Winny niewinny. Morele.net drogo zapłaci za wyciek, urząd wlepił gigantyczną karę
To była głośna sprawa. Ponad 350 tys. rekordów, które wypłynęło po grudniowym ataku hakerskim na morele.net. Teraz urząd nałożył najwyższą dotąd karę w Polsce - 2,8 mln zł. Sprawa budzi duże emocje, jedni krytykują, że UODO znalazł chłopca do bicia, inni chwalą, bo bez tego nie zmusimy firm, by nie traktowały zabezpieczeń po macoszemu,
Gigantyczna kara na morele.net
Teraz UODO informuje, że nałożył na morele.net 2,8 mln zł kary. Urząd zagrał ostro, jeszcze żadnej firmie nie wlepiono tak wysokiej kary, o czym wspomniał na LinkedIn dziekan Wyższej Szkoły Bankowej Maciej Kawecki, który był też pełnomocnikiem ds. wdrożenia przepisów RODO. W tym przypadku reprezentował morele.net.
Jak czytamy w stanowisku UODO:
[...] Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci. Nakładając karę, organ nadzorczy stwierdził, że naruszenie, do jakiego doszło w tej sprawie, miało znaczną wagę i poważny charakter oraz dotyczyło dużej skali osób. W swojej decyzji organ nadzoru wskazał również, że w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, jak np. tzw. kradzież tożsamości. Czytaj więcej
Winny niewinny
Co ciekawe, pod postem na LinkedIn rozpętała się ciekawa dyskusja, eksperci, nawet ci ze świata cyberbezpieczeństwa, podzielili się. Jedni twierdzą, że ta kara jest nieadekwatna, zwłaszcza że morele.net współpracował po wykryciu wycieku, że atak hakerski może dopaść każdego i kara jest tu przesadzona, o ile w ogóle zawiniona. Poetycko ujął to jeden z komentujących, że to jak ukarać potrąconego pieszego za zniszczenie samochodu.
Drugi front z kolei przypomina, by nie zrzucać sprawy na pech i atak hakerski, który mógł przytrafić się każdemu, bo morele.net nie raz, nie dwa gościł w artykułach specjalistów z Niebezpiecznika lub Zaufanej Trzeciej Strony, którzy opisywali rozmaite błędy czy braki w zabezpieczeniach, na jakie się natknęli. Wreszcie tak wysoka kara może być konieczna do potrząśnięcia rynkiem, który od lat w większości bagatelizuje lub przycina wydatki na zabezpieczenia.
Inna sprawa to wizerunek samego regulatora. Dawniej GIODO był instytucją ważną, ale umówmy się - marginalizowaną, mało kogo obchodziły dane osobowe. Do tego był instytucją bezzębną. Po wprowadzeniu RODO, Urząd Ochrony Danych Osobowych dostał nie tylko nowe kły, ale i pazury, może to być rodzaj manifestacji - pobłażanie w kontekście ochrony danych się skończyło.