Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Decyzja UODO dotycząca ukarania Moreli ogromną karą za naruszenie RODO – rozważania w kontekście technicznym / analizy ryzyka IT

19 września 2019, 14:09 | Aktualności | komentarzy 29

Pełna treść decyzji dostępna jest tutaj. Całość to kopalnia interesujących informacji, skomentujemy kilka wątków. Bardzo istotnym elementem w kontekście nałożonej kary wydaje się ten fragment:

Jak wskazano w przyjętych podczas kontroli wyjaśnianiach, analiza ryzyka była robiona przez Spółę [UODO, poprawcie literówkę – przyp. sekurak] doraźnie dla poszczególnych procesów, w sposób niesformalizowany.

Analiza ryzyka IT to rzeczywiście potężne i przydatne narzędzie, co więcej na tym właśnie opiera się RODO/GDPR. Nie powinno być tak, że inwestujemy ile tylko się da środków i zabezpieczamy co tylko się da w drobiazgowy sposób. Nie tak działa biznes i nie jest to racjonalne (ilu z was widziało sytuację gdy po incydencje nagle wzrastają budżety na bezpieczeństwo, a później równie nagle są cięte? I tak w kółko).

Analiza ryzyka IT to w wielkim skrócie: identyfikacja zasobów, wskazanie zagrożeń (czyli potencjalnych problemów z bezpieczeństwem które mogą wystąpić) dla tych zasobów, wskazanie realnych zagrożeń (tj. podatności czy słabości), określenie prawdopodobieństwa wykorzystania podatności (to często nazywane jest „ryzykiem”) oraz związanej z tym straty.

Mam zasób z istotnymi danymi, zauważyłem sporo podatności, skutki potencjalnego incydentu są poważne – o, tutaj powinienem przeznaczyć sporo środków. Mam zasób istotny, ale z dostępem tylko dla dwóch osób, nie wykryłem podatności, system nie jest dostępny z Internetu – o, tutaj mogę przeznaczyć mniej. Mam system który nie przynosi mi zysku, zabezpieczenie jest drogie – rezygnuję z systemu (unikam ryzyka). To oczywiście tylko uproszczone przykłady.

W analizie ryzyka wyróżnia się tzw. ryzyko szczątkowe (tj. nigdy, nawet gigantycznymi środkami nie wyeliminujemy wszystkich możliwych problemów bezpieczeństwa. No dobra wyeliminujemy wyłączając wszystkie wtyczki do prądu ;-). Tu oczywiście mamy bardzo subtelne balansowanie – w branży lotniczej ryzyko katastrofy wszyscy chcą absolutnie zminimalizować, czasem jednak ten próg ryzyka się obniża

No dobrze, wracajmy na ziemię. Kto z Was zna większą firmę, która posiada zrealizowaną formalną analizę ryzyka dla wszystkich swoich systemów, która jest przy okazji racjonalna i aktualizowana?My, mimo naprawdę sporego doświadczenia w bezpieczeństwie nie znamy takiego przypadku. Oczywiście nie oznacza to że analiza ryzyka jest nic nie warta. Możecie podrzucić w komentarzach dwa słowa jak ją można wykonać (szczególnie w małych i średnich firmach). Nasze zdanie odnośnie tego tematu – tutaj.

No więc Morele wskazuje, że tego typu analizę ryzyka prowadziło:

Spółka posiadała zabezpieczenia, techniczne oraz organizacyjne, adekwatne do zidentyfikowanych zagrożeń, z uwzględnieniem warunków określonych w art. 24 oraz w art. 32 rozporządzenia 2016/679.

Co więcej spółka poprosiła o możliwość możliwość przedstawienia opinii biegłego:

Ponadto (…) pełnomocnik Spółki zwrócił się do Prezesa Urzędu Ochrony Danych Osobowych o: dopuszczenie i przeprowadzenie dowodu z opinii biegłego w zakresie bezpieczeństwa systemów informatycznych w celu: a) ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakterze działalności Spółki w 2018 r.; b) oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakterze działalności Spółki w 2018 r.; c) oceny, czy środki techniczne i organizacyjne stosowane przez Spółkę były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;

Prezes Urzędu Ochrony Danych Osobowych odmówił uwzględnienia wniosku Spółki o dopuszczenie i przeprowadzenie wniosku z opinii biegłego.

W naszej ocenie, działanie Moreli jest tutaj jak najbardziej racjonalnie – sprawdźmy w sposób niezależny czy zorganizowaliśmy wszystko sensownie (a nie zgodnie z zasadą inwestujmy w bezpieczeństwo ile się da, nie patrząc na koszty).

Z innych ciekawostek jest wskazywana również kwestia peaku w ruchu sieciowym podczas wykradania bazy:

W ocenie Prezesa Urzędu Ochrony Danych mimo zastosowania takiego rozwiązania Spółka nie była w stanie zareagować na nietypowe zdarzenie w systemie monitorującym polegającym zwiększonym przesyle danych.

Tutaj też można trochę się zastanowić. No dobrze mam wykryty, peak ruchu z mojej infrastruktury. Baza danych ma rozmiar paru GB, mam szybkie łącza, zanim zareaguję na takie zdarzenie to baza już została wykradziona. Za późno. Można bardziej aktywnie monitorować potencjalne incydenty (czyli nie tylko peaki w ruchu sieciowym ale wszelakie próby ataków i to na całą infrastrukturę). Tutaj wchodzimy w tematykę SOC-ów (spory koszt przy działaniu 24/7 i analizie zarówno anomalii jak i innych potencjalnych naruszeń). Tutaj chciałbym zobaczyć w akcji reakcję wielu SoCów, które blokują w czasie rzeczywistym peak ruchu z jednego z systemów (dajmy na to jest to standardowy ruch HTTPS). W tym kontekście warto również zauważyć, że brak monitorowania ruchu sieciowego na gateway (czy dokładniej brak reakcji na stosowną anomalię i to w czasie rzeczywistym) zostało uznane za „rażące zaniedbanie”:

na szczególnie naganną ocenę zasługuje przy tym okoliczność, iż Spółka, pomimo deklaracji monitorowania systemu sieciowego i reagowania w systemie 24/7 (dwadzieścia cztery godziny, siedem dni w tygodniu), nie stwierdziła w czasie rzeczywistym, tj. w dniach 07.10.2018 – 14.10.2018 r., zwiększonego ruchu na bramie sieciowej serwera i nie podjęła w tym czasie żadnych działań zaradczych, celem uniemożliwienia dostępu do danych około 2.200.000 (ok. dwóch milinów dwustu tysięcy) osób fizycznych, będących klientami Spółki. W tym stanie rzeczy, zaniedbanie Spółki należy uznać za rażące;

Wracając do Uzasadnienia, ciekawym wątkiem jest również ten fragment:

W stanie faktycznym przedmiotowej sprawy Spółka wywiązywała się z tego obowiązku częściowo weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu – na co wskazują audyty bezpieczeństwa funkcjonujących już systemów informatycznych służących do przetwarzania danych klientów Spółki […] . W ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka tym samym nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk.

Ten wątek można traktować różnie, np.: 1) Sprawdziliście systemy pod kątem znanych podatności ale zagrożeniem mogą być przecież te nieznane (np. 0-days). 2) może niekoniecznie dobrze został dobrany zakres zabezpieczeń vs. stan rzeczywisty (np. mamy super zabezpieczenia proceduralne, ale brak technicznych; albo przetestowaliśmy wszystkie nasze aplikacje, ale nie przetestowaliśmy sieci). Wybrzmiewa tutaj też wspominany wcześniej wątek ryzyka szczątkowego („Spółka wywiązywała się z tego obowiązku częściowo weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu”). Ten ostatni aspekt być może widoczny jest tutaj:

Spółka nie dopełniła obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku nieuprawnionego dostępu do danych osobowych jej klientów, (…) tym samym, poprzedzające wystąpienie naruszenia działania Spółki zmierzające do zapewnienia bezpieczeństwa przetwarzania danych należy uznać za nieskuteczne, albowiem nie przyczyniły się one do wyeliminowania ryzyka zaistnienia szkód;

Tutaj jeszcze raz warto przypomnieć raczej o dążeniu do minimalizacji ryzyka a nie jego całkowitym wyeliminowaniu.

Podsumowując: masa danych wyciekła z Moreli – absolutnie jest to niedobre. Dajcie nam większy system – w 99.99% z nich znajdziemy w nim podatności. Dajcie system DLP, pokażemy tonę obejść. Powiecie – potrzeba złotego środka. My go zwiemy analizą ryzyka IT, co jest gatunkiem rzadkim, niemal na granicy wyginięcia.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marcin

    Powinni im bardziej dowalić. To banda nieudaczników.

    Odpowiedz
    • Wszyscy są żądni krwi, to jasne. Ale ten post jest o trochę czymś innym (można nawet powiedzieć, że trochę w oderwaniu od Moreli :-)

      Odpowiedz
    • anarchista

      Biedny zfrustrowany marcin, moje dane też wyciekły z moreli i co? i nic.. nie rozumiesz kontekstu i zagrożeń dla IT w kontekście smrodo? za byle „pik” na bramie dowalą Ci gigantyczne kary.. nie wyobrażam sobie takiego monitorowania live, to nie NASA. Tak więc wszystkie audyty, kursy, zabezpieczenia … można sobie darować i płacić okupy niż mieć do czynienia z uodo.

      Odpowiedz
      • John

        NSA też miało wycieki. Przecież Sekurak napisał …daj mi system a znajdę obejście :) Nikt nigdzie nie jest bezpieczny :)

        Odpowiedz
    • Kleszcz

      Jeszcze większe dowalenie nie ma sensu bo dojdziemy do tego,że zgłoszenie incydentu będzie wiązało się z zamknięciem firmy. W takiej sytuacji zacznie się tuszowanie takich spraw a o to też nie chodzi ale z perspektywy przedsiębiorcy w przypadku wycieku to i tak brązie będzie koniec firmy. Wycieki były i będą ale lepiej o nich mówić niż je ukrywać. Moim zdaniem w ramach kary możnaby zobowiązywać winowajców do zwiększenia nakładów na bezpieczeństwo systemów,edukację pracowników i użytkowników a nie tylko dojenie firmy.

      Odpowiedz
      • Taka uwaga na boku apropos kary – kto wie czy to nie rozuchwali trochę atakujących. Będą mieli gotowy link do pokazania: płacić 100kpln, bo inaczej patrzcie – parę baniek poleci…

        Odpowiedz
        • Kleszcz

          Trafna uwaga …. „może się nie wyda”. Budżet się teraz zachłyśnie ale na dłuższą metę będzie jak zawsze Państwo nie pomaga tylko rzuca kłody pod nogi:(

          Odpowiedz
        • Borys Łącki

          Warto przypomnieć, że w mailach od szantażysty padło stwierdzenie, że lepiej zapłacić jemu niż później za RODO. Wychodzi na to, że miał rację ;)

          Odpowiedz
        • Sobiesław

          Firmy zawsze będą miały szansę przemyśleć! Kary finansowe z rozporządzenia to albo 20 milionów Euro albo 4% rocznego obrotu z roku poprzedzającego… No to co lepsze? Płacić haracz przestępcy i później MAKSYMALNY wymiar kary od Urzędu, bo przesłanek do obniżenia Urząd nie znajdzie (art. 83 RODO), a kontrola i tak się trafi. Czy może jednak pokazać swoją słabość, wskazać błędy popełnione i niedociągnięcia i zapłacić tylko „mandat” w porównaniu z możliwą maksymalną opłatą jaka zakłada RODO. Cwaniakowanie jest fajne i „cool”… Tylko, że w każdym przypadku kończy się poniesieniem maksymalnych strat!

          Odpowiedz
  2. Zerat

    „W stanie faktycznym przedmiotowej sprawy Spółka wywiązywała się z tego obowiązku częściowo weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu”
    To wygląda na klasyczne VA (może jakiś skaner podatności) dotyczące samego oprogramowania (hosting).
    Być może zabrakło pentestów/weryfikacji błędów na WWW (XSS,SQLi itd.)

    Odpowiedz
    • Pentesty właśnie piszą że były

      Odpowiedz
      • Zerat

        Ale chyba post-factum właśnie tylko…

        Odpowiedz
  3. a

    dane wyciekly wiec kara jest zasadna. jesli bedziemy oceniac na podstawie checi to w kazdym przypadku skonczy sie na przepychankach i udowadnianiu racji. jest tu jeszcze miejsce dla ubezpieczycieli, ktorych oferta powinna dostosowac sie do nowej sytuacji.

    Odpowiedz
    • Sankcje zapewne są konieczne, ale to trochę na zasadzie: przekroczyłeś prędkość na autostradzie o 20km/h – to fakt, choć nic się nie wydarzyło. To teraz do więzienia na 25 lat, bo przecież potencjalnie mogłeś kogoś zabić i nie dochowałeś staranności. Uzasadnienie? pal to licho. Ważne że popełniłeś wykroczenie :) To oczywiście mocno przejaskrawiony (celowo) przykład.

      Inny przykład bliżej naszego tematu – tutaj: https://sekurak.pl/65-000-zl-kary-rodo-za-niezabezpieczona-papierowa-liste-uczestnikow-sniadania/

      Odpowiedz
      • a

        dla mnie wyciek danych to juz jest wypadek. nie wiem, czy spowodowany przekroczeniem przepisow ale juz wypadek. bedzie sporo osob, ktore ucierpialy badz ucierpia na skutek tego wypadku. lagodne traktowsnie sprawcow nie jest dobre i wedlug mnie spowoduje tylko brak dbalosci o bezpieczenstwo.

        Odpowiedz
  4. gosc

    Mala rada.
    Jeśli chodzi o dane najbardziej ucierpieli Ci którzy wypełnili wnioski o raty. Ponieważ firmy są oblikowane do przechowywania danych przez 5 lat. To zbędne rzeczy np. owe wnioski, po skończonej transakcji można próbować przechowywać na zewnętrznych dyskach, oczywiście w firmowym sejfie :) A na koncie tylko nr. dysku i jakiś „nie wrażliwy” link do danych.
    Ci którzy nabrali się na SMS-y rady nie mam, zwykle jak ktoś dostaje dopłatę to pisze najpierw do sklepu z pytaniem o co chodzi.
    A więcej ciężko coś doradzić nie wiedząc jak ktoś dostał się do tych danych.

    Odpowiedz
  5. fog

    Wdrażanie u nas RODO zacznie się po uprawomocnieniu się tego wyroku(o ile sie utrzyma)…

    Odpowiedz
  6. Ro

    A co z wyciekiem z marca 2018 (ujawnienie) danych z Aero? Tam były ciekawsze dane (PESELe, nr dowodów osobistych).

    Odpowiedz
    • Adam

      RODO jest od maja

      Odpowiedz
  7. Piotr K.

    Morele zawdzięczam codzienną porcję spamu w ilości minimum 12 spamerskich e-maili. Już mnie to do szału doprowadza.
    Poziom niedbalstwa w naszym kraju w wielu obszarach jest przerażający, a finalnie obrywa szarak.

    Odpowiedz
  8. adrb

    Wskazywano również, że firma nie posiadała wymaganych zgód na przetwarzanie danych od użytkowników i kilka mniejszych uchybień w tym temacie. Mimo wszystko wygląda to trochę na akcję pokazową urzędników lub skok na łatwą kasę i dobrą premię.

    Skutki na pewno będą też dwojakie. Firmy owszem, zaczną większą uwagę zwracać na bezpieczeństwo, podejrzewam jednak że może spać ilość oficjalnie zgłaszanych incydentów ;)

    Odpowiedz
  9. SJS

    Jedna uwaga a propos analizy ryzyka wg RODO. Pamiętać należy, że jest ona wykonywana z nieco innej perspektywy niż typowa analiza ryzyka (np. zgodnie z ISO/EIC 27xxx). W przypadku ISO perspektywą jest bezpieczeństwo organizacji. Natomiast RODO to perspektywa osoby, której dane dotyczą i ryzyko naruszenia jej praw i wolności. W pewnym uproszczeniu można przyjąć, że:
    AR ISO < AR RODO.
    Jednak są sytuacje, gdzie występuje ryzyko z punktu widzenia osoby, ale dla organizacji już nie. I vice versa.

    Odpowiedz
  10. Rafał

    Jeśli chodzi o rozmiar kary, faktycznie ostra i z tym wiezieniem za przekroczenie predkosci to idealna anegdota, lecz…

    Za to co morele robi na rynku tj. wysyla uzywany towar jako nowy, albo kreci z gwarancjami uwazam, ze im sie nalezy i dobrze zrobi znikniecie z rynku = zrobienie miejsca czemus nowemu, xkom robi podobne numery, ale na mniejsza skale.

    Odpowiedz
    • gosc

      ” tj. wysyła używany towar jako nowy”.
      Chopie nie wiem o czym gadasz.
      Ale gdyby Ci się trafiło to mogłeś zwrócić, a nie robić problemy teraz.
      Kupowałem zarówno pogwarancyjny jak i nowy i nie widziałem problemu. Raz się tylko zdarzyło ze nie było nawet taśmy morele, ale bylem świadom ze mogę zwrócić i sprzęt był nowy wiec nie było problemu, zwłaszcza ze oryginalna taśma to nie wymóg.
      Nawet prawo broni konsumenta przez 14 dni od dostawy, tylko trza znać swoje prawa i czytać ostrzeżenia.
      Juz nie wspominam o „Januszach oszczędności” które to prawo wykorzystują i kupują, używają i potem zwracają.
      jak i w normalnym sklepie gdzie taka możliwość czasami jest.
      Takie urządzenia zwykle są bez zabezpieczeń wiec je łatwo poznasz w sklepie. Dlatego zazwyczaj takie sprzęty są w promocji i zazwyczaj, choć może nie zawsze klienci są ostrzegani, ale jeśli pisze ze z czegoś tam , to znaczy ze mogło być używane.
      No i masz prawa konsumenta i i rzecznika konsumenta i piszesz do niego jak coś. Moj kolega to wykorzystał w sklepie stacjonarnym gdy okazało się ze się pomylił i udało mu się. Bo niektóre sklepy „stacjonarne” nie przyjmują zwrotów. Teraz sklep ma problem bo musi to sprzedać komuś innemu.

      Odpowiedz
    • MARCIN

      Polemizowałbym z twierdzeniem, że kara wysoka. Spójrzcie sobie jakie obroty ma Morele. Mogli dostać kilkadziesiąt razy większą.

      Odpowiedz
  11. Marcin

    Na pewno daleko mi do stawania po stronie morele. Ale czytając ten sądowy bełkot, można wypunktować następujące:
    – „nietypowe zdarzenie w systemie monitorującym polegającym zwiększonym przesyle danych”, co to znaczy zwiększonym? jakieś konkretne wartości o ile zwiększonym etc, bo np jeżeli wyleciały dane 2mln userów, zakrąglająć tabela z tyloma rekordami w oparciu o własne doświadczenia to jakieś 400MB i naprawdę jak ktoś pociągnie 400MB danych to jest taki znaczny przyrost, dla takiego serwisu?
    – bardziej by należało wypunktować brak monitoringu np. baz pod kątem takich grubych bezwarunkowych kwerend etc.
    – „weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu”, a rozumiem że spółka miała skupować 0-day-e na czarnym rynku, co za bełkot
    – „zwiększonego ruchu na bramie sieciowej serwera”, a może zwiększonego ruchu na drzwiach od stodoły?

    Odpowiedz
  12. Paweł

    Nie znam szczegółów sprawy ale kilka spostrzeżeń nasuwa się mimowolnie:
    1. Wysokość kary może mieć pozytywny wpływ na zabezpieczanie systemów i danych. Koszt zabezpieczeń co do zasady nie powinien być większy niż potencjalna strata. UODO podnosi poziom potencjalnej straty więc i nakłady na szacowanie ryzyka i stosowane zabezpieczenia będą mogły wzrosnąć.

    2. Samo szacowanie ryzyka jest *przereklamowane*. W małych systemach niewiele wnosi a dużych można się nie doczekać wyników.

    3. IMHO, kluczem do bezpieczeństwa naszych danych nie powinno być wyłącznie szacowanie ryzyka lecz dzielenie się wiedzą z incydentów, która musi być uwzględniana w kolejnych cyklach szacowania ryzyka. Po takim incydencie jak w Morele, jeden z CSIRTów powinien opracować w miarę szczegółowy opis wskazujący jakie zabezpieczenia zawiodły, na jakim poziomie ustalono ich skuteczność, jak wyglądał scenariusz materializacji ryzyka i jakie można wprowadzić dodatkowe zabezpieczenia. Pytanie tylko czy powstanie taki raport (może ju

    Odpowiedz
  13. Andy

    „W analizie ryzyka wyróżnia się tzw. ryzyko szczątkowe (tj. nigdy, nawet gigantycznymi środkami nie wyeliminujemy wszystkich możliwych problemów bezpieczeństwa. No dobra wyeliminujemy wyłączając wszystkie wtyczki do prądu ;-).”

    No właśnie że nie – zawsze można fizycznie ukraść serwer z danymi.

    Odpowiedz
    • To przenośnia :) W analizie ryzyka jest takie pojęcie jak „uniknięcie ryzyka”.

      Odpowiedz

Odpowiedz