tam “testa vidē” paroles ir kļuvušas “salasāmas”? Varētu domāt, ka tās nav īstas paroles, bet atkal - uzņemums veicot pasākumus risku mazināšanai datu subjektiem, bija atiestatījis visas klientu paroles drošības apsvēruma dēļ un… brum, brum [bungu skaņa]  sms un vēlāk e-pasta sūtījumos klientiem izsūtījis jaunās paroles.

Ko es ar to visu gribēju pateikt - jā, kiberuzbrukumu mēs neviens negaidam, lai gan uz tiem ir attiecināma paruna, ka, ja vēlies dzīvot mierā, gatavojies karam un gatavojoties šim karam tā pat nevar visus scenārijus izspēlēt, bet šis poļu gadījums rada sajūtu, ka, ja vispār par šiem jautājumiem nav domāts, tad sanāk staigāt pa vienu vienīgu mīnu lauku, kur ar labiem nodomiem ir bruģēts ceļš uz elli (lasīt- uzraudzības iestādes sodu). 

Lai gan, laikam nevar teikt, ka vispār nekas nebija domāts, jo sākotnējais “neatkarīgā kiberdrošības eksperta” e-pasta sūtījums bija nosūtīts arī uz datu aizsardzības speciālista e-pasta adresi, bet, cik var spriest no lēmuma, tāds tēls kā datu aizsardzības speciālists un tā iesaiste nekur neparādās….tāpat, no uzraudzības iestādes puses bez ievērības nav atstāts arī apstāklis, ka iekšējās instrukcijās it kā bija paredzēts, kādas situācijas ir uzskatāmas par personas datu aizsardzības pārkāpumu un rīcība šajās situācijas, kur faktiskā rīcība īsti neatbilda aprakstītajai rīcībai. Un visbeidzot interesantā sadaļa, kur uzraudzības iestāde argumentējot kāpēc tās ieskatā uzņēmums nebija rīkojies ar nepieciešamo rūpību un nevērīgi bija attiecies pret saņemto informāciju, bez ievērības nebija palicis finanšu direktora e-pasta sūtījums apstrādātājam ar pavadvēstules tekstu " Smart phishing", pārsūtot sākotnējo "neatkarīgā kiberdrošības eksperta" e-pasta sūtījumu par to, ka ir brīvi pieejami dati serverī. Viss tas kopā uzraudzības iestādei ir radījis pārliecību, ka saņemtās ziņas par  incidentu nav uztvertas nopietni.

Jāsaka, ka arī man praksē ir bijuši vairāki gadījumi, kur uzrodas labie samarieši jeb kā poļu lēmumā norādīts - neatkarīgs kiberdrošības eksperts, kur mēģinot risināt jautājumus, nākas atzīt, kā jā - neko daudz jau tu neizdarīsi, ja līdz šim nekas nav darīts. Piemēram, vienā gadījumā pat bija tik absurda situācija, ka apstrādātājs paziņoja, ka viņam tagad nav laika analizēt, kas tur īsti noticis un vispār šim jautājumam pieslēgšoties 2021.gada februārī (tikai daži mēneši pēc notikuma). Jā, var mēģināt teikt, ka Datu regula paredz, ka apstrādātājam jāsadarbojas, bet atkal - ja vienīgais dokuments, kas reglamentē savstarpējās attiecības ir rēķins, tad atkal ir vairāk jautājumu kā atbilžu.

***