Kara UODO za brak prawidłowego mechanizmu uwierzytelniającego?

Wśród nich Prezes UODO szczególną uwagę zwrócił na: naruszenie zasady poufności danych, polegające na niezapewnieniu bezpieczeństwa i poufności przetwarzanych danych osobowych, co spowodowało, że dostęp do danych osobowych klientów Morele.net uzyskały osoby nieuprawnione, naruszenie zasady legalności, rzetelności i rozliczalności przez niewykazanie, że dane osobowe z wniosków ratalnych, zbierane przed 25 maja 2018 r., były przetwarzane przez Morele.net na podstawie zgody osoby, której dotyczyły.

Dlaczego nałożono tak dotkliwą karę?

Organ nadzorczy uznał naruszenie, do którego doszło w tej sprawie, za poważne ze względu na jego skalę oraz zakres danych, jakie atakujący uzyskał na skutek włamania, tj.: imię, nazwisko, adres e-mail, numer telefonu, hasze haseł, PESEL, seria i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych.

Dane te dały atakującemu możliwość spowodowania znacznych strat finansowych klientów Morele.net. Zaraz po zakupach w sklepie otrzymywali oni spreparowaną wiadomość SMS z prośbą o dopłatę kwoty w wysokości 1 zł. Wiadomości zawierały linki, które przekierowywały ofiarę do sfałszowanej strony pośrednika płatności, służącej do wyłudzania loginów i haseł do bankowości elektronicznej oraz kodów autoryzacji przelewu. w ten sposób atakujący miał otwartą drogę do wyłudzania oszczędności zgromadzonych przez klientów Morele.net. Ryzyko posłużenia się wykradzionymi danymi w dalszym ciągu istnieje.

Czy można było uniknąć zdarzenia?

Nie istnieje rozwiązanie lub narzędzie, które zapewni bezwzględne bezpieczeństwo przetwarzanych danych. Mówi się, że wszystkie zabezpieczenia można przełamać, a czas przełamania uzależniony jest głównie od wiedzy i umiejętności atakującego oraz od środków finansowych, jakie przeznaczy na atak. Według decyzji Prezesa UODO z 10 września 2019 r. (ZSPR.421.2.2019) bardzo ważne jest jednak nie tylko wykrycie włamania lub jego próby, lecz także możliwie maksymalne wydłużenie skutecznego ataku. Można to osiągnąć dzięki stosowaniu rozmaitych mechanizmów uwierzytelniania, co wielokrotnie zostało podniesione w opublikowanej decyzji organu nadzorczego.

Na czym polega proces uwierzytelniania?

Uwierzytelnianie to proces identyfikacji osoby w systemie informatycznym. Polega on na tym, że użytkownik przedstawia się systemowi (podaje identyfikator użytkownika, tzw. login), a następnie potwierdza ten fakt jakimś czynnikiem (ang. factor), którym może być:

• coś, co zna (hasło, PIN),
• coś, co ma (token, certyfikat, telefon, lista haseł jednorazowych),
• coś, czym jest (biometria).

Jakie mechanizmy kontroli dostępu stosować?

Prezes UODO w decyzji z 10 września 2019 r. (ZSPR.421.2.2019) wyjątkowo mocno podkreśla:

„kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa”.

Organ nadzorczy nie zdradza jednak, jakie dokładnie mechanizmy uwierzytelniające zawiodły w tej sprawie. W decyzji powołuje się na wiele standardów traktujących o skutecznych mechanizmach kontroli dostępu, w tym PN-EN ISO/IEC 27001, Open Web Application Security (OWASP) oraz standardy Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Przyjrzyjmy się zatem zapisom zawartym w przedmiotowych dokumentach:

• Organizacja powinna wdrożyć formalny proces rejestrowania i wyrejestrowywania użytkowników. Należy zagwarantować używanie unikatowych identyfikatorów systemowych w celu zapewnienia rozliczalności działań użytkowników. Dodatkowo należy zadbać o niezwłoczne usunięcie lub zablokowanie identyfikatorów użytkowników, którzy opuścili organizację, oraz zapewnić, iż raz użyty identyfikator nigdy nie zostanie przydzielony innemu użytkownikowi (pkt 9.2.1 PN-EN ISO/IEC 27002).
• Organizacja powinna być w posiadaniu procedur zarządzania uprawnieniami, w tym sposobu ich nadawania, modyfikacji oraz odbierania. Przygotowując tego typu dokumenty, należy mieć na uwadze zasadę wiedzy i potrzeby koniecznej, uwzględnić reguły postępowania w przypadku uprawnień uprzywilejowanych i wyraźnie rozdzielić role związane z kontrolą dostępu, tj. wnioskowanie, autoryzacja, sposób budowania poświadczeń logowania oraz ich bezpiecznego przekazywania. Dodatkowo należy okresowo dokonywać przeglądów przydzielonych uprawnień oraz funkcjonujących kont dostępowych (pkt 9.1.1 i 9.2.2 PN-EN ISO/IEC 27002).
• Organizacja powinna posiadać wdrożone i udokumentowane zasady dostępu do sieci i usług sieciowych, w tym sposób autoryzacji użytkowników w sieci i środki wykorzystywane do realizacji dostępu do sieci (np. używanie VPN lub sieci bezprzewodowych), oraz uregulować sposób monitorowania korzystania z usług sieciowych (pkt 9.1.2 PN-EN ISO/IEC 27002).
• Organizacja powinna formalnie zobowiązać pracowników do zachowania w tajemnicy wszelkich danych pozyskanych w trakcie wykonywania obowiązków służbowych, w tym danych uwierzytelniających. Wdrożone procedury powinny zobowiązywać pracowników zarówno do budowania dobrej jakości haseł dostępowych, jak i do bezpiecznego z nimi postępowania, tj. unikania zapisywania haseł na urządzeniach lub papierze, a także określać sposób postępowania na wypadek ujawnienia haseł lub podejrzenia ich ujawnienia. Dodatkowo nie zapominajmy o tym, że stosowane hasła w każdym systemie powinny się od siebie różnić. Należy też zapewnić ich ochronę w zautomatyzowanych procesach logowania. Wdrożenie mechanizmu SSO (jednokrotnego logowania) może spowodować, że skutki przełamania poświadczeń przez atakującego będą poważniejsze, dlatego warto uwzględnić silną politykę haseł (pkt 9.1.4 i 9.3.1 PN-EN ISO/IEC 27002).
• 

  Kiedy ostatnio
  robiłeś analizę ryzyka?

  Ryzyko i DPIA są podstawowymi elementami budowy systemu ochrony danych.

  ZAMÓW OFERTĘ
  Organizacja powinna zapewnić odpowiednie mechanizmy uwierzytelniania, polegające na wymuszaniu zmiany haseł tymczasowych przekazanych na potrzeby pierwszego logowania, oraz określić bezpieczny sposób ich budowy i przekazania użytkownikowi. Dodatkowo powinna opracować procedury mające na celu weryfikację tożsamości pracownika przed dostarczeniem mu tymczasowych lub poufnych informacji uwierzytelniających oraz wdrożyć mechanizm potwierdzania ich odbioru przez użytkownika. Nie należy zapominać o konieczności zmiany domyślnych danych logowania w wykorzystywanych systemach i narzędziach (pkt 9.1.4 PN-EN ISO/IEC 27002; pkt 2.8 i 2.19 OWASP).

• Organizacja powinna zapewnić bezpieczną procedurę logowania w systemach, która uniemożliwi atakującemu pozyskanie dodatkowych wskazówek ułatwiających skuteczne włamanie. Oznacza to, że procedura logowania nie powinna domyślnie wyświetlać nazw identyfikatorów systemowych lub aplikacji aż do chwili jej pomyślnego zakończenia. Procedura powinna zatwierdzać tylko prawidłowe i kompletne informacje wejściowe, a w razie błędu systemu nie może wskazywać, która część danych jest nieprawidłowa. Zastosowana polityka ma chronić przed nieautoryzowanym dostępem do systemu w wyniku ataku polegającego na podaniu wszystkich możliwych kombinacji przez przestępcę. Można to osiągnąć dzięki zastosowaniu np. blokowania konta użytkownika (na wypadek kilkukrotnej próby wprowadzenia błędnych poświadczeń logowania), techniki CAPTCHA lub mechanizmu dwuskładnikowego logowania. Warto dodatkowo wdrożyć mechanizmy informujące administratorów systemów w przypadku wykrycia prób ataku, a także mechanizmy odnotowujące informacje dotyczące daty i czasu ostatniego pomyślnego logowania oraz nieudanych prób logowania. Oczywiście należy mieć na uwadze również mechanizmy uniemożliwiające przesyłanie haseł przez sieć w postaci tekstu otwartego czy też blokujące ich wyświetlanie podczas wprowadzania w panelu logowania. Dobry mechanizm kontroli dostępu powinien przewidywać zamykanie nieaktywnej sesji po określonym czasie nieaktywności użytkownika, regulować czas, w którym użytkownik ma dostęp do systemu, oraz ograniczać liczbę jednoczesnych aktywnych sesji z wykorzystaniem identyfikatora użytkownika (pkt 9.4.2 PN-EN ISO/IEC 27002; pkt 2.2, 2.6, 2.17, 2.31, 3.16 i 4.12 OWASP).
• Organizacja powinna zapewnić, aby zastosowane mechanizmy logowania wymuszały użycie indywidualnych identyfikatorów i haseł, w tym haseł odpowiedniej jakości oraz częstotliwości zmiany. Dodatkowo wykorzystywane systemy i aplikacje powinny umożliwiać użytkownikom zmianę danych logowania, prowadzić spis poprzednio używanych haseł i zapobiegać ich ponownemu użyciu. Pliki z hasłami należy przechowywać w formie zaszyfrowanej, w innym miejscu niż dane systemu lub aplikacji (pkt 9.4.3 PN-EN ISO/IEC 27002; pkt 2.25, 2.27 i 2.29 OWASP).
• Organizacja powinna kontrolować użycie programów narzędziowych umożliwiających obejście zabezpieczeń systemów i aplikacji, m.in. ograniczyć możliwość instalacji takich narzędzi przez użytkowników (pkt 9.4.4 PN-EN ISO/IEC 27002).
• Organizacja powinna kontrolować dostęp do kodów źródłowych programów oraz związanych z nimi elementów, takich jak projekty, specyfikacje, plany weryfikacji i badania poprawności (pkt 9.4.5 PN-EN ISO/IEC 27002).
• Organizacja powinna zapewnić, aby interfejs administracyjny nie był dostępny dla stron niezaufanych (pkt 2.32 OWASP).
• Organizacja powinna zadbać, aby systemy i aplikacje nie były podatne na ataki SQL Injection, RFI, LFI, XML Injection, XML External Enity, XPath query, XSS, HTTP Parametr Pollution (pkt 5.10, 5.13, 5.14 i 5.15 OWASP).

Z wypowiedzi zastępcy Prezesa UODO wynika, że w firmie Morele.net zabrakło dwuetapowego uwierzytelniania. Podczas budowania silnego mechanizmu uwierzytelniania warto rozważyć więc zabezpieczenia wynikające z dyrektywy PSD2 . Mimo że przepisy te nie obejmują wszystkich organizacji przetwarzających dane osobowe, to poruszają ważną kwestię uwierzytelniania wielopoziomowego 2FA (ang. multifactor authentication). Założeniem tego zabezpieczenia jest posiadanie przez użytkownika dodatkowych danych logowania – oprócz popularnego identyfikatora systemowego (loginu) i hasła. Najczęściej spotykane metody użycia uwierzytelniania wieloskładnikowego to:

• przeciągnięcie karty dostępowej (coś, co się ma) i podanie PIN-u (coś, co się wie),
• logowanie się do strony internetowej poprzez podanie nazwy użytkownika, hasła oraz dodatkowego kodu przesłanego za pomocą wiadomości SMS,
• zdalne połączenie z siecią firmową za pomocą nazwy użytkownika, hasła oraz kodu wygenerowanego przez token sprzętowy.

Niezależnie od powyższego wszelkie stosowane zabezpieczenia, w tym mechanizmy kontroli dostępu, powinny być poprzedzone przeprowadzeniem procesu oceny ryzyka. Zgodnie z RODO jest ona bowiem podstawą doboru odpowiednich zabezpieczeń technicznych i organizacyjnych.