«Откуда не ждали»: Yahoo оштрафуют на ?250k за нарушение старых правил по работе с ПД +16


На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году. Рассказываем об этой ситуации.


/ Flickr / Stock Catalog / CC BY

Как так получилось


В 2014-м году злоумышленники взломали серверы Yahoo и похитили учетные данные полумиллиона пользователей, включая номера телефонов, даты рождения, пароли, вопросы для восстановления аккаунта и ответы на них. О краже стало известно после того, как человек под ником Peace, известный «сливом» данных пользователей Myspace и LinkedIn, начал открыто продавать базу Yahoo всего за 3 биткойна. Объявление появилось в Даркнете в 2016 году, однако злоумышленник заявил, что похитил часть данных еще в 2012-м и до этого продавал их в тайне.

В ходе расследования, к которому в том числе привлекли и ФБР, выяснилось, что Yahoo узнала о взломе сразу после случившегося (в конце 2014 года), но предпочла хранить молчание вплоть до сентября 2016. Согласно новому регулированию (GDPR), организации больше не смогут скрывать утечки от общественности так долго. Статьи 33 и 34 нового регламента обязывают компании уведомлять надзорные органы и владельцев ПД в течение 72 часов после обнаружения утечки. За несоблюдение этого правила GDPR предусматривает многомиллионные штрафы (статья 83, пункт 4).

В США тоже сократили дедлайн для уведомления. Например, в Колорадо с сентября этого года все организации будут обязаны сообщать об утечке данных в течение 30 дней (самый короткий срок по всем штатам). В 2017 году еще 8 штатов обновили политики уведомления об утечках данных. В среднем (в США) период уведомления об утечке данных составляет 45 дней.

В случае с Yahoo компания обвиняется в том, что она:

  • не смогла обеспечить сохранность данных 515 121 пользователей;
  • не привела процесс обработки ПД в соответствие с регламентами;
  • долгое время не сообщала об обнаруженных «дырах» и утечке.

В итоге в Управлении британского комиссара по информации решили, что Yahoo нарушила седьмое правило части первой DPA 1998, в котором говорится о «необходимости принять надлежащие технические и организационные меры для предотвращения несанкционированной или незаконной обработки персональных данных, а также их случайной утери, повреждения и удаления». Согласно разделу 55A DPA 1998, максимальный штраф, который нужно заплатить в таком случае — 500 тыс. фунтов стерлингов. Несмотря на то, что в Управлении учли смягчающие обстоятельства (указанные на стр. 12 в пункте 44 постановления по делу Yahoo, среди которых комиссар выделил сложность кибератаки, готовность компании сотрудничать с представителями власти и другие), от штрафа компании никуда не деться.

Похожие кейсы


Подобный случай произошел с британской компанией TalkTalk, которую взломали в октябре 2015 года. Злоумышленники получили доступ к личной информации 150 тыс. клиентов провайдера, в том числе к конфиденциальным финансовым данным 15 тыс. человек.

В качестве способа взлома преступники выбрали внедрение SQL-кода, а представитель Управления отметил, что способы защиты от атак такого типа уже давно разработаны. К тому же до крупного «слива» TalkTalk получали 2 «предупреждения» — атаки в июле и сентябре 2015 года, которые эксплуатировали аналогичную уязвимость. Поэтому в Управлении посчитали, что TalkTalk «могли бы предотвратить атаку, если бы предприняли основные шаги для защиты данных клиентов» и выставили компании штраф в размере ?400 тыс.

На такую же сумму оштрафовали и ритейлера Carphone Warehouse со штаб-квартирой в Лондоне. Жертвами стали 3 млн клиентов компании: киберпреступники получили доступ к их именам, адресам, номерам телефонов, датам рождения, семейному статусу и истории платежей по кредитным картам.

Причиной утечки данных оказался устаревший софт. В ходе расследования также выяснилось, что компания не проводила стандартное тестирование систем безопасности. Как и в случае Yahoo в Управлении британского комиссара по информации расценили такую халатность серьезным нарушением седьмого правила DPA 1998 и выставили Carphone Warehouse штраф близкий к максимальному.

Что дальше


Джеймс Диппл-Джонстон (James Dipple-Johnstone), заместитель комиссара по операционной деятельности ICO, в блог-посте, посвященном кейсу Yahoo, отмечает, что люди доверяют компаниям свои данные в надежде на то, что их личная информация не попадет в руки третьих лиц. Однако не все компании серьезно относятся к защите данных своих клиентов. В таких ситуациях за дело вынуждены взяться представители закона.?


/ Flickr / Willi Heidelbach / CC BY

Если организации не в состоянии обеспечить надлежащую защиту персональных данных своих клиентов, они могут искать работу где-то за пределами ЕС, считает заместитель комиссара.

В Управлении понимают, что кибератаки будут происходить и дальше, а методы киберпреступников станут еще более изощренными, однако требуют от организаций максимальных усилий по защите данных своих клиентов.

Как подчеркивает британский комиссар по защите информации Элизабет Денэм (Elizabeth Denham), «компании должны сделать что-то большее, чем просто закрыть дверь. Они должны повесить на нее замок и постоянно проверять его. Они также должны помнить, что бесполезно запирать дверь, оставляя ключ под ковриком».

P.S. О чем еще мы пишем в корпоративном блоге 1cloud:





К сожалению, не доступен сервер mySQL