Zlehčovat útok na OÚ se nevyplácí: Carrefour zaplatí 3,2 milionu eur

Společnost Carrefour zaplatí pokutu ve výši 3,2 milionu eur za porušení GDPR v souvislosti s ohrožením osobních údajů svých zákazníků. Firma čelila hned pěti kyberútokům. Nahlásila je však se zpožděním a nepřijala dostatečná opatření. Jak se k tomu postavil dozorový úřad?

Pět bezpečnostních incidentů během devíti měsíců, tisíce napadených účtů a vágní e-maily. Tak by se dal stručně shrnout případ, který letos řešil španělský dozorový úřad a jenž skončil celkem vysokou pokutou pro společnost Carrefour. Tento případ odhaluje řetězec selhání společnosti Carrefour, který ukazuje, jak snadno může i velká a zavedená společnost ztratit kontrolu nad ochranou osobních údajů a důvěrou svých zákazníků. Co se tedy vlastně stalo?

Průběh a příčiny incidentu

Celý příběh začal už v říjnu 2022, kdy Carrefour poprvé zaznamenal narušení ochrany osobních údajů svých zákazníků. Nešlo o jednorázový incident a během následujících měsíců se stejný typ útoku opakoval hned pětkrát. Společnost Carrefour nahlásila španělskému dozorovému úřadu pět bezpečnostních incidentů spočívajících v narušení ochrany osobních údajů až v roce 2023, a to navzdory tomu, že první z incidentů se odehrál již v roce 2022 a společnost Carrefour o tomto narušení věděla.

Všechny incidenty měly jedno společné, a to takzvaný credential stuffing. Jedná se o typ kybernetického útoku, při kterém útočník využívá ukradené přihlašovací údaje (uživatelská jména a hesla) z jednoho webu nebo služby k pokusu o přihlášení na jiné weby nebo služby. Útočníci tak využívali přihlašovací údaje z jiných webů a zkoušeli je masově uplatnit na přihlašovacích stránkách Carrefouru.

Společnost Carrefour tedy identifikovala typ útoku, avšak nebyla schopna zjistit, odkud se přihlašovací údaje, kterými se útočníci snažili dostat do účtů zákazníků, vlastně vzaly. Španělský dozorový úřad upozornil na to, že se útoky mohly dotknout téměř 119 tisíc účtů zákazníků. Společnost Carrefour to ale zpochybnila – podle ní šlo jen o necelou tisícovku účtů. I přesto ale existovalo reálné riziko, že útočníci získali přístup k osobním údajům, jako jsou jména, adresy nebo kontaktní údaje zákazníků.

Zajímavé však je, že společnost Carrefour zákazníky sice v souvislosti s útoky kontaktovala, ale až po třetím incidentu. A i tehdy jim jednoduše napsala, že jim resetuje hesla „v rámci vylepšení služeb“, aniž by zmínila, že došlo k narušení ochrany jejich osobních údajů. Španělský dozorový úřad tak v květnu 2023 zahájil oficiální vyšetřování.

Zjištění španělského dozorového úřadu

Při vyšetřování španělský dozorový úřad zjistil, že společnost Carrefour selhala ve svých bezpečnostních povinnostech vyplývajících pro správce osobních údajů z GPDR. Společnost totiž nezavedla vhodná technická a organizační opatření k ochraně osobních údajů, čímž porušila čl. 5 odst. 1 písm. f) GDPR a též čl. 24 odst. 1 a čl. 32 GDPR. Dle úřadu se jedná o proaktivní povinnost správce, aby šel nad rámec reakce na porušení zabezpečení údajů a v případě potřeby zavedl preventivní opatření.

Problematická byla zejména opožděná reakce společnosti Carrefour na jednotlivé incidenty. Správce například zavedl takzvanou dvoufaktorovou autentizaci dokonce až při pátém (!) narušení, což rozhodně nebylo dostačující vzhledem k tomu, že o všech předchozích útocích věděl a měl tedy povinnost na tyto útoky náležitě reagovat. K aktivnímu zásahu tak společnost přistoupila až po pěkné řádce útoků, což však bylo pozdě.

Dle španělského dozorového úřadu sehrála v případu významnou roli i závažnost dopadu na samotné zákazníky. Narušení ochrany osobních údajů totiž nebylo jen technickou nepříjemností, ale představovalo reálné bezpečnostní riziko. Útočníci totiž měli k dispozici dostatek informací na to, aby si o jednotlivých zákaznících mohli sestavit poměrně detailní profil – jméno, adresa, kontaktní údaje… zkrátka vše, co útočníci potřebovali k tomu, aby se za zákazníky dokázali velmi přesvědčivě vydávat. Útok tedy mohl v krajním případě vést až ke krádeži identity zákazníků a s tím spojeným přístupem do účtu, objednáváním zboží nebo uzavřením smluv jménem nic netušícího zákazníka.

Celou situaci navíc zhoršuje i fakt, že společnost Carrefour je obřím hráčem na trhu a denně zpracovává osobní údaje statisíců lidí. Správce navíc působí v oblasti maloobchodu, kde důvěra a bezpečnost údajů zákazníků představuje klíčový aspekt zpracování. Podle úřadu je tak odpovědnost společnosti Carrefour za zavedení všech zásad ochrany osobních údajů ještě přísnější.

Španělský dozorový úřad také zjistil, že společnost Carrefour prováděla pravidelné audity, které ukázaly jasná bezpečnostní rizika a doporučovaly zavedení konkrétních opatření. Společnost Carrefour si tedy byla vědoma bezpečnostních rizik, ale rozhodla se tato rizika ignorovat a v reakci na audity žádná opatření nezavedla.

Dalším problémem byla komunikace společnosti se zákazníky. Carrefour sice jako reakci na některé incidenty zaslal zákazníkům e-maily, ty však neobsahovaly žádné informace o tom, že došlo k narušení jejich osobních údajů. Komunikace zmiňovala pouze „preventivní změnu hesla za účelem zlepšení služeb“ bez jediné zmínky o tom, že došlo k narušení a že toto narušení představuje riziko pro osobní údaje zákazníků. Správce tak neposkytl subjektům údajů dostatečné informace o porušení zabezpečení údajů. Španělský dozorový úřad označil tento přístup za porušení článku 34 GDPR, který vyžaduje, aby správce oznámil subjektům údajů jasným a jednoduchým způsobem povahu a důsledky narušení zabezpečení a informoval je o přijatých bezpečnostních opatřeních. Zákazníci si tak vůbec nemohli být vědomi rizik, která jsou s narušením spojena.

Udělení pokuty

Španělský dozorový úřad udělil společnosti Carrefour za sérii chyb v ochraně osobních údajů pokutu v celkové výši 3,2 milionu eur (téměř 79 milionů korun českých). Tato pokuta se skládala z dílčích pokut za jednotlivá porušení GDPR, a to:

• dva miliony eur za porušení čl. 5 odst. 1 písm. f) GDPR, tedy za to, že osobní údaje nebyly chráněny tak, aby byla zajištěna jejich integrita a důvěrnost;

• milion eur za porušení čl. 32, tedy za nezajištění přiměřených technických a organizačních opatření;

• 200 tisíc eur za porušení čl. 34, tedy za nedostatečné informování subjektů údajů o narušení.

  
  

Společnost Carrefour s výší pokuty nesouhlasila a argumentovala tím, že během narušení bezpečnosti údajů byla postižena pouze necelá tisícovka účtů a že s úřadem plně spolupracovala tím, že incidenty oznámila. Španělský dozorový úřad však argumenty správce zamítl, jelikož při vyšetřování odhalil mnohem vyšší počet dotčených účtů zákazníků. Oznamování incidentů navíc nelze považovat za spolupráci s úřadem, která by měla pro společnost představovat polehčující okolnost, nýbrž jde o zákonnou povinnost dle čl. 33 GDPR, která platí pro každého správce osobních údajů.

Jak tomu již bývá zvykem, u pokuty to neskončilo. Společnosti bylo též nařízeno, aby řádně informovala dotčené zákazníky o jednotlivých incidentech v souladu s čl. 34 GDPR. V případě nesplnění této povinnosti může španělský dozorový úřad sáhnout po další sankci.

Poučení na závěr

Rozhodnutí španělského dozorového úřadu zdůrazňuje aktivní přístup k ochraně osobních údajů a důležitost samotné prevence, která má být nástrojem pro minimalizaci rizik ohrožujících nejen samotné osobní údaje, ale i důvěru zákazníků a pověst společnosti.

Postup společnosti Carrefour, která incidenty bagatelizovala a zametala pod koberec, si rozhodně nelze brát za příklad. I pokud se nepodaří bezpečnostnímu incidentu předejít, je každý správce povinen udělat maximum pro zmírnění jeho dopadů, a to včetně včasného nahlášení incidentů, přijetí dodatečných bezpečnostních opatření a též transparentního informování subjektů údajů o povaze a důsledcích narušení. Pokud totiž zákazníci vůbec netuší, že jejich údaje mohly být ohroženy, jen stěží mohou včas reagovat například změnou hesla nebo pečlivějším sledováním pohybů na svých účtech. Ostatně, už od malička se učíme, že lež má krátké nohy. V oblasti GDPR to platí o to více a jakékoliv zlehčování bezpečnostních incidentů vlastně vše jen zhoršuje.

Článek byl publikován v Elektronickém zpravodaji pro pověřence