Agencija za zaštitu osobnih podataka izrekla je kaznu od 2,15 milijuna kuna telekomunikacijskom operateru jer nisu poduzeli odgovarajuće mjere sigurnosti zbog čega je došlo do hakerskog napada i ugroženosti osobnih podataka čak 100 tisuća korisnika. Kako neslužbeno doznaje RTL, radi se o teleoperateru A1.
Podsjetimo, riječ je o slučaju koji se dogodio u veljači ove godine kada je maloljetni haker koji je kasnije uhvaćen na području Slavonskog Broda provalio u bazu podataka opratera i tražio da mu isplate 500 tisuća dolara u kriptovalutama kako ne bi objavio podatke korisnika na dark webu.
Nakon hakerskog napada, teleoperator A1 poslao je obavijest svima onima koji su oštećeni. Riječ je o najmanje 100 tisuća korisnika čiji su podaci poput OIB-a, imena i prezimena, adrese, broja telefona završili kod maloljetnog hakera.
U AZOP-u navode kako se provode određene organizacijske i tehničke mjere pri obradi osobnih podataka, ali u konkretnom slučaju one nisu bile dovoljne.
"Naime, voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, uključivo, ograničavanje pristupa, nadzor, izvješćivanje, pravovremeno reagiranje i uključivanje odgovarajućih korektivnih akcija u sustavu te izvršavanje propisanih organizacijskih mjera sadržanih u postojećim internim aktima te konačno i izmjena istih sukladno utvrđenjima u predmetnoj povredi. Za navedena kršenja, Opća uredba o zaštiti podataka propisuje izricanje upravne novčane kazne sukladno članku 83. stavku 4. točke a), odnosno upravne novčane kazne do 10 000 000 eura ili u slučaju poduzetnika do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno što je veće.
Isto tako, kao otegotnu okolnost Agencija nalazi u činjenici da je voditelj obrade jedno od vodećih društava pružatelja telekomunikacijskih usluga u Republici Hrvatskoj te je bilo za očekivati da će zbog velikog opsega osobnih podataka koje obrađuje primijeniti složenije organizacijske i tehničke mjere zaštite prije početka, kao i tijekom same obrade, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, a posebice nakon predmetne povrede, što je isto društvo propustilo učiniti", naveli su u AZOP-u.
Iz A1 Hrvatska su poručili da će naravno poštivati svaku pravomoćnu odluku regulatornog tijela. Ostatak njihovog odgovora prenosimo u cijelosti:
"No kaznu koja nam je određena smatramo potpuno neprikladnom i nerazmjernom te ćemo podnijeti žalbu Upravnom sudu Republike Hrvatske.
U A1 Hrvatska primjenjujemo napredne sigurnosne mjere zaštite informacijskih sustava koje se kontinuirano revidiraju i unaprjeđuju sukladno najboljim praksama. U slučaju radi kojega nam je određena višemilijunska kazna reagirali smo odmah po otkrivanju prvih znakova sumnje na nedopušten pristup podacima, trenutačno i bez odlaganja, te poduzeli sve korake kako bismo zaštitili naše korisnike. Nakon što je sa sigurnošću utvrđen incident, nadležna tijela su informirana u najkraćem mogućem roku, a navedeni incident nije imao nikakav utjecaj na rad usluga koje A1 pruža krajnjim korisnicima.
S obzirom na promptnu reakciju i tehničko-organizacijske mjere koje su bile implementirane, kao i činjenicu da do incidenta nije došlo zbog manjkavosti sigurnosnog sustava već isključivo uslijed ljudskog faktora, odnosno manipulacijom ranjivosti pojedinca s ciljem pristupa podacima, u A1 Hrvatska držimo da se ne može govoriti o propustima na strani kompanije. Riječ je pritom bila isključivo o setu osnovnih osobnih podataka koji su dostupni i kroz neke javne izvore te se njima ne može naštetiti korisnicima. Informacije o bankovnim karticama i računima niti u jednom trenutku nisu bile kompromitirane. Apsolutna zaštita nažalost ne postoji, zbog čega su kompromitacije informacijskih sustava gotovo svakodnevne i nema značajnije kompanije ili institucije koja se nije s njima suočila. U posljednje su vrijeme štetu od socijalnog inženjeringa pretrpjeli i neki globalni ICT divovi poput Microsofta i Samsunga.
Kao dio globalne ICT zajednice, u A1 Hrvatska primjenjujemo i neprestano unaprjeđujemo vlastite sigurnosne protokole usklađujući ih s najvišim svjetskim standardima i to ćemo nastaviti činiti i dalje", poručili su.
