AGENCIJA za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu od 2.265.000 eura agenciji za naplatu potraživanja B2 Kapitalu zbog povreda Opće uredbe o zaštiti podataka. Tu kaznu za Index analizira IT stručnjak Lucijan Carić koji smatra da se radi o dosta blagoj kazni bez obzira na to što je to dosad najveća pojedinačna kazna koju je AZOP izrekao zbog kršenja Uredbe. U nastavku se nalazi njegova analiza:
>> AZOP izrekao kaznu B2 Kapitalu: Zbog curenja podataka kažnjeni s 2.2 milijuna eura
Objava AZOP-a navodi, po mom sudu, više flagrantnih, sustavnih i opetovanih kršenja Uredbe koja većinom traju godinama i koje B2 Kapital nikad nije otklonio. Smatram da je takvo kršenje Uredbe trebalo rezultirati daleko većom kaznom, pogotovo uzevši u obzir broj osoba koje su doživjele povrede svojih prava temeljem Uredbe. Također, mislim da objava AZOP-a ostavlja otvorena neka pitanja koja smatram bitnim, no idemo redom.
Tri su glavna razloga za kažnjavanje B2 Kapitala
AZOP je kaznio B2 Kapital kaznom od 2.26 milijuna eura zbog tri glavna razloga. Prvi je da nisu na jasan i točan način informirali svoje ispitanike o obradi njihovih osobnih podataka putem obavijesti o obradi osobnih podataka, čime je došlo do povrede Uredbe u pogledu najmanje 132.652 osobe. Ova povreda Uredbe traje još od 25. svibnja 2018. i B2 Kapital nije ju otklonio ni dan danas, nakon gotovo pet godina.
Drugi razlog je da B2 Kapital nije sklopio ugovor o obradi osobnih podataka s izvršiteljem obrade za usluge praćenja jednostavnog stečaja potrošača, čime je došlo do povrede Uredbe i ugrožavanja sigurnosti podataka 83.896 osoba. Povreda je trajala od 14. veljače 2019. do 26. veljače 2021. godine.
Treći razlog je da B2 Kapital nije poduzimao odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka, čime je došlo do povrede Uredbe u pogledu sigurnosti osobnih podataka 132.652 osobe, za koje AZOP navodi kako su i financijske prirode te na taj način posebno osjetljivi. Povreda traje najmanje od 2019. do danas, dakle bar četiri godine, te i dalje nije otklonjena.
B2 Kapital do danas nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite
AZOP je postupao temeljem anonimne prijave primljene u prosincu 2022. godine, kada mu je dostavljen USB medij s osobnim podacima 77.317 osoba čija je dugovanja B2 Kapital otkupio temeljem ugovora o cesiji. AZOP ocjenjuje kako B2 Kapital najveći stupanj odgovornosti snosi zbog nepoduzimanja tehničkih mjera zaštite budući da je upravo zbog manjkavosti u takvom sustavu sigurnosti došlo do nesigurne obrade (zapravo kompromitacije) većeg broja osobnih podataka.
"Agencija za naplatu potraživanja je izgubila potpuni nadzor nad kretanjem osobnih podataka njihovih ispitanika te nije mogla objasniti uzroke neovlaštene eksfiltracije (izvlačenja) osobnih podataka", stoji u priopćenju AZOP-a. Nadalje, AZOP kao otegotnu okolnost navodi manjkavosti kod suradnje B2 Kapitala koje su imale utjecaj na odugovlačenje postupka te izbjegavanje dostave određenih podataka, pri čemu B2 Kapital nikad nije dostavio izliste sistemskih zapisa.
Kao dodatnu otegotnu okolnost AZOP ocjenjuje činjenicu da do današnjeg dana B2 Kapital nije obavijestio Agenciju da je poduzeo dodatne mjere zaštite koje bi spriječile buduće rizike od utvrđenih povreda te kako do danas nije prilagodio politiku privatnosti dostupnu na njihovim mrežnim stranicama.
B2 Kapital se poziva na svoju analizu kako nije bilo hakerskog napada
Zaključno AZOP navodi kako je u konkretnom slučaju riječ o kršenju više odredbi Uredbe i to od strane jedne od vodećih kompanija u području naplate potraživanja, a koja si nije smjela dopustiti da obrađuje osobne podatke velikog broja ispitanika na netransparentan i nesiguran način.
Također, B2 Kapital ne bi nikada ni uočio eksfiltraciju osobnih podataka velikog broja ispitanika, najmanje za njih 77.317, iz njihovog sustava da AZOP nije zaprimio anonimnu prijavu te proveo nadzorne aktivnosti.
"Do današnjeg dana, voditelj obrade nije razjasnio sve okolnosti nastale povrede, odnosno iznošenja određenog opsega osobnih podataka izvan njihovog sustava pohrane, a što dodatno govori o neodgovarajućim mjerama zaštite od strane voditelja obrade", stoji u priopćenju AZOP-a vezano za kaznu B2 Kapitalu.
Nasuprot AZOP-u, B2 Kapital tvrdi kako je od prvih saznanja o mogućem neovlaštenom otuđenju podataka klijenata surađivao s nadležnim institucijama, AZOP-om, policijom i Državnim odvjetništvom radi utvrđivanja činjenica i otkrivanja počinitelja.
Nadalje, B2 Kapital tvrdi kako su neovisni stručnjaci proveli ekstenzivnu forenzičku internu istragu te utvrdili da u njihovim sustavima nije došlo do curenja podataka i kako nisu bili izloženi hakerskom napadu.
B2 Kapital i njihov optimizam
Ističu da predmetni podaci nisu sadržavali podatke o financijskom stanju klijenta niti o stanju duga, što je potvrđeno i rješenjem AZOP-a. Oni odluku AZOP-a, naravno, poštuju, ali nakon što su ju pažljivo proučili zajedno sa savjetnicima, s njenim se obrazloženjem u pretežitom dijelu ne slažu.
Također, izrečenu kaznu na temelju pojedinih uočenih mogućnosti dodatne zaštite podataka smatraju previsokom i iskoristit će mogućnost upravnog spora. Ionako visoki stupanj zaštite pri obradi osobnih podataka u međuvremenu dodatno su ojačali te obradu osobnih podataka nastavljaju vršiti isključivo u skladu sa zakonom i s primjenom najviše moguće pažnje.
Nadaju se i vjeruju kako će policijska istraga utvrditi tko je neovlašteno otuđio i distribuirao osobne podatke njihovih klijenata. Naposljetku ističu kako će B2 Holding grupa unutar koje posluje B2 Kapital također izdati priopćenje vezano za rješenje AZOP-a i postupanje s osobnim podacima.
Tvrdnje B2 Kapitala upadljivo odudaraju od objave AZOP-a (u trenutku dok ovo pišem izdano rješenje nije dostupno javnosti, već samo priopćenje). Prije svega, mislim kako je u najmanju ruku optimistična tvrdnja B2 Kapitala da na njihovim sustavima nije došlo do curenja podataka te kako nisu bili izloženi hakerskom napadu.
Zašto nisu dostavili izliste sistemskih zapisa?
Ako su zaista tako sigurni u svoju sigurnost, zašto onda AZOP-u nisu dostavili izliste sistemskih zapisa? Sigurno ih imaju, jer ako ih nemaju, kako im je neki nezavisni stručnjak za sigurnost mogao provesti ekstenzivnu forenzičku analizu i onda potvrditi kako na njihovim sustavima nije došlo do curenja podataka i da nisu žrtve hakerskog napada?
Niti jedan kompetentan i odgovoran stručnjak za sigurnost informacijskih sustava ne može vam jamčiti kako na vašim sustavima nije došlo do curenja podataka te da niste bili izloženi hakerskom napadu.
Takve se činjenice mogu samo uvjetno utvrditi u kontekstu provedenih ispitivanja, dakle moguće je u najboljem slučaju zaključiti kako temeljem provedenih analiza i ispitivanja nisu pronađeni dokazi koji upućuju na postojanje odljeva podataka ili mogućeg hakerskog napada.
Doseg takvih analiza i ispitivanja uvijek je ograničen. Jednostavno je nemoguće jamčiti za sve sustave, sve aplikacije i sve njihove proizvođače, za sve sadašnje i bivše zaposlenike institucije, za sve partnere i isporučitelje proizvoda i usluga te za njihove sadašnje i bivše zaposlenike.
AZOP je za sada nedorečen
Nedavno je informatička tvrtka Orqa bila žrtva napada na sigurnost informacijskih sustava koji je izveo njihov bivši zaposlenik tako što je u dijelu koda ostavio trojanskog konja u obliku ransomwarea, softvera za ucjenu i iznuđivanje.
Nadalje, tvrdnja kako nisu kompromitirani financijski podaci čini se suprotna objavi AZOP-a. Istina, AZOP navodi kako su "najmanje" procurili podaci u strukturi: ime i prezime, datum rođenja i OIB, te nastavlja – posljedično i svi osobni podaci koji su zavedeni u sustavima pohrane B2 Kapitala, a koji su financijske prirode te su na taj način prilično osjetljivi.
Mislim da je ovdje AZOP ponešto nedorečen. No, da stvar bude jasna, u svakom se slučaju radi o financijskim podacima budući da su nedvojbeno procurili podaci "klijenata", kako građane čije podatke ima od milja naziva agencija za naplatu potraživanja B2 Kapital.
Agencija za naplatu potraživanja, očito, ima podatke o dužnicima – ljudima koji su u raznim klasama financijskih problema te je iznimno štetno ako ti podaci procure. Moguće je da B2 Kapital ima podatke i o drugim osobama, na primjer, onima koji su svoj dug otplatili, povezanim osobama – jamcima ili sudužnicima te moguće i trećim osobama.
Ovo je prava katastrofa
Tim gore jer se onda i osobe koje nemaju dug, a njihovi su podaci kompromitirani, mogu smatrati dužnicima, što onda pogotovo može narušiti njihov ugled i kreditnu sposobnost. Ako AZOP misli da je zbog neadekvatnog stanja zaštite informacijskih sustava B2 Kapital zapravo izgubio i direktne financijske podatke građana, znači i podatke o visini duga, kamatama, prihodima, imovini ili drugim osobnim financijskim podacima, odnosima između pojedinaca u njihovoj bazi podataka i sl. (ali to u ovom trenutku ne može potvrditi temeljem primljenih podataka), onda ostaje otvorena mogućnost eskalacije cijelog slučaja koji bi tada mogao završiti zaista drakonskom i egzemplarnom kaznom za B2 Kapital.
Treba istaknuti da AZOP navodi kako B2 Kapital godinama ne rješava povrede Uredbe, pogotovo one u pogledu sigurnosti podataka. To je prava katastrofa u očima same Uredbe koja u svom recitalu navodi da ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminaciju, krađu identiteta ili prevaru, financijske gubitke, neovlašteni obrnuti postupak pseudonimizacije (korištenja pseudonima umjesto izvornog podatka), štetu za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu.
Ostaje vidjeti kako će banke proći u ovom slučaju
Kako je u međuvremenu došlo do još veće kompromitacije osobnih podataka agencije za naplatu potraživanja EOS Matrix, iz AZOP-ove objave ne može se iščitati da je istraživao moguće poveznice ova dva incidenta, niti AZOP išta govori o tome je li istraživao i druge, zasad nekompromitirane, agencije za naplatu potraživanja.
Ništa nismo doznali ni o istraživanju samog izvora kompromitacije podataka, na primjer kako su povezane banke i drugi "ustupitelji" dugova s agencijama za naplatu potraživanja, kako su povezane same agencije, koriste li ista tehnološka i softverska rješenja, operativne sustave, sigurnosne i nadzorne sustave, rješenja za obradu i pohranu podataka itd.
Ostali smo uskraćeni i za informaciju namjerava li AZOP istraživati i banke, ali i druge institucije, koje su B2 Kapitalu, kao i ostalim agencijama za naplatu potraživanja ustupale svoja potraživanja i podatke temeljem ugovora o cesiji.
Ostaje otvoreno i pitanje povrede bankarske tajne jer utvrdi li AZOP kako su i banke kršile Opću uredbu o zaštiti podataka nedozvoljenim ustupanjem osobnih podataka klijenata, to bi već samo po sebi potvrdilo povredu bankarske tajne.
Najveća kazna AZOP-a zapravo je blaga kazna
Bankarska tajna regulirana je Zakonom o kreditnim institucijama, no taj zakon u svojem dijelu upućuje na Opću uredbu o zaštiti podataka pa je time, mislim, nadležnost AZOP-a neupitna. Mislim kako se B2 Kapital izvukao s relativno blagom kaznom uzevši u obzir sve grijehe koje mu je AZOP utvrdio, posebno sustavno neprekidno kršenje Uredbe po pitanju sigurnosti podataka.
Pored toga, postoji šansa da im se Upravni sud smiluje i kaznu smanji. Ne mogu se oteti (općem) dojmu kako je AZOP do sada agencije za naplatu potraživanja prilično tetošio s obzirom na godinama i godinama javno dostupan velik broj primjedbi na njihov rad temeljem kojih AZOP može samostalno pokrenuti postupke nadzora.
Smatram kako su agencije za naplatu potraživanja već davno trebale biti nadzirane, ali i drakonski kažnjene zbog onoga što, bar meni, nalikuje na uzastopna očita kršenja Opće uredbe o zaštiti podataka. Teško mi je odagnati sumnju kako nepravilnosti uočene u agenciji B2 Kapital nisu iznimka, već sustavno protupravno postupanje.
B2 Holding i dalje tvrdi da nije bilo sigurnosnih incidenata
No, trebao se desiti prvo jedan, pa nakon toga i drugi sigurnosni incident – oba redom najveća u povijesti Hrvatske – kako bi se AZOP napokon pokrenuo. Kada se uzme u obzir kako su kazne za kršenje Uredbe propisane u iznosu i do 20 milijuna eura, odnosno 4 posto globalnog prihoda, mislim kako je B2 Kapital dobro i prošao u kontekstu prihoda od 37.6 milijuna eura i dobiti od 12.4 milijuna eura.
Osim toga, prema svježoj informaciji, norveški B2 Holding, vlasnik B2 Kapitala, objavio je financijski izvještaj za 2022. godinu (prihod 298 milijuna eura, dobit 38 milijuna eura prema današnjem tečaju) u kojem tvrdi kako nisu imali niti jednu povredu sigurnosti podataka iako je B2 Kapital u tom trenutku već bio pod nadzorom AZOP-a.
Kako B2 Holding kotira na burzi, može ih snaći kazna od 4 posto ukupnog prihoda zbog neistinitog izvještavanja dioničara. B2 Holding se sada "pere" objavom spektakularnog naslova "Informacije u vezi navodne povrede sigurnosti podataka u Hrvatskoj".
Sve im je navodno, a to je zapravo skandal
Nevjerojatno, tvrdi li norveški B2 Holding možda kako je AZOP-u dostavljen "navodni" medij s "navodnim" osobnim podacima "navodnih" građana s "navodnim" porijeklom iz "navodnog" B2 Kapitala, što je sve "navodno" utvrđeno "navodnim" rješenjem "navodne" Agencije za zaštitu podataka?
Ne znam, miriše li sve to na neki mali međunarodni skandal? Pred AZOP-om još je zahtjevan zadatak, nadzor agencije EOS Matrix. Nadam se kako nećemo opet preko četiri mjeseca čekati rješenje te da će AZOP ovaj put poraditi i na utvrđivanju povezanosti dva slučaja, kao i ispitivanju usklađenosti poslovanja i ostalih agencija za naplatu potraživanja s Općom uredbom o zaštiti podataka – prilično zakašnjelom, mislim, ali, bolje ikad nego nikad.