Utrzymanie kary dla Morele.net
Wojewódzki Sąd Administracyjny (WSA) w Warszawie utrzymał karę ponad 2,8 mln zł, uznając zastosowane przez Morele.net. środki techniczne i organizacyjne za niewystarczające.
Co się stało?
Hakerzy przez panel jednego z pracowników włamali się do systemu sklepu internetowego morele.net. Do osób, które dokonały zakupów, hakerzy wysłali sms z linkiem o treści: “dopłać 1 zł do zamówienia”, tym klientom, którzy kliknęli w przesłany przez złodziei link ukradli pieniądze z kont. Pozostali klienci i użytkownicy sklepu otrzymali telefony i maile z podejrzanymi linkami.
Jaki był błąd?
Według UODO: w styczniu 2019 r. PUODO (Prezes Urzędu Ochrony Danych Osobowych) uznał, że środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. PUODO nałożył na Morele.net karę w wysokości 3 mln złotych.
Decyzja NIE BYŁA prawomocna.
Według WSA: we wrześniu 2020 r. Wojewódzki Sąd Administracyjny (WSA) uchylił skargę złożoną przez Morele.net na nałożoną uprzednio przez PUODO karę i uznał, że kradzież danych nastąpiła przez nieuprawniony dostęp do panelu pracownika i że jednoetapowa autoryzacja (poprzez login i hasło) była niewystarczająca, tym samym utrzymując nałożoną w styczniu 2019 karę w wysokości 2,8 mln złotych.
Jedno jest pewne…
Niestety nie ma systemu nie do obejścia i hakerzy zawsze znajdą sposób na kradzież danych. Miejmy nadzieje, że UODO oraz Sędziowie WSA mają to na uwadze.
Konieczne jest też opracowanie wytycznych dotyczących „wystarczających” środków techniczno–organizacyjnych. Przypadek Morele.net należy potraktować jako przestrogę i wskazówkę, aby starać się wprowadzać jak najwyższe standardy zabezpieczeń, dostosowywane zależnie od skali oraz kategorii przetwarzanych danych osobowych.
Warto już dziś pomyśleć o dwuetapowym uwierzytelnianiu dostępu do danych pracowników (środek techniczny) wraz z przeszkoleniem pracowników z zakresu bezpiecznego przetwarzania danych osobowych (środek organizacyjny), aby uniknąć kontroli i kary.
Co dalej? Będziemy na bieżąco informować…
0 komentarzy