Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 4 miljoner euro mot en mobiloperatör för brister i säkerhetsåtgärder och åtkomstkontroller i strid med dataskyddsförordningen (GDPR).
Bakgrund
Av beslutet framgår att bolaget utsattes för en säkerhetsincident i mars 2023. Bolaget använde ett internt system för åtkomst till kundkonton. Till följd av en tillfällig ändring i konfigurationen av bolagets domännamnssystem upphörde systemet att tillämpa tvåfaktorsautentisering. En obehörig aktör kunde därigenom, med hjälp av giltiga inloggningsuppgifter tillhörande en behörig användare, få åtkomst till systemet under en begränsad period. Genom denna åtkomst blev personuppgifter tillgängliga, däribland namn, identifikationsnummer, kontaktuppgifter, uppgifter om tjänster samt IBAN-nummer.
Bolaget identifierade misstänkt aktivitet kort därefter, spärrade de komprometterade inloggningsuppgifterna och klassificerade händelsen som en personuppgiftsincident. Bolaget anmälde incidenten till AEPD och påbörjade information till berörda registrerade via e-post och sms. Därefter inkom flera klagomål till AEPD från registrerade som uppgav att deras personuppgifter hade exponerats och att de mottagit phishingmeddelanden.
Myndighetens bedömning
AEPD inledde en tillsynsutredning och granskade bland annat bolagets autentiseringslösningar, rutiner för ändringar i domännamnssystemet, övervakningsmekanismer och åtkomstkontroller. Myndigheten konstaterade inledningsvis att bolagets övervakningsverktyg inte var tillräckligt konfigurerade för att snabbt upptäcka avvikande åtkomst, att den tillfälliga konfigurationsändringen försvagade autentiseringen samt att personuppgifter kunde läsas i klartext till följd av bristande kryptering.
Bolaget invände att det varit utsatt för en kriminell cyberattack, att det normalt tillämpade tvåfaktorsautentisering, att det agerat skyndsamt vid incidenten och vidtagit korrigerande åtgärder. Bolaget hänvisade även till innehav av säkerhetscertifieringar och att det saknades bevis för att uppgifterna faktiskt hade spridits eller missbrukats.
AEPD konstaterade att bolaget hade åsidosatt principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR genom att inte säkerställa lämplig konfidentialitet och integritet för de personuppgifter som behandlades i systemet. Myndigheten fann även att bolaget brutit mot artikel 32 GDPR, eftersom tillräckliga tekniska och organisatoriska säkerhetsåtgärder anpassade till risken inte hade vidtagits. Bristerna omfattade bland annat avsaknaden av effektiva övervakningsregler, den konfigurationsändring som inaktiverade tvåfaktorsautentisering samt bristande kompletterande kontroller i systemet.
Mot denna bakgrund beslutade AEPD att påföra bolaget en sanktionsavgift om 2,5 miljoner euro för överträdelse av artikel 5.1 (f) GDPR och 1,5 miljoner euro för överträdelse av artikel 32 GDPR, vilket sammanlagt uppgår till 4 miljoner euro.
Praktiska konsekvenser
Beslutet understryker vikten av att säkerställa robusta autentiseringslösningar och att förändringar i kritiska system, såsom domännamnssystem, inte försvagar säkerhetsnivån. Organisationer behöver även ha effektiva övervakningsmekanismer för att snabbt upptäcka obehörig åtkomst samt säkerställa att känsliga uppgifter inte behandlas i klartext.
Relaterad expertis
TechLaw bistår organisationer med juridisk rådgivning kring dataskydd, informationssäkerhet, incidenthantering och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Kontakta oss om ni vill analysera era säkerhetsåtgärder eller hur kraven enligt GDPR påverkar er hantering av personuppgifter.
Källa: AEPD.