Podstawa prawna naruszenia

Art. 32 ust. 1 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Atak na Sportadmin był możliwy, ponieważ w czerwcu 2022 r. wprowadzono do kodu aplikacji internetowej nową zmienną bez zastosowania mechanizmów filtracji przed iniekcją SQL. Konta bazy danych i systemu operacyjnego miały zbyt wysokie uprawnienia, a procedury przeglądu kodu i monitorowania nie wykryły luki, mimo że od lat wskazywano na ryzyko ataków tego typu.

Opis wydarzeń

1. Luka w kodzie i brak ochrony: Podczas zmiany sposobu logowania w czerwcu 2022 r. jedna ze zmiennych w aplikacji nie została zabezpieczona filtracją zapytań SQL. Środowisko łączące stary i nowy kod oraz brak obowiązkowego przeglądu każdej zmiany spowodowały, że błąd pozostał niezauważony.

2. Atak i wykrycie: Od rana 14 stycznia 2025 r. napastnik wykonywał próby iniekcji SQL. 16 stycznia udało mu się wykorzystać lukę, uzyskać dostęp do serwera i skopiować bazy danych. O incydencie poinformowano szwedzki organ nadzorczy dzień później.

3. Zakres naruszenia: Naruszenie dotyczyło około 2,1 mln osób z klubów sportowych i organizacji korzystających z aplikacji. Dane obejmowały imiona, nazwiska, dane kontaktowe, numery PESEL, relacje rodzinne, narodowość oraz wrażliwe informacje o alergiach i niepełnosprawnościach. Większość poszkodowanych to dzieci, co dodatkowo zwiększało ryzyko.

4. Reakcja na incydent: Około godziny po wykryciu ataku zamknięto usługę, uruchomiono oddzielne środowisko produkcyjne z aktywowaną zaporą WAF i innymi zabezpieczeniami oraz przeprowadzono audyt z udziałem partnera zewnętrznego. Spółka poinformowała kluby o konieczności zgłoszenia incydentu do organu nadzorczego i wysłała użytkownikom komunikaty, aby mogli przedsięwziąć środki ostrożności.

5. Ocena organu nadzorczego: Szwedzki organ nadzorczy uznał, że charakter danych (w tym dane dzieci i szczególne kategorie danych), ich liczba oraz centralne znaczenie w działalności spółki wymagały wysokiego poziomu ochrony. Organ nadzorczy stwierdził naruszenie, ponieważ spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, mimo że wiedziała o zwiększonym ryzyku ataków SQL. Za naruszenie nałożono karę 6 mln SEK, czyli 565 000 EUR.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Systematyczne analizy ryzyka: Każda zmiana w systemie informatycznym powinna być poprzedzona oceną ryzyka, która obejmuje nie tylko wpływ na funkcjonalność, ale także różne wektory ataków. Dokumentowanie i aktualizowanie analiz ryzyka jest wymagane przez RODO.

2. Bezpieczny rozwój oprogramowania: Należy wdrożyć standardy bezpiecznego kodowania, w tym stosowanie parametryzowanych zapytań, filtrów wejścia i automatycznych skanerów bezpieczeństwa. Organizacja powinna wprowadzić obowiązkowe, wieloosobowe przeglądy kodu, a zmiany wysokiego ryzyka poddawać testom penetracyjnym.

3. Zasada najmniejszych uprawnień: Konta bazodanowe i systemowe muszą posiadać tylko minimalny zakres uprawnień, zgodnie z zasadą need‑to‑know. Regularnie przegląda się poziomy dostępu i usuwa niepotrzebne prawa. Pozwala to ograniczyć skalę szkód w przypadku naruszenia.

4. Wielowarstwowa ochrona i monitoring: Warto stosować dodatkowe warstwy zabezpieczeń, takie jak zapory aplikacyjne (WAF), systemy detekcji i zapobiegania włamaniom (IDS/IPS) oraz mechanizmy szyfrowania danych w spoczynku i w tranzycie. Środowisko powinno być segmentowane, a ruch sieciowy monitorowany w czasie rzeczywistym, aby szybko identyfikować anomalie.

5. Procedury reagowania i zgłaszania naruszeń: Organizacja powinna mieć przygotowany plan reagowania na incydenty, zawierający schemat komunikacji, zakres zadań oraz kryteria zgłaszania do UODO w ciągu 72 godzin. Zgodnie z RODO, poszkodowane osoby należy poinformować w sposób zrozumiały i umożliwić im podjęcie działań ochronnych.

6. Szkolenia i kultura bezpieczeństwa: Pracownicy, zwłaszcza programiści i administratorzy, powinni regularnie uczestniczyć w szkoleniach z zakresu bezpieczeństwa informacji i ochrony danych. Warto przypominać również o odpowiedzialności karnej za naruszenie ochrony danych.

7. Ochrona danych szczególnej kategorii: Systemy przetwarzające dane dzieci i dane o zdrowiu muszą stosować dodatkowe zabezpieczenia, np. pseudonimizację, szyfrowanie, ograniczenie czasu przechowywania oraz mechanizmy kontroli dostępu. Przepisy prawa zalecają przyjmowanie szczególnych środków przy przetwarzaniu danych szczególnej kategorii i danych małoletnich.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu