Okazja czyni złodzieja — a za stworzenie okazji można dostać od państwa srogą karę. Prezes Urzędu Ochrony Danych Osobowych (UODO) według naszych informacji nałożył ponad 2,8 mln zł (równowartość 0,66 mln EUR) kary na sklep internetowy Morele.net. Powód? W ubiegłym roku e-sklepowi nie udało się zapobiec atakowi hakerskiemu i wyciekowi informacji o klientach. Decyzja ma zostać oficjalnie ogłoszona w czwartek. To największa z kar nałożonych dotychczas przez prezesa UODO.
— Będziemy działać w ramach przysługujących nam dróg odwoławczych i zaskarżymy decyzję do Sądu Administracyjnego. Nie ma nakazu natychmiastowej zapłaty kary wskazanej przez urząd, stąd też ta sytuacja nie ma wpływu na bieżące działanie grupy. Nie zgadzamy się z oceną zebranego materiału dowodowego, dlatego chcemy, aby sprawa została ponownie rozpatrzona z udziałem niezależnych biegłych — mówi Radosław Stasiak, wiceprezes ds. IT w Morele.net.
Groźny wyciek
Problemy zaczęły się niecały rok temu, w październiku 2018 r. Właśnie wtedy „osoba nieuprawniona” uzyskała dostęp do bazy danych klientów Morele.net, a także dziesięciu powiązanych e-sklepów. Chodziło łącznie o około 2,2 mln kont użytkowników, a włamywacz mógł skopiować bazę imion, nazwisk, adresów e-mail, numerów telefonu i adresów doręczeń tych osób. Szybko to wykorzystał. W listopadzie do klientów Morele.net zaczęły trafiać esemesy informujące o konieczności dokonania dodatkowej opłaty w wysokości 1 zł i zawierające linki do fałszywych bramek płatności.
E-sklep poinformował o tym policję, zaczął ostrzegać klientów, a po wewnętrznym śledztwie zgłosił naruszenie do UODO. Wyciekły też bardziej szczegółowe dane dotyczące około 35 tys. klientów, którzy robili zakupy na raty. W tym przypadku uzyskano dostęp do numerów PESEL, serii i numerów dowodów tożsamości, danych o wykształceniu, źródłach i wysokości dochodu, wysokości zobowiązań w instytucjach finansowych itp.
— Włamanie zostało przez nas bezzwłocznie zgłoszone do UODO i na policję. Współpracowaliśmy także z organami ścigania w trakcie „negocjacji” z szantażystą/ szantażystami, realizując działania wskazane przez policyjny zespół ds. przeciwdziałania cyberprzestępczości. Działania te zostały odkryte przez szantażystów, którzy w ramach „zemsty” podjęli szereg innych czynności szkodzących spółce i jej wizerunkowi — mówi Radosław Stasiak.
W grudniu włamywacz publicznie pochwalił się szczegółami wycieku, a w kwietniu tego roku opublikował wykradzione dane w tzw. darknecie. Prokuratura w sprawie włamania prowadzi śledztwo, ale do tej pory nikogo nie zatrzymano.
Adekwatna ochrona
Tymczasem przepisy mówią, że „dane osobowe muszą być przetwarzane w sposób zapewniający bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem”, a „administrator wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji ochrony danych”. Prezes UODO uznał, że Morele.net z tego obowiązku się nie wywiązały i nie dobrały „skutecznych środków technicznych i organizacyjnych na etapie kontroli dostępu i uwierzytelniania”.
Poszło przede wszystkim o to, że dostęp wyznaczonych pracowników e-sklepu do panelu użytkownika, na którym można było uzyskać informacje o klientach, chroniony był tylko loginem i hasłem. Zdaniem UODO spółka mogła wdrożyć uwierzytelnienie wieloetapowe i w ten sposób zapobiec wyciekowi danych — lub przynajmniej znacznie ograniczyć jego prawdopodobieństwo. E-sklep chciał m.in. powołania biegłego, który miałby ocenić stosowane zabezpieczenia, ale UODO odmówił.
— Jesteśmy przekonani, że poziom zabezpieczeń na koniec poprzedniego roku spełniał standardy rynkowe. Padliśmy ofiarą przestępstwa, wobec którego standardy okazały się niewystarczające. Od tamtego czasu zainwestowaliśmy znaczne środki w przebudowę systemów bezpieczeństwa i konsekwentnie dążymy do najwyższych światowych standardów, czego wyrazem będzie otwarcie programu Bug Bounty [nagradzanie hakerów za wykryte i zgłoszone dziury w zabezpieczeniach — red.] w listopadzie tego roku — mówi Radosław Stasiak.
Urząd uważa też, że spółka nie przestrzegała odpowiednich procedur w trakcie zbierania, przetwarzania i — ostatecznie — usunięcia danych osobowych klientów, którzy kupowali w e-sklepie na raty. Teoretycznie za wszystkie te naruszenia w Unii Europejskiej można nałożyć na spółkę karę w wysokości do 20 mln EUR lub do 4 proc. globalnych obrotów. Urząd przy ustalaniu wysokości kary wziął pod uwagę to, że Morele.net szybko zwiększyły poziom zabezpieczeń, w toku postępowania „dobrze współpracowały”, a dodatkowo nie stwierdzono, by klienci doznali szkód majątkowych w wyniku wycieku danych. Prezes UODO uznał jednak, że w świetle wycieku danych ponad 2,2 mln klientów spółce należy się kara pieniężna, która będzie „skuteczna, proporcjonalna i odstraszająca”.
Sroga kara
Kara, którą nałożono na Morele.net, jest największą z nałożonych do tej pory przez UODO — i trzecią w ogóle w historii urzędu, który w połowie ubiegłego roku zastąpił Główny Inspektorat Ochrony Danych Osobowych. Pierwszą, w wysokości 0,94 mln zł, otrzymała w marcu wywiadownia gospodarcza Bisnode za to, że nie poinformowała w odpowiedni sposób wszystkich osób, które miała w bazach, o tym, że przetwarza ich dane. Spółka broniła się, że pobierała dane z publicznie dostępnych rejestrów, a wszystkim, którym mogła (np. przedsiębiorcom zarejestrowanym w Centralnej Ewidencji i Informacji o Działalności Gospodarczej) wysyłała e-maile, informujące o przetwarzaniu danych.
Drugą karę, w wysokości 55 tys. zł, prezes UODO nałożył w maju. Dostał ją Dolnośląski Związek Piłki Nożnej za to, że upublicznił w internecie szczegółowe dane osobowe sędziów, którym przyznano licencje sędziowskie. Dla Morele.net kara może być finansowo dotkliwa. W 2017 r. spółka miała 718,6 mln zł przychodów, o 27 proc. więcej niż rok wcześniej. Sprawozdania za ubiegły rok w eKRS jeszcze nie ma. Działalność jest co prawda rentowna, ale wielkich zysków na razie nie przynosi: w 2017 r. było to 0,6 mln zł na poziomie operacyjnym i 0,28 mln zł na poziomie netto. Głównym akcjonariuszem e-sklepu jest giełdowe MCI, które ma 51,3 proc. akcji.
Na koniec ubiegłego roku wyceniało ten pakiet na 121 mln zł. Znaczącymi udziałowcami są też założyciele i członkowie zarządu spółki Michał Pawlik i Radosław Stasiak, a także udziałowcy łotewskiego e-sklepu Pigu, z którym Morele.net połączyły się na początku tego roku. Na koniec ubiegłego roku wycena Morele. net sięgała 235 mln zł, a w niedawnym raporcie analitycznym Noble Securities podawało, że po połączeniu z litewską spółką cała grupa warta jest niespełna 0,5 mld zł.
OKIEM EKSPERTA
Na zagrożenia trzeba lepiej reagować
RADOSŁAW KACZOREK, szef zespołu cybersecurity w Grant Thornton Digital Drive
Sytuacji, w jakiej znalazła się ukarana firma, można było uniknąć. Oczywiście łatwo powiedzieć coś takiego, gdy szkoda się już wydarzyła, ale z punktu widzenia zarządzania cyberbezpieczeństwem sposób reakcji na incydent mógł być znacznie lepszy. Ataki się zdarzają, ale można i trzeba mieć odpowiednie procesy wykrywania incydentów, zarządzania sytuacją kryzysową i komunikacji z rynkiem w przypadku wycieku. Wiele symptomów ataku można wykryć u źródła i ograniczyć skutki w odpowiednim czasie. Zaatakowani często mówią, że problemu nie ma, potem uświadamiają sobie skalę problemu i zastanawiają się nad reakcją — a tymczasem włamywacz nie tylko ma dostęp do danych, ale też kontroluje systemy ofiary, co pogłębia skutki incydentu. W takich sytuacjach często dochodzi też do bezpośredniego kontaktu z atakującym, który żąda okupu. Na każde z tych zagrożeń należy mieć odpowiedź i działać w zaplanowany sposób. To jest zresztą problem systemowy. W polskich firmach średni czas wykrycia incydentów z zakresu cyberbezpieczeństwa to ponad 240 dni, brakuje procedur zarządzania bezpieczeństwem i czerpania z dobrych standardów — choćby tego, by po ataku przeanalizować to, jak do niego doszło, i opublikować wyniki analizy ku przestrodze innych firm.