- PVSM.RU - https://www.pvsm.ru -

«Откуда не ждали»: Yahoo оштрафуют на £250k за нарушение старых правил по работе с ПД

На днях Управление британского комиссара по информации оштрафовало Yahoo за несоблюдение «Data Protection Act» от 1998 года. Поводом стала утечка персональных данных 500 тыс. граждан Великобритании, произошедшая в 2014 году. Рассказываем об этой ситуации.

«Откуда не ждали»: Yahoo оштрафуют на £250k за нарушение старых правил по работе с ПД - 1 [1]
/ Flickr / Stock Catalog [2] / CC BY [3]

Как так получилось

В 2014-м году злоумышленники взломали серверы Yahoo и похитили учетные данные полумиллиона пользователей, включая номера телефонов, даты рождения, пароли, вопросы для восстановления аккаунта и ответы на них. О краже стало известно [4] после того, как человек под ником Peace, известный «сливом» данных пользователей Myspace и LinkedIn, начал открыто продавать базу Yahoo всего за 3 биткойна. Объявление появилось в Даркнете в 2016 году, однако злоумышленник заявил, что похитил часть данных еще в 2012-м и до этого продавал их в тайне.

В ходе расследования, к которому в том числе привлекли [5] и ФБР, выяснилось [6], что Yahoo узнала о взломе сразу после случившегося (в конце 2014 года), но предпочла [7] хранить молчание вплоть до сентября 2016. Согласно новому регулированию (GDPR), организации больше не смогут скрывать утечки от общественности так долго. Статьи 33 [8] и 34 [9] нового регламента обязывают компании уведомлять надзорные органы и владельцев ПД в течение 72 часов после обнаружения утечки. За несоблюдение этого правила GDPR предусматривает многомиллионные штрафы (статья 83 [10], пункт 4).

В США тоже сократили дедлайн для уведомления. Например, в Колорадо [11] с сентября этого года все организации будут обязаны сообщать об утечке данных в течение 30 дней (самый короткий срок по всем штатам). В 2017 году еще 8 штатов обновили политики уведомления об утечках данных. В среднем (в США) период уведомления об утечке данных составляет 45 дней.

В случае с Yahoo компания обвиняется в том, что она:

  • не смогла обеспечить сохранность данных 515 121 пользователей;
  • не привела процесс обработки ПД в соответствие с регламентами;
  • долгое время не сообщала об обнаруженных «дырах» и утечке.

В итоге в Управлении британского комиссара по информации решили, что Yahoo нарушила седьмое правило части первой DPA 1998, в котором говорится о «необходимости принять надлежащие технические и организационные меры для предотвращения несанкционированной или незаконной обработки персональных данных, а также их случайной утери, повреждения и удаления». Согласно разделу 55A DPA 1998, максимальный штраф, который нужно заплатить в таком случае — 500 тыс. фунтов стерлингов. Несмотря на то, что в Управлении учли смягчающие обстоятельства (указанные на стр. 12 в пункте 44 постановления [12] по делу Yahoo, среди которых комиссар выделил сложность кибератаки, готовность компании сотрудничать с представителями власти и другие), от штрафа компании никуда не деться.

Похожие кейсы

Подобный случай произошел [13] с британской компанией TalkTalk, которую взломали в октябре 2015 года. Злоумышленники получили доступ к личной информации 150 тыс. клиентов провайдера, в том числе к конфиденциальным финансовым данным 15 тыс. человек.

В качестве способа взлома преступники выбрали внедрение SQL-кода, а представитель Управления отметил [13], что способы защиты от атак такого типа уже давно разработаны. К тому же до крупного «слива» TalkTalk получали 2 «предупреждения» — атаки в июле и сентябре 2015 года, которые эксплуатировали аналогичную уязвимость. Поэтому в Управлении посчитали [14], что TalkTalk «могли бы предотвратить атаку, если бы предприняли основные шаги для защиты данных клиентов» и выставили компании штраф в размере £400 тыс.

На такую же сумму оштрафовали [15] и ритейлера Carphone Warehouse со штаб-квартирой в Лондоне. Жертвами стали 3 млн клиентов компании: киберпреступники получили доступ к их именам, адресам, номерам телефонов, датам рождения, семейному статусу и истории платежей по кредитным картам.

Причиной утечки данных оказался [16] устаревший софт. В ходе расследования также выяснилось, что компания не проводила стандартное тестирование систем безопасности. Как и в случае Yahoo в Управлении британского комиссара по информации расценили [17] такую халатность серьезным нарушением седьмого правила DPA 1998 и выставили Carphone Warehouse штраф близкий к максимальному.

Что дальше

Джеймс Диппл-Джонстон (James Dipple-Johnstone), заместитель комиссара по операционной деятельности ICO, в блог-посте, посвященном кейсу Yahoo, отмечает [18], что люди доверяют компаниям свои данные в надежде на то, что их личная информация не попадет в руки третьих лиц. Однако не все компании серьезно относятся к защите данных своих клиентов. В таких ситуациях за дело вынуждены взяться представители закона.


«Откуда не ждали»: Yahoo оштрафуют на £250k за нарушение старых правил по работе с ПД - 2
/ Flickr / Willi Heidelbach [19] / CC BY [3]

Если организации не в состоянии обеспечить надлежащую защиту персональных данных своих клиентов, они могут искать работу где-то за пределами ЕС, считает заместитель комиссара.

В Управлении понимают, что кибератаки будут происходить и дальше, а методы киберпреступников станут еще более изощренными, однако требуют от организаций максимальных усилий по защите данных своих клиентов.

Как подчеркивает [20] британский комиссар по защите информации Элизабет Денэм (Elizabeth Denham), «компании должны сделать что-то большее, чем просто закрыть дверь. Они должны повесить на нее замок и постоянно проверять его. Они также должны помнить, что бесполезно запирать дверь, оставляя ключ под ковриком».

P.S. О чем еще мы пишем в корпоративном блоге 1cloud:

Автор: 1cloud

Источник [24]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/283564

Ссылки в тексте:

[1] Image: https://habr.com/company/1cloud/blog/414737/

[2] Stock Catalog: https://flic.kr/p/GepQbc

[3] CC BY: https://creativecommons.org/licenses/by/2.0/

[4] известно: https://motherboard.vice.com/en_us/article/aeknw5/yahoo-supposed-data-breach-200-million-credentials-dark-web

[5] привлекли: https://twitter.com/ericgeller/status/779037583179382784?ref_src=twsrc%255Etfw&ref_url=https%253A%252F%252Ftechcrunch.com%252F2016%252F09%252F22%252Fyahoo-confirms-state-sponsored-attacker-stole-personal-data-of-at-least-500-million-users%252F

[6] выяснилось: https://beta.techcrunch.com/2016/09/22/yahoo-confirms-state-sponsored-attacker-stole-personal-data-of-at-least-500-million-users/

[7] предпочла: https://www.recode.net/2016/9/22/13012836/yahoo-is-expected-to-confirm-massive-data-breach-impacting-hundreds-of-millions-of-users

[8] 33: https://gdpr-info.eu/art-33-gdpr/

[9] 34: https://gdpr-info.eu/art-34-gdpr/

[10] 83: https://gdpr-info.eu/art-83-gdpr/

[11] Например, в Колорадо: https://habr.com/company/1cloud/blog/414045/

[12] постановления: https://ico.org.uk/media/action-weve-taken/mpns/2258898/yahoo-uk-services-ltd-mpn-20180521.pdf

[13] произошел: https://www.theguardian.com/business/2016/oct/05/talktalk-hit-with-record-400k-fine-over-cyber-attack

[14] посчитали: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/10/talktalk-gets-record-400-000-fine-for-failing-to-prevent-october-2015-attack/

[15] оштрафовали: https://www.independent.co.uk/news/business/news/carphoe-warehouse-fined-customer-data-risk-millions-ico-cyber-security-a8151166.html

[16] оказался: http://uk.pcmag.com/carphone-warehouse/92822/news/carphone-warehouse-hack-earns-company-ps400k-fine-for-lax-da

[17] расценили: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/01/carphone-warehouse-fined-400-000-after-serious-failures-placed-customer-and-employee-data-at-risk/

[18] отмечает: https://ico.org.uk/about-the-ico/news-and-events/standing-up-for-the-data-rights-of-our-citizens/

[19] Willi Heidelbach: https://www.flickr.com/photos/wilhei/2039096034/

[20] подчеркивает: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/04/building-the-cyber-security-community/

[21] В чём суть контейнеров приложений: https://1cloud.ru/blog/virtualnyj-kontejner-prilozhenija?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[22] Что такое SSL-сертификат и зачем его покупать: https://1cloud.ru/blog/zachem-pokupat-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[23] RAID-массив в виртуальной машине: https://1cloud.ru/blog/raid-massiv-v-virtualynoy-mashine?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[24] Источник: https://habr.com/post/414737/?utm_campaign=414737