logo-print

Ευθύνη διενεργούντος penetration testing στην παραβίαση δεδομένων

Πρόστιμο 800.000 ευρώ από τη Garante σε εταιρεία που εντόπισε επικίνδυνες ευπάθειες που θα οδηγούσαν, και εν τέλει οδήγησαν, σε παραβίαση δεδομένων και δεν ενημέρωσε άμεσα τον υπεύθυνο επεξεργασίας

Δίκαιο πληροφορικής - E έκδοση
Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Στις 22 Οκτωβρίου 2018 η τράπεζα UniCredit S.p.a. γνωστοποίησε στην ιταλική αρχή προστασίας δεδομένων Garante την παραβίαση δεδομένων που είχε συντελεστεί μετά από κυβερνοεπίθεση στο web banking portal της τράπεζας. Η κυβερνοεπίθεση αυτή είχε ως αποτέλεσμα να βρεθούν στα χέρια χάκερς προσωπικά δεδομένα πελατών της τράπεζας και ειδικότερα ονοματεπώνυμα, αριθμοί φορολογικού μητρώου και κωδικοί εισόδου στο portal, όχι όμως τραπεζικά δεδομένα αυτών.

Σύμφωνα με τη γνωστοποίηση που υποβλήθηκε με βάση το άρθρο 33 ΓΚΠΔ στην ιταλική αρχή, οι προσπάθειες για παράνομη είσοδο στα πληροφοριακά συστήματα της τράπεζας έλαβαν χώρα κατά το χρονικό διάστημα μεταξύ 11 και 20 Οκτωβρίου 2018 και ολοκληρώθηκαν επιτυχώς στις 21 Οκτωβρίου, όταν και η τράπεζα αντιλήφθηκε τον μεγάλο αριθμό προσπαθειών εισόδου στο web banking, με αποτέλεσμα να ενημερώσει μια ημέρα μετά τη Garante.

H Garante επέβαλε στην τράπεζα την υποχρέωση να ανακοινώσει την παραβίαση των δεδομένων στους πελάτες της που επλήγησαν από αυτή και στη συνέχεια επέβαλε διοικητικό πρόστιμο 2.8 εκατομμυρίων ευρώ για την απουσία επαρκών μέτρων ασφάλειας, η οποία επέτρεψε την παράνομη πρόσβαση στα πληροφοριακά της συστήματα.

Η τράπεζα ισχυρίστηκε, μεταξύ άλλων, πως ευθύνη για το περιστατικό έφερε και η εταιρεία NTT Data Italia S.P.A., στην οποία είχε αναθέσει ως εκτελούντα την επεξεργασία τον έλεγχο της ασφάλειας του web banking αυτής, η ιταλική αρχή όμως προτίμησε να μην εξετάσει τις τυχόν ευθύνες της εταιρείας, περιορίζοντας το ενδιαφέρον της αποκλειστικά στην ευθύνη της τράπεζας έναντι των υποχρεώσεών της βάσει των άρθρων 5 παρ.1στ και 32 ΓΚΠΔ.

Η προσέγγιση αυτή της Garante δεν αποσκοπούσε στην απαλλαγή του υπευθύνου επεξεργασίας από τυχόν δικές του ευθύνες. Αντίθετα, η ιταλική αρχή κράτησε ανοικτή την υπόθεση αυτή και εξέτασε στη συνέχεια αυτοτελώς τον ρόλο της NTT Data, επιβάλλοντας σε αυτή, με νέα απόφασή της, το πρόστιμο των 800.000 ευρώ.

Το κεντρικό στοιχείο της υπόθεσης αυτής – και αυτό που καθιστά την απόφαση εξόχως ενδιαφέρουσα – είναι πως η εταιρεία σε βάρος της οποίας καταλογίστηκε το βαρύτατο αυτό πρόστιμο δεν είχε αναλάβει γενικώς την υποστήριξη του web banking της τράπεζας, αλλά μόνο τη διενέργεια Penetration Tests & Vulnerability Assessments, προκειμένου να εντοπιστούν ευπάθειες και κενά ασφαλείας, που θα μπορούσαν να οδηγήσουν σε παράνομη είσοδο τρίτων στο εν λόγω σύστημα. Το πρόβλημα για την NTT Data ήταν πως το PT-VA που πραγματοποιήθηκε έδειξε σοβαρές ευπάθειες, τις οποίες την ίδια χρονική περίοδο εκμεταλλεύονταν κακόβουλοι τρίτοι, χωρίς η εταιρεία να ενημερώσει έγκαιρα την τράπεζα. Κρίσιμο ρόλο στην καθυστέρηση αυτή έπαιξε και το γεγονός πως η NTT Data είχε υπαναθέσει την κρίσιμη εργασία σε τρίτη εταιρεία, και δη χωρίς την άδεια της τράπεζας, με αποτέλεσμα να καθυστερήσει ακόμη περισσότερο την όποια αντίδρασή της

Ειδικότερα:

Η Garante ζήτησε από την NTT Data τις απόψεις της σχετικά με τον ρόλο της στο επίμαχο συμβάν, σύμφωνα με τους ισχυρισμούς της τράπεζας. Η εταιρεία ισχυρίστηκε πως διενήργησε penetration testing και vulnerability assessment στο mobile banking της τράπεζας από την 1η έως και τη 12η Οκτωβρίου 2018, ενώ αμέσως μετά και δη από τις 13 έως τις 22 του ιδίου μήνα, συνέταξε τις αναγκαίες εκθέσεις, τις οποίες και διαβίβασε στην τράπεζα.

Παράλληλα, η εταιρεία παρέσχε στην ιταλική αρχή και αντίγραφα των τεχνικών εκθέσεων που αυτή υπέβαλε, σύμφωνα με τις οποίες οι έλεγχοι που είχαν πραγματοποιηθεί από την υπεργολάβο εταιρεία True IT έδειξαν δέκα vulnerabilities, δύο εκ των οποίων (User Data Disclosure και  Lack of Reverse Bruteforce Protection) χαρακτηρίστηκαν ως υψηλού κινδύνου.

Περαιτέρω, η εταιρεία ισχυρίστηκε πως οι κρίσιμες ευπάθειες εντοπίστηκαν από την υπεργολάβο της στις 10 και 11 Οκτωβρίου, ενώ αυτή έλαβε γνώση αυτών στις 19 του ιδίου μήνα, όταν και ξεκίνησε να αναλύει τα συγκεκριμένα ευρήματα του ελέγχου, προκειμένου να ενημερώσει την τράπεζα στις 22 του μήνα, κατά σύμπτωση την ημέρα που γνωστοποιήθηκε από την τράπεζα η παραβίαση δεδομένων που είχε διαπιστωθεί μια ημέρα νωρίτερα.

Ως προς το μείζον ζήτημα της ευθύνης της, η εταιρεία προέβαλε τον ισχυρισμό πως δική της δουλειά ήταν ο εντοπισμός τυχόν ευπαθειών και κενών ασφαλείας και όχι ο έλεγχος για ενδεχόμενη παραβίαση δεδομένων, αφού άλλωστε το ένα δεν συνεπάγεται κατ’ ανάγκην το άλλο.

Η Garante δεν καλύφθηκε από τους ισχυρισμούς της N.T.T. Italia και την κάλεσε εκ νέου να παράσχει τις απόψεις της, αυτή τη φορά σε σχέση με τη διαφαινόμενη παραβίαση δύο απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων: τον ορισμό υποεκτελούντος την επεξεργασία χωρίς την άδεια του υπευθύνου επεξεργασίας, κατά παράβαση του άρθρου 28 παρ.2 ΓΚΠΔ, και την καθυστέρηση στην ενημέρωση του υπευθύνου επεξεργασίας σχετικά με περιστατικό παραβίασης δεδομένων, κατά παράβαση του άρθρου 33 παρ.2 ΓΚΠΔ.

Ως προς τη σχέση της με την UniCredit, η εταιρεία ισχυρίστηκε πως το συμφωνητικό για την ανάθεση των επίμαχων ελέγχων είχε συναφθεί με την Ubis, την οποία διαδέχθηκε η UniCredit, και όχι απευθείας με αυτή, με αποτέλεσμα να μην υπάρχει συμβατικός δεσμός μεταξύ των δύο εμπλεκομένων φορέων. Στο ίδιο πλαίσιο, η υπανάθεση συγκεκριμένων καθηκόντων στην True IT δεν απαιτούσε την άδεια της μη συμβληθείσας με αυτήν UniCredit, ενώ άλλωστε ήταν αναγκαία εν όψει των σύνθετων εργασιών που θα έπρεπε να πραγματοποιηθούν και του φόρτου εργασίας που αυτές δημιουργούσαν.

Περαιτέρω, η εταιρεία δικαιολόγησε την αβλεψία της στην ενημέρωση της τράπεζας στην πρόσφατη τότε έναρξη εφαρμογής του ΓΚΠΔ, ενώ ισχυρίστηκε πως κανείς εκ των εμπλεκομένων προσώπων δεν υπέστη ζημία από την ανάμειξη της υπεργολάβου της, δεδομένου ότι αυτή πραγματοποίησε τις συμφωνηθείσες εργασίες με επαγγελματισμό και συνέπεια, τα δε αποτελέσματα των εργασιών της ήταν αυτά που θα προέκυπταν και στην περίπτωση όπου οι έλεγχοι θα είχαν γίνει απευθείας από την ίδια. Παράλληλα, η εταιρεία ζήτησε την αποφυγή επιβολής κυρώσεων για την παραβίαση του άρθρου 28 ΓΚΠΔ, καθώς κάτι τέτοιο θα οδηγούσε σε απώλεια εμπιστοσύνης των πελατών της και θα επέφερε πλήγμα στην εμπορική φήμη της.

Ως προς την ευθύνη της στη μη ενημέρωση της τράπεζας για την παραβίαση δεδομένων, η εταιρεία ισχυρίστηκε ότι:

α. η εντολή που είχε αναλάβει ήταν να πραγματοποιήσει vulnerability assessment και penetration testing και τίποτε άλλο. Στο πλαίσιο εκτέλεσης της εντολής αυτής, με κανένα τρόπο δεν θα μπορούσε να εντοπίζει κυβερνοεπιθέσεις και παραβιάσεις δεδομένων,

β. η πρόσβαση στα πληροφοριακά συστήματα της UniCredit ολοκληρώθηκε στις 12 Οκτωβρίου 2018, όταν και η υπεργολάβος της True IT ολοκλήρωσε τους ελέγχους της και άρχισε να διαμορφώνει τις σχετικές εκθέσεις της. Η ημερομηνία αυτή απέχει σαφώς από την 21η Οκτωβρίου, όταν συνέβη η παραβίαση δεδομένων,

γ. το μοναδικό εύρημα που θα μπορούσε να εντοπιστεί ήταν κάποιο υψηλού κινδύνου vulnerability, το οποίο όχι μόνο εντοπίστηκε, αλλά και γνωστοποιήθηκε στην τράπεζα εγκαίρως. Το να εντοπίζεις ένα vulnerability που μπορεί να γίνει αντιληπτό από κακόβουλους τρίτους και να οδηγήσει στην παραβίαση δεδομένων είναι εντελώς διαφορετικό από το να διαπιστώνεις την παραβίαση δεδομένων καθεαυτή.

Η κρίση της ιταλικής αρχής

Η Garante δεν δέχθηκε τους ισχυρισμούς της εταιρείας και διαπίστωσε την παραβίαση αμφοτέρων των διατάξεων που είχε αρχικώς ερευνήσει.

Ως προς την ανάθεση εργασιών σε υποεκτελούντα την επεξεργασία, η ιταλική αρχή έκρινε πως αυτή τελέστηκε σε παραβίαση του άρθρου 28 παρ.2 ΓΚΠΔ, καθώς όχι μόνο έγινε χωρίς την ενημέρωση και άδεια του υπευθύνου επεξεργασίας, αλλά και κατά παράβαση της σχετικής ρήτρας που υπήρχε στη σύμβαση, η οποία ρητώς απαγόρευε την ανάμειξη τρίτων προσώπων στην  εκτέλεση των συμφωνηθεισών εργασιών.

Ως προς τη μη ενημέρωση του υπευθύνου επεξεργασίας σχετικά με το περιστατικό παραβίασης δεδομένων, η Garante έκρινε πως η εταιρεία όφειλε να έχει αντιληφθεί εγκαίρως την κυβερνοεπίθεση και να έχει ειδοποιήσει άμεσα την τράπεζα, ως εκ τούτου η αδράνειά της αποτέλεσε παραβίαση του άρθρου 33 παρ.2 ΓΚΠΔ.

Η Garante βάσισε την κρίση της αυτή στα εξής στοιχεία:

α. τα δύο vulnerabilities που αναγνωρίστηκαν ως υψηλού κινδύνου ήταν αυτά ακριβώς που εκμεταλλεύτηκαν οι χάκερς προκειμένου να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα των πελατών της τράπεζας.

β. Η υπεργολάβος True IT ήταν σε γνώση της παραβίασης δεδομένων από τη στιγμή που εντόπισε το User Data Disclosure vulnerability, ήτοι από τις 10 Οκτωβρίου 2018, καθώς ήδη από τη στιγμή εκείνη υπήρχε η εύλογη βεβαιότητα πως θα συντελείτο παραβίαση της εμπιστευτικότητας των δεδομένων. Ταυτόχρονα, ο εντοπισμός του vulnerability Lack of Reverse Bruteforce Protection την αμέσως επόμενη ημέρα σήμαινε πως όποιος εκμεταλλευόταν το πρώτο vulnerability θα μπορούσε να αποκτήσει πρόσβαση σε μεγάλης κλίμακας και όγκου προσωπικά δεδομένα.

γ. Η True IT ενημέρωσε την NTT Data για τα ως άνω ευρήματά της με καθυστέρηση, ήτοι στις 19 Οκτωβρίου 2018, όταν και της απέστειλε το draft report με τα αποτελέσματα των ελέγχων της. Η NTT Data, με τη σειρά της, δεν ενημέρωσε την τράπεζα παρά μόνο στις 22 Οκτωβρίου, ήτοι μια ημέρα αφότου η τράπεζα είχε ήδη διαπιστώσει την επίθεση  και είχε λάβει τα πρώτα τεχνικά και οργανωτικά μέτρα για τον περιορισμό της ζημίας από την παραβίαση των δεδομένων.

Με βάση τα ανωτέρω, η Garante παρατήρησε πως οι ενέργειες που ανατέθηκαν από την τράπεζα στην NTT Data εμπίπτουν στα μέτρα ασφάλειας του άρθρου 32 παρ.1δ΄ΓΚΠΔ, ήτοι στην «τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας». Παράλληλα, η ιταλική αρχή επεσήμανε πως, μολονότι ο υπεύθυνος επεξεργασίας διατηρεί την ευθύνη για την προστασία των προσωπικών δεδομένων, ο εκτελών την επεξεργασία επιτελεί καθοριστικό ρόλο, συμβάλλοντας, μεταξύ άλλων, στο να «συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία», όπως ρητώς προβλέπει το άρθρο 28 παρ.3 στ’ ΓΚΠΔ.

Στις ως άνω υποχρεώσεις του εκτελούντος την επεξεργασία εντάσσεται και η υποχρέωση του άρθρου 33 παρ.2 ΓΚΠΔ να «ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα», με την υποχρέωση αυτή – όπως έχει αναλυθεί και από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων – να αποτελεί καθοριστική παράμετρο στην υποχρέωση του υπευθύνου επεξεργασίας για έγκαιρη γνωστοποίηση του περιστατικού στην εποπτική αρχή.

Η υποχρέωση αυτή του εκτελούντος την επεξεργασία για ενημέρωση του υπευθύνου επεξεργασίας, παρατηρεί η Garante, διατηρείται ακέραια και στην περίπτωση όπου ο πρώτος χρησιμοποιεί υποεκτελούντες την επεξεργασία για τη διενέργεια πράξεων για λογαριασμό του. Παράλληλα, η υποχρέωση αυτή σημαίνει πως ο εκτελών την επεξεργασία δεν είναι αρμόδιος για την αξιολόγηση του κινδύνου από την παραβίαση δεδομένων, προκειμένου στη συνέχεια να ενημερώσει σχετικά τον υπεύθυνο επεξεργασία, αφού αυτό αποτελεί ευθύνη του τελευταίου. Αντίθετα, δουλειά του εκτελούντος την επεξεργασία είναι να επιβεβαιώνει το κατά πόσον έχει συμβεί παραβίαση δεδομένων και αμέσως μετά να τη γνωστοποιεί.

Στην προκείμενη περίπτωση και σύμφωνα με τα ανωτέρω, η NTT Data όφειλε να έχει ενημερώσει την τράπεζα για την παραβίαση δεδομένων ήδη από τις 11 και 12 Οκτωβρίου, όταν και εντοπίστηκαν οι ευπάθειες από την True IT.

Εάν το είχε κάνει αυτό η εταιρεία, θα έδινε στον υπεύθυνο επεξεργασίας τη δυνατότητα:

α. να προβεί άμεσα στη λήψη όλων των αναγκαίων μέτρων για την αποκατάσταση των ευπαθειών, γεγονός που θα είχε αποτρέψει την εκμετάλλευσή τους σε τυχόν κυβερνοεπίθεση,

β. να ελέγξει κατά πόσον τρίτοι είχαν ήδη εκμεταλλευτεί τις ευπάθειες,

γ. να εκπληρώσει με τον βέλτιστο δυνατό τρόπο τις υποχρεώσεις του βάσει των άρθρων 33 και 34 ΓΚΠΔ, απέναντι στην εποπτική αρχή και τα υποκείμενα των δεδομένων αντίστοιχα.

Καταληκτικώς, η ιταλική αρχή παρατήρησε πως η επιλογή του εκτελούντος την επεξεργασία να αναθέσει την εκτέλεση των δικών του υποχρεώσεων σε τρίτη εταιρεία έπαιξε καθοριστικό ρόλο στην καθυστερημένη ενημέρωση του υπευθύνου επεξεργασίας και άρα συνετέλεσε αρνητικά στη δυνατότητα του υπευθύνου επεξεργασίας να ενεργήσει άμεσα επί του προβλήματος.

Για τις ως άνω διαπιστωθείσες παραβάσεις των άρθρων 28 παρ.2 και 33 παρ.2 ΓΚΠΔ, η Garante επέβαλε στην NTT Italia πρόστιμο ύψους 800.000 ευρώ.

To πλήρες κείμενο της απόφασης είναι προσωρινά μη διαθέσιμο, μετά από αίτηση της UniCredit.

Η κληρονομική διαδοχή στο κτηματολογικό δίκαιο, 2024
Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

send