BLOG

Dowiedz się co jest naprawdę ważne.

Czy sąd utrzyma wysokość kary nałożonej na Morele.net?

przez

Ostatnie miesiące zarówno w Polsce jak i na całym świecie zostały zdominowane przez pandemię koronawirusa. W czasie pandemii nasze życie przeniosło się do internetu – tam pracujemy zdalnie, robimy zakupy i wykonujemy różne transakcje online. Przeniesienie wielu dziedzin życia do sieci sprawiło, że oszustwa internetowe znacznie się nasiliły, a przestępcy najczęściej próbują w coraz bardziej wyrafinowany sposób pozyskać nasze dane. Hakerzy dążą do pozyskania jak największej ilości informacji umożliwiających identyfikację osób – im więcej danych, tym większe spektrum możliwości ich wykorzystania. Większość cennych informacji, takich jak PESEL, numer i seria dokumentu tożsamości, dane kont bankowych i numery kart płatniczych, jest przechowywana na kontach internetowych chronionych hasłem, przez co hakerzy często skupiają się na odgadnięciu lub kradzieży danych logowania.

Najpoważniejszy jak dotychczas atak hakerski, w wyniku którego doszło do największego wycieku danych, miał miejsce na przełomie listopada i grudnia 2018 roku. Sklep internetowy Morele.net, działający w segmencie elektroniki użytkowej, padł ofiara ataku hakerskiego w wyniku, którego doszło do wycieku danych ponad 2 milionów 200 tysięcy jego klientów.

Jak wyglądał atak hakerski?

Formalnie sprawa zaczęła się od dokonanego przez Spółkę Morele.net („Spółka”) zgłoszenia naruszenia ochrony danych osobowych polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do bazy danych klientów prowadzonych sklepów internetowych (morele.net, hulahop.pl, amfora.pl, pupilo.pl, trenujesz.pl, motoria.pl, digitalo.pl, ubieramy.pl, meblujesz.pl, sklep-presto.pl, budujesz.pl).

W listopadzie 2018 r., użytkownicy Morele.net zaczęli otrzymywać wiadomości w których, podsyłano im link do fałszywej strony sklepu, na której mieliby dopłacić rzekomo brakujący 1 zł do rachunku za zakupy, jakich wcześniej dokonali właśnie w sklepie Morele.net. Spółka stwierdziła, że dane, którymi posługiwał się oszust, wyciekły z jej systemu, o czym powiadomiono PUODO oraz organy ścigania.

Osoba nieuprawniona uzyskała dostęp do tabel baz danych, w których przechowywane są zakodowane hasła (tzw. hasze), zaś sam dostęp nastąpił przez panel z uprawnieniami administratora. Atakującemu udało się względnie szybko złamać hasła użytkowników sklepu internetowego. Wykorzystał w tym celu automatyczny mechanizm, który polegał na generowaniu kolejnych haseł, tworzeniu z nich hasza i sprawdzeniu czy taki hasz znajduje się w skradzionej bazie, jeśli tak oznacza to, że wygenerowane hasło działa. Warto pamiętać, że znając adres poczty elektronicznej i hasło oraz wiedząc iż wielu ludzi używa tego samego hasła wszędzie – można dostać się do innych usług, w tym pewnie nawet poczty. A mając dostęp do poczty elektronicznej – można dalej resetować hasła.

20 grudnia 2018 roku na jednym z portali ujawniła się osoba, która dokonała ataku hakerskiego. Z przedstawionych przez nią informacji wynika, że prowadziła ona negocjacje z Morele.net w którym proponowała firmie „wyciszyć” sprawę oraz zobowiązała się wykazać błędy w ich zabezpieczeniu i użytkowaniu systemów informatycznych, oczekując w zamian zapłaty w kryptowalucie równowartości 225 tys. złotych lub 500 tys. w oficjalnej walucie. Haker nie doszedł do porozumienia z właścicielami firmy i opublikował w sieci bazę danych, którą udało mu się wykraść. Poza danymi takimi jak: imię, nazwisko, numer telefonu e-mail oraz hasła do kont, wyszło na jaw, że posiada on także dane takie jak nr. dowodu tożsamości, PESEL, informacje o sytuacji finansowej i kontakt do klienta. Dotyczyło to użytkowników, którzy podczas zakupów w sklepach grupy Morele.net wybrali opcję zapisania swoich danych z formularza ratalnego na poczet przyszłych wniosków kredytowych. Okazało się, że posiadając takie dane administrator naruszał przez to zasadę adekwatności Pomimo, że dane osobowe z wniosków ratalnych, były przetwarzane przez Morele.net na podstawie zgody osoby, której dane dotyczyły należy je traktować jako dane nadmiarowe. Dane osobowe nie mogą być zbierane i przechowywane na zapas, tj. na wypadek gdyby osoba, której dane dotyczą postanowi w przyszłości skorzystać z możliwości zakupu na raty. Przetwarzanie takich danych jest zbędne z punktu widzenia pierwotnego celu ich pozyskania. Dotyczy to zwłaszcza zbierania i przechowywania skanów dowodów osobistych, co jest w tym konkretnym przypadku, działaniem sprzecznym z prawem. W opinii PUODO, przepisy prawa pozwalają jedynie w określonych sytuacjach przetwarzać dane z dokumentów, a nie kopiować te dokumenty. Zgoda w przypadku posiadania danych w postaci skanów dowodów osobistych nie będzie stanowić właściwej podstawy prawnej przetwarzania danych osobowych.

Tydzień później haker oznajmił, że udało mu się złamać już ponad 350 tys. haseł użytkowników sklepu Morele.net. Ponadto okazało się także, że Morele.net nie zresetowała haseł użytkownikom — jedynie zachęcała ich do samodzielnej zmiany. Powyższe Spółka wskazała w komunikacie przesłanym do swoich klientów, wraz z informacją, iż w swojej bazie posiada dane osobowe około 1850 użytkowników, którzy zrezygnowali z posiadania konta (wszelkie nadmiarowe dane z oczywistych względów powinny zostać przez firmę skutecznie usunięte).

Administrator Danych powinien natychmiast zresetować hasła i przekazać ostrzeżenie, że jeśli ktoś posługuje się tym samym hasłem do innych kont to powinien je natychmiast zmienić. Poza zmianą haseł, Spółka powinna skasować aktualne tokeny sesyjne ponieważ zmiana hasła nie byłaby wystarczająca jeśli haker chcący przejąć dane był już zalogowana na dane konto. W przypadku ataku hakerskiego, warto zrobić przerwę techniczną żeby ustalić co się dzieje i do czasu wyjaśnienia odciąć bazę od sieci.

Postępowanie przed PUODO

14 stycznia 2019 roku, Prezes Urzędu Ochrony Danych („PUODO”) wydał komunikat, w którym poinformował, że przeprowadzone zostaną czynności zmierzające do oceny czy działalność firmy Morele.net odbywa się zgodnie z przepisami o ochronie danych. Zakresem kontroli objęto przetwarzanie danych osobowych klientów wymienionych sklepów internetowych, których administratorem jest Spółka. W tym celu, PUODO skierował do Spółki wezwanie do złożenia wyjaśnień, które zawierały m.in: opis prowadzonych przez Spółkę działań po zaistniałym incydencie, opis stosowanych przez Spółkę środków zabezpieczenia technicznego i organizacyjnego, opis procedury obsługi żądań osób, których dane dotyczą.

W odpowiedzi na wezwanie do złożenia wyjaśnień, Spółka oświadczyła, że jej zdaniem nie naruszyła obowiązków w zakresie zapewnienia poufności przetwarzanych danych osobowych, zaś stosowane zabezpieczenia i rozwiązania techniczne są adekwatne do zidentyfikowanych zagrożeń (są one badane i weryfikowane od lat, na bieżąco), czego dowodzą m.in. udokumentowana analiza procesu przetwarzania danych osobowych (w zakresie funkcjonalności zapisywania danych z wniosków ratalnych), stosowane rozwiązania techniczne, stałe monitorowanie ruchu sieciowego, a także reakcja na wyciek danych.

Decyzja PUODO

Na podstawie zgromadzonego materiału dowodowego PUODO ustalił, że w procesie przetwarzania danych osobowych Spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. PUODO nałożył na nią karę w wysokości ponad 2,83 mln zł (660 tys. euro). Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości.

W toku postępowania ustalono, że do naruszenia doszło także z uwagi na nieskutecznie monitorowanie potencjalnych zagrożeń. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary. Przy ustalaniu jej wysokości PUODO wziął jednak pod uwagę okoliczności łagodzące, jak np.: podjęcie przez Spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej Spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.

PUODO w uzasadnieniu do swojej decyzji bardzo wyraźnie podkreślił potrzebę regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, o czym wprost mówi art. 32 ust. 1 lit. d RODO. Uzasadniając swoje stanowisko, wskazał m.in. na normę PN – ISO/IEC 29115:2017-07, opracowanie NIST 800-63B czy dokument organizacji OWASP jako źródła wytycznych dla doboru właściwych środków. PUODO powołując się na ww. standardy i normy wskazuje, że jednym ze środków, który pozwala na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń jest stosowanie wieloetapowego uwierzytelniania. Należy w tym miejscu wspomnieć o wytycznych Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), która w ramach kontroli dostępu i uwierzytelniania dla systemów obejmujących dostęp do danych osobowych, rekomenduje stosowanie mechanizmu uwierzytelnienia dwuetapowego.

Kolejnym argumentem podniesionym przez PUODO był brak skutecznych środków monitorujących i umożliwiających reakcję na incydenty. Ilość danych pobranych przez hakerów była tak duża, że były one wysyłane przez 8 dni. Spółka miała więc świadomość, że ktoś wysyła dużą ilość danych poza firmę, ale nie wiedziała jak zareagować ani jak poradzić sobie z takim nietypowym zachowaniem w sieci. To zaniedbanie PUODO uznał za rażące właśnie z powodu niepodjęcia odpowiednich działań zaradczych przez administratora danych w celu uniemożliwienia dostępu do danych osobowych klientów, mimo że Spółka deklarowała monitorowanie systemu sieciowego i reagowania w systemie 24/7. Dodatkowo zarzucono spółce Morele.net początkowe ignorowanie wiadomości od klientów w sprawie wycieku danych, co przyczyniło się do późniejszych prób oszustwa poszkodowanych klientów, poprzez postawienie przez przestępców fałszywej bramki płatności elektronicznej w celu wyłudzenia pieniędzy.

Odnosząc się do wyjaśnień dotyczących naruszenia zasady zgodności z prawem, rzetelności i rozliczalności przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych, trzeba stanowczo podkreślić, że Spółka nie była w stanie wykazać od kiedy zbierała dane osobowe w celu ułatwienia wypełniania przyszłych wniosków i w tym zakresie nie przedstawiła oświadczeń o wyrażeniu zgody na takie przetwarzanie.

Decyzja PUODO, koncertuje się głównie na kwestii stosowania środków technicznych i organizacyjnych, a więc tych zagadnień, co do których przepisy ogólnego rozporządzenia o ochronie danych nie zawierają precyzyjnych wytycznych. Warto przypomnieć, że zgodnie z przepisami aktualnej ustawy o ochronie danych osobowych PUODO ma kompetencje do tego, aby wydawać rekomendacje określające środki techniczne i organizacyjne dedykowane do specyfiki danego rodzaju działalności. Zgodnie z art. 48 uodo (ustawy o ochronie danych z 10 maja 2018 r.), przy PUODO powinna działać Rada ds. Ochrony Danych Osobowych, która takie rekomendacje mogła by wydawać. Niestety do dnia dzisiejszego żaden spośród członków Rady do Spraw Ochrony Danych Osobowych, nie został powołany, jak również nie został ustanowiony regulamin Rady.

Odwołanie od decyzji PUODO

Z oceną zebranego materiału dowodowego nie zgadza się firma Morele.net, która złożyła odwołanie od decyzji PUODO do Wojewódzkiego Sądu Administracyjnego. Spółka, w toku postępowania przez PUODO, wniosła o powołanie niezależnego biegłego w celu oceny posiadanych zabezpieczeń technicznych, które zdaniem firmy były na dużo wyższym poziomie niż stosowane standardowo. Wniosek nie został przyjęty, zaś PUODO dokonał samodzielnej oceny stanu faktycznego. Uznał, że w każdym przypadku Spółka powinna przyjmować złożony system uwierzytelniania. Z taką argumentacją nie zgadzają się prawnicy reprezentujący Spółkę, wskazując, że narusza to zasadę neutralności technologicznej zaś sam PUODO nie przeprowadził analizy ryzyka, która by wykazała, że powinno być wdrożone dwustopniowe uwierzytelnianie.

Jakie z tego płyną wnioski?

Sposób komunikowania przez Morele.net okoliczności incydentu budził liczne kontrowersje, głównie ze względu na próby tuszowania tego faktu jak i bardzo dużą zwłokę w powiadomieniu osób, których dane osobowe były przedmiotem naruszenia. W tym także za brak świadomości, jakie dane i jak długo są przetwarzane w Spółce.

Atak hakerski jest dzisiaj wpisany w ryzyko z funkcjonowaniem w środowisku cyfrowym. Ofiarą cyberprzestępców może być każdy. Co więcej, sklepy online, platformy internetowe i różnej maści strony zlokalizowane w Polsce znajdują się na niechlubnej liście najczęściej atakowanych witryn. Zaistniała sytuacja na pewno powinna, zwrócić uwagę innych przedsiębiorstw na to czy ich bazy danych i sklepy internetowe są bezpieczne. Sami klienci powinni się teraz domagać ulepszania zabezpieczeń w serwisach, gdzie mają konta i robią zakupy, często za bardzo duże sumy pieniędzy. W końcu każdy z nas chce mieć jak największą pewność, że dane które podaje w Internecie są bezpieczne i że nie wpadną kiedyś w ręce hakera.

Ochrona danych osobowych jest procesem wymagającym ciągłego nadzoru – nie można przygotować polityk oraz procedur i odstawić ich na półkę. Zmieniające się ryzyka naruszenia praw i wolności osób, których dane przetwarzamy wymagają, by każdy administrator przeprowadzał regularne przeglądy stosowanych środków bezpieczeństwa – zarówno tych technicznych, jak i organizacyjnych. Jednym z obowiązków administratorów danych jest cykliczne przeprowadzanie analiz ryzyka pod kątem naruszenia praw i wolności podmiotów danych, których dane osobowe administrator przetwarza. Z decyzji dowiadujemy się, że Spółka dokonywała doraźnych analiz ryzyka dla poszczególnych procesów przetwarzania danych w sposób niesformalizowany. Nie sprawdzała potencjalnych ryzyk dla przetwarzanych danych, ale jedynie badała podatności znane już dla wykorzystywanych w procesie przetwarzania komponentów IT. Bazowanie jedynie na zidentyfikowanych już podatnościach aktywów oraz weryfikowanie skuteczności zastosowanych w celu wyeliminowania tych podatności zabezpieczeń, nie wyczerpuje zakresu analizy ryzyka, którą administratorzy danych zobowiązani są przeprowadzać. Analiza ryzyka powinna skutkować prawdziwym postepowaniem z ryzykiem i zastosowaniem dodatkowych zabezpieczeń lub rozwinięciem czy ulepszeniem istniejących w przypadku gdy są poważne przesłanki ku temu, aby stosowane już zabezpieczenia uznać za niewystarczające.

PUODO w uzasadnieniu swojej decyzji zwrócił uwagę, że zabrakło skutecznych środków monitorujących i umożliwiających reakcję na incydenty. Administrator Danych nie zapewnił wystarczającego nadzoru nad powierzona infrastrukturą. Jednym ze sposobów zabezpieczenia sieci komputerowej, którą Spółka mogła wykorzystać, było zastosowanie systemów IPS i IDS. System IPS służy rozpoznawaniu ataków i prób wykorzystania znanych podatności zanim dotrą one do serwerów aplikacyjnych. Pozwala to na identyfikowanie zagrożenia w czasie rzeczywistym i natychmiastową reakcję, która wcześniej została zdefiniowana przez administratora systemu. Rozpoznawanie opiera się na regułach dostarczanych przez zewnętrzne organizacje analityczne, które tworzą gotowe wzorce wykrywania ataków. W razie zagrożenia wkracza system IDS, którego główną rolą jest detekcja ataku i informowanie o tym administratora. Dzięki takiemu rozwiązaniu zapora jest nie tylko w stanie wykryć, ale i zablokować atak. Każda aplikacja uruchomiona w Internecie powinna przechodzić również okresowe testy penetracyjne, podczas których wykwalifikowani specjaliści próbują (tak jak w przypadku ataku), wykryć słabe punkty, który potencjalny włamywacz mógłby wykorzystać.

O tym, że zabezpieczenia były niewystarczające, świadczy zaś fakt, że doszło do kradzieży bazy danych. Testowanie i ocenianie skuteczności środków zabezpieczających przetwarzanie danych jest obowiązkiem administratora. Finał całej historii będzie miał miejsce prawdopodobnie we wrześniu br., kiedy Wojewódzki Sąd Administracyjny wyda wyrok, w którym oceni czy zabezpieczenia zastosowane przez Morele.net były wystarczające. Trudno jest odpowiedzieć na pytanie czy sąd podtrzyma wysokość kary nałożonej na Spółkę, ale jest mało prawdopodobne, aby kwota kary uległa drastycznemu zmniejszeniu.

Źródła: