Хабрахабр

«Откуда не ждали»: Yahoo оштрафуют на £250k за нарушение старых правил по работе с ПД

На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году. Рассказываем об этой ситуации.


/ Flickr / Stock Catalog / CC BY

Как так получилось

В 2014-м году злоумышленники взломали серверы Yahoo и похитили учетные данные полумиллиона пользователей, включая номера телефонов, даты рождения, пароли, вопросы для восстановления аккаунта и ответы на них. О краже стало известно после того, как человек под ником Peace, известный «сливом» данных пользователей Myspace и LinkedIn, начал открыто продавать базу Yahoo всего за 3 биткойна. Объявление появилось в Даркнете в 2016 году, однако злоумышленник заявил, что похитил часть данных еще в 2012-м и до этого продавал их в тайне.

Согласно новому регулированию (GDPR), организации больше не смогут скрывать утечки от общественности так долго. В ходе расследования, к которому в том числе привлекли и ФБР, выяснилось, что Yahoo узнала о взломе сразу после случившегося (в конце 2014 года), но предпочла хранить молчание вплоть до сентября 2016. За несоблюдение этого правила GDPR предусматривает многомиллионные штрафы (статья 83, пункт 4). Статьи 33 и 34 нового регламента обязывают компании уведомлять надзорные органы и владельцев ПД в течение 72 часов после обнаружения утечки.

Например, в Колорадо с сентября этого года все организации будут обязаны сообщать об утечке данных в течение 30 дней (самый короткий срок по всем штатам). В США тоже сократили дедлайн для уведомления. В среднем (в США) период уведомления об утечке данных составляет 45 дней. В 2017 году еще 8 штатов обновили политики уведомления об утечках данных.

В случае с Yahoo компания обвиняется в том, что она:

  • не смогла обеспечить сохранность данных 515 121 пользователей;
  • не привела процесс обработки ПД в соответствие с регламентами;
  • долгое время не сообщала об обнаруженных «дырах» и утечке.

В итоге в Управлении британского комиссара по информации решили, что Yahoo нарушила седьмое правило части первой DPA 1998, в котором говорится о «необходимости принять надлежащие технические и организационные меры для предотвращения несанкционированной или незаконной обработки персональных данных, а также их случайной утери, повреждения и удаления». Согласно разделу 55A DPA 1998, максимальный штраф, который нужно заплатить в таком случае — 500 тыс. фунтов стерлингов. Несмотря на то, что в Управлении учли смягчающие обстоятельства (указанные на стр. 12 в пункте 44 постановления по делу Yahoo, среди которых комиссар выделил сложность кибератаки, готовность компании сотрудничать с представителями власти и другие), от штрафа компании никуда не деться.

Похожие кейсы

Подобный случай произошел с британской компанией TalkTalk, которую взломали в октябре 2015 года. Злоумышленники получили доступ к личной информации 150 тыс. клиентов провайдера, в том числе к конфиденциальным финансовым данным 15 тыс. человек.

К тому же до крупного «слива» TalkTalk получали 2 «предупреждения» — атаки в июле и сентябре 2015 года, которые эксплуатировали аналогичную уязвимость. В качестве способа взлома преступники выбрали внедрение SQL-кода, а представитель Управления отметил, что способы защиты от атак такого типа уже давно разработаны. Поэтому в Управлении посчитали, что TalkTalk «могли бы предотвратить атаку, если бы предприняли основные шаги для защиты данных клиентов» и выставили компании штраф в размере £400 тыс.

Жертвами стали 3 млн клиентов компании: киберпреступники получили доступ к их именам, адресам, номерам телефонов, датам рождения, семейному статусу и истории платежей по кредитным картам. На такую же сумму оштрафовали и ритейлера Carphone Warehouse со штаб-квартирой в Лондоне.

В ходе расследования также выяснилось, что компания не проводила стандартное тестирование систем безопасности. Причиной утечки данных оказался устаревший софт. Как и в случае Yahoo в Управлении британского комиссара по информации расценили такую халатность серьезным нарушением седьмого правила DPA 1998 и выставили Carphone Warehouse штраф близкий к максимальному.

Что дальше

Джеймс Диппл-Джонстон (James Dipple-Johnstone), заместитель комиссара по операционной деятельности ICO, в блог-посте, посвященном кейсу Yahoo, отмечает, что люди доверяют компаниям свои данные в надежде на то, что их личная информация не попадет в руки третьих лиц. Однако не все компании серьезно относятся к защите данных своих клиентов. В таких ситуациях за дело вынуждены взяться представители закона.



/ Flickr / Willi Heidelbach / CC BY

Если организации не в состоянии обеспечить надлежащую защиту персональных данных своих клиентов, они могут искать работу где-то за пределами ЕС, считает заместитель комиссара.

В Управлении понимают, что кибератаки будут происходить и дальше, а методы киберпреступников станут еще более изощренными, однако требуют от организаций максимальных усилий по защите данных своих клиентов.

Они должны повесить на нее замок и постоянно проверять его. Как подчеркивает британский комиссар по защите информации Элизабет Денэм (Elizabeth Denham), «компании должны сделать что-то большее, чем просто закрыть дверь. Они также должны помнить, что бесполезно запирать дверь, оставляя ключ под ковриком».

P.S. О чем еще мы пишем в корпоративном блоге 1cloud:

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть