Хакерска атака, довела до изтичането на база данни на немски уебсайт с около 808 000 имейл адреса и над 1,8 милиона потребителски имена и пароли, стана причина за налагането на първата глоба по параметрите на европейския регламент GDPR в Германия. Санкцията е в размер на 20 000 евро и е наложена от органа за защита на данните в Баден-Вюртемберг.
Онлайн платформата Knuddels.de, известна в Германия като място за запознанства и флирт, преживя сериозна хакерска атака през юли тази година. След това откраднатите от хакерите данни бяха публикувани онлайн и то в обикновен четим формат.
През лятото служител на Knuddels.de съобщи, че това нарушение на киберсигурността е засегнало всички потребители, които на 20 юли 2018 г. са имали съществуващ акаунт за услугите на платформата или потребителско име за чат.
След това друг служител на компанията публикува пост в социална мрежа, че за 330 000 от имейл адресите е потвърдено, че са реални и са изтекли. Служителят твърдеше също и че след като от Knuddels са научили за изтичането на данните в Pastebin и Mega Cloud Storage, са подобрили мерките за сигурност, предупредили са потребителите и са сменили паролите им.
Покрай скандала с тази хакерска атака обаче стана ясно, че уебсайтът не прилага никакъв вид защита на чувствителна информация, каквато са паролите, например, и ги съхранява в обикновен четим некриптиран текст.
Наложената на Knuddels.de глоба е първата в Германия, издадена съгласно Общия регламент за защита на данните на Европейския съюз GDPR, който влезе в сила през май тази година.
Нека ви припомним, че при инциденти с киберсигурността GDPR предвижда глоби в размер на 20 милиона евро или 4% от годишния приход от предходната финансова година, в зависимост от това коя сума е по-висока, но и по преценка на сериозността на нарушението и вината на компанията.
При изчисляването на санкцията се взима предвид и броя на засегнатите лица, естеството на нарушението, какви действия са предприети след това за ограничаване на щетите, сътрудничеството с надзорния орган, превантивните мерки, протоколите за нарушението, както и уведомяването на правоприлагащия орган по защита на данните.
Видимо е, че Knuddels.de се е погрижил за почти всички изисквания на GDPR, но явно не е бил съвсем в съотвествие с европейския регламент за защита на данните, за да се спаси от санкция. Компанията не е спазила нормите за сигурност на данните, посочени в член 32-а точка) на GDPR, където са засегнати псевдонимизацията и криптирането на личните данни на потребителите.
Според германските власти за защита на данните Knuddels.de е успял да докаже положените усилия за прозрачност, сътрудничество и бързо подобряване на мерките за сигурност.
Държавният комисар по защитата на данните и свободата на информацията (LfDI) в Баден-Вюртемберг Щефан Бринк коментира по отношение на санкцията, че управляваната от него институция не участва в конкурс за възможно най-високи глоби, а крайната цел е да се подобри неприкосновеността на личния живот и сигурността на данните за потребителите.
На пръв поглед Knuddels са само плеснати през ръцете с тази изненадващо ниска глоба, но от друга страна трябва да обърнем внимание, че това не е единствената последица от тази хакерска атака. Компанията е влязла в непредвиден и сериозен финансов свръхразход, за да бъдат поправени софтуерните уязвимости на уебсайта и да се погрижат това сериозно нарушение на киберсигурността на данните да има колкото е възможно по-минимално въздействие върху потребителите му. Всички тези действия Knuddels е успял да извърши в продължение на последните няколко седмици, което е постижение, а и е трябвало да приложи допълнителни мерки за сигурност в координация с властите.
Ако Knuddels беше успял да се приведе изцяло в съответствие с изискванията на GDPR обаче, в момента нямаше да бъде изправен пред тези непланирани подобрения на сигурността, довели до значителна финансова тежест, но и нямаше да понесе публичния срам да влезе в новините като първата глобена по GDPR компания в Германия. Ето защо, AMATAS ви напомня, че отговорността да поддържате доброто ниво на киберсигурността на събираните и съхранявани от фирмата ви данни е единствено и лично ваша отговорност. Подценяването на киберзаплахите днес може да нанесе непоправими финансови и имиджови щети на всяка фирма, независимо от нейния мащаб.
На фона на последните новини обаче, не можем да не си зададем въпроса – кой ли ще бъде първият глобен по GDPR в България?
Снимка: Knuddles.bg
