mjere nisu bile dovoljne /

AZOP kaznio A1 zbog hakerskog upada i krađe podataka 100.000 korisnika: 'Učinjeni su višestruki propusti'

Image
Foto: Shutterstock / Ilustracija

Haker koji je napao bazu podataka A1 bio je maloljetan i ucjenjivao ih je s 500 tisuća dolara

21.7.2022.
11:56
Shutterstock / Ilustracija
VOYO logo

Agencija za zaštitu osobnih podataka izrekla je kaznu od 2,15 milijuna kuna telekomunikacijskom operateru jer nisu poduzeli odgovarajuće mjere sigurnosti zbog čega je došlo do hakerskog napada i ugroženosti osobnih podataka čak 100 tisuća korisnika. Kako neslužbeno doznaje RTL, radi se o teleoperateru A1.

Podsjetimo, riječ je o slučaju koji se dogodio u veljači ove godine kada je maloljetni haker koji je kasnije uhvaćen na području Slavonskog Broda provalio u bazu podataka opratera i tražio da mu isplate 500 tisuća dolara u kriptovalutama kako ne bi objavio podatke korisnika na dark webu.

Tekst se nastavlja ispod oglasa

Nakon hakerskog napada, teleoperator A1 poslao je obavijest svima onima koji su oštećeni. Riječ je o najmanje 100 tisuća korisnika čiji su podaci poput OIB-a, imena i prezimena, adrese, broja telefona završili kod maloljetnog hakera.

U AZOP-u navode kako se provode određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u konkretnom slučaju one nisu bile dovoljne.

Tekst se nastavlja ispod oglasa
Image
U 23 SATA ISTJEČE ROK /

Haker koji je upao u A1 govori za RTL: 'Sedam su dana znali da su hakirani, ništa nisu poduzeli!'

Image
U 23 SATA ISTJEČE ROK /

Haker koji je upao u A1 govori za RTL: 'Sedam su dana znali da su hakirani, ništa nisu poduzeli!'

"Naime, voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, uključivo, ograničavanje pristupa, nadzor, izvješćivanje, pravovremeno reagiranje i uključivanje odgovarajućih korektivnih akcija u sustavu te izvršavanje propisanih organizacijskih mjera sadržanih u postojećim internim aktima te konačno i izmjena istih sukladno utvrđenjima u predmetnoj povredi. Za navedena kršenja, Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne sukladno članku 83. stavku 4. točke a), odnosno upravne novčane kazne do 10 000 000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće.

Isto tako, kao otegotnu okolnost Agencija nalazi u činjenici da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, a posebice nakon predmetne povrede, što je isto društvo propustilo učiniti", naveli su u AZOP-u.

Iz A1 Hrvatska su poručili da će naravno poštivati svaku pravomoćnu odluku regulatornog tijela. Ostatak njihovog odgovora prenosimo u cijelosti:

"No kaznu koja nam je određena smatramo potpuno neprikladnom i nerazmjernom te ćemo podnijeti žalbu Upravnom sudu Republike Hrvatske.

Tekst se nastavlja ispod oglasa

U A1 Hrvatska primjenjujemo napredne sigurnosne mjere zaštite informacijskih sustava koje se kontinuirano revidiraju i unaprjeđuju sukladno najboljim praksama. U slučaju radi kojega nam je određena višemilijunska kazna reagirali smo odmah po otkrivanju prvih znakova sumnje na nedopušten pristup podacima, trenutačno i bez odlaganja, te poduzeli sve korake kako bismo zaštitili naše korisnike. Nakon što je sa sigurnošću utvrđen incident, nadležna tijela su informirana u najkraćem mogućem roku, a navedeni incident nije imao nikakav utjecaj na rad usluga koje A1 pruža krajnjim korisnicima.

S obzirom na promptnu reakciju i tehničko-organizacijske mjere koje su bile implementirane, kao i činjenicu da do incidenta nije došlo zbog manjkavosti sigurnosnog sustava već isključivo uslijed ljudskog faktora, odnosno manipulacijom ranjivosti pojedinca s ciljem pristupa podacima, u A1 Hrvatska držimo da se ne može govoriti o propustima na strani kompanije. Riječ je pritom bila isključivo o setu osnovnih osobnih podataka koji su dostupni i kroz neke javne izvore te se njima ne može naštetiti korisnicima. Informacije o bankovnim karticama i računima niti u jednom trenutku nisu bile kompromitirane. Apsolutna zaštita nažalost ne postoji, zbog čega su kompromitacije informacijskih sustava gotovo svakodnevne i nema značajnije kompanije ili institucije koja se nije s njima suočila. U posljednje su vrijeme štetu od socijalnog inženjeringa pretrpjeli i neki globalni ICT divovi poput Microsofta i Samsunga.

Tekst se nastavlja ispod oglasa

Kao dio globalne ICT zajednice, u A1 Hrvatska primjenjujemo i neprestano unaprjeđujemo vlastite sigurnosne protokole usklađujući ih s najvišim svjetskim standardima i to ćemo nastaviti činiti i dalje", poručili su.

Tekst se nastavlja ispod oglasa
gospodin savršeni aus
Gledaj odmah bez reklama
VOYO logo