Plaćanje kreditnom karticom na POS uređaju

Trgovini računalne opreme kazna od 500 tisuća funti, kompromitirani podaci 14 milijuna osoba

Objavljeno:

Autor:

Plaćanje kreditnom karticom na POS uređaju

Trgovini računalne opreme kazna od 500 tisuća funti, kompromitirani podaci 14 milijuna osoba

Objavljeno:

Autor

Britansko nadzorno tijelo Information Commissioner’s Office (ICO) kaznilo je tvrtku DSG Retail Limited (DSG) zbog teške ugroze informacijskog sustava.

DSG se bavi maloprodajom računalne i druge elektroničke opreme, a među njihovim brendovima su Currys PC World i Dixons Travel. Currys i Dixons trgovine bile su mete kibernetičkog napada koji je trajao punih devet mjeseci – od 24. srpnja 2017. do 25. travnja 2018. Zaraženo je bilo ukupno 5.390 blagajni, a naknadnom istragom utvrđeno je da je napadom zahvaćeno 5.646.417 platnih kartica s kojih su ukradeni podaci o broju kartice i datumu isteka. U 2% slučajeva (52.788 platnih kartica) ukradeni su i podaci o imenu i prezimenu nositelja kartice. Uz navedeno, procijenjeno je da su napadači došli u posjed još 14 milijuna podataka koji nisu financijske prirode: imena, prezimena, poštanske adrese, brojevi mobitela i telefona, adrese elektroničke pošte, datumi rođenja, te podaci o odbijenim kartičnim transakcijama.

Inicijalni stav DSG-a u pogledu povrede osobnih podataka bio je da se u onih 98% slučajeva u kojima nisu ukradeni podaci o imenima i prezimenima nositelja kartice ne radi o povredi osobnih podataka jer se iz podataka o broju i valjanosti kartice ne može identificirati osobu. ICO se s tim nije složio, pozivajući se na vlastite smjernice i na relevantno mišljenje WP29, te zaključuje da bi i broj kartice bez ikakvih dodatnih podataka trebalo smatrati osobnim podatkom.

U svojem obrazloženju ICO zaključuje da DSG nije poduzeo primjerene tehničke i organizacijske mjere zaštite osobnih podataka. Među utvrđenim ranjivostima su nebriga o softverskim zakrpama i nadogradnjama, nepostojanje lokalnog vatrozida, nesegregirana mreža i neprovođenje rutinskog sigurnosnog testiranja. Pri izricanju odluke, ICO je uzeo u obzir da krađa navedenih osobnih podataka može imati značajan utjecaj na privatnost pojedinaca, te da ih izlaže rizicima od financijske krađe i krađe identiteta.

Inače, u siječnju 2018. ICO je kaznio tvrtku Carphone Warehouse iz iste grupacije, u iznosu 400.000 GBP za slične prekršaje.

Slučaj je komentirao Steve Eckersley, ICO istražni direktor:

Prekršaji su u ovom slučaju bili toliko ozbiljni da smo izrekli maksimalnu kaznu prema DPA 1998, no kazna bi zasigurno bila puno veća prema GDPR-u.

Svjesni smo da su kibernetički napadi sve češći, međutim organizacije su zakonom obvezane poduzeti ozbiljne sigurnosne mjere za zaštitu sustava i, najvažnije, osobnih podataka pojedinaca.

— Steve Eckersley, ICO istražni direktor, komentirajući izricanje kazne DSG-u

Detaljne informacije o cijelom slučaju možete pročitati u ICO-ovom službenom priopćenju.