Почему общие пароли обошлись испанскому банку в 400 000 евро

Представьте, что вы заходите в хранилище с высокой степенью защиты и обнаруживаете, что каждый сотрудник использует один и тот же физический ключ. Если пропадет пачка наличных, как определить, кто открыл дверь? Это не сюжет фильма об ограблении; это цифровая реальность, которая привела к тому, что Испанское агентство по защите данных (AEPD) оштрафовало Unicaja Banco на 400 000 евро.

В основе этого дела лежит фундаментальный сбой в том, что мы называем контролем доступа. В мире кибербезопасности контроль доступа — это цифровой вышибала, который решает, кому и что разрешено видеть. В случае с Unicaja вышибала фактически спал на посту, позволяя нескольким операторам просматривать конфиденциальные записи видеонаблюдения, используя общие, неперсонифицированные учетные данные.

Призрак в машине

Когда AEPD расследовало практику видеонаблюдения в банке, была обнаружена системная уязвимость. Вместо того чтобы каждый сотрудник службы безопасности имел уникальное имя пользователя и пароль (практика, известная как именные учетные записи), банк полагался на общие логины. С точки зрения регулятора, это смертный грех. Если пять человек используют логин «Security_Admin», банк теряет всякую прослеживаемость.

Прослеживаемость — это след из «хлебных крошек», который позволяет организации восстановить, кто обращался к персональным данным, когда это было сделано и что именно просматривалось. Без этого банк не мог доказать, что люди, наблюдавшие за камерами, имели на это право в конкретный момент времени. Согласно GDPR, данные являются токсичным активом, если с ними не обращаться с предельной осторожностью; видеозаписи граждан особенно чувствительны, поскольку они фиксируют поведение, перемещения и личность в общественных и частных пространствах.

Миф о «непричастном» обработчике данных

Одним из наиболее интересных аспектов этого решения является то, как в нем рассматриваются отношения между «Контролером данных» (банком) и его «Обработчиком данных» (внешней охранной фирмой). Простыми словами, Контролер — это начальник, который решает, зачем собираются данные, а Обработчик — это подрядчик, нанятый для выполнения фактической работы.

Unicaja утверждала, что охранная фирма несет ответственность за техническую реализацию системы наблюдения. Однако AEPD не приняло этот аргумент. В глазах закона Контролер — это капитан корабля. Вы можете делегировать задачу управления штурвалом, но вы не можете делегировать ответственность за следование курсу. Unicaja не смогла проконтролировать своего обработчика, фактически подписав контракт и закрыв глаза на то, что подрядчик использовал устаревшие, небезопасные методы входа в систему.

Комплаенс как компас, а не как контрольный список

Этот штраф в размере 400 000 евро служит суровым напоминанием о том, что комплаенс — это не задача из серии «настроил и забыл». Это непрерывный процесс навигации. AEPD дало Unicaja три месяца на полный пересмотр подхода к видеобезопасности. Речь идет не просто о смене паролей; речь идет о перестройке фундамента их архитектуры конфиденциальности.

Чтобы соответствовать требованиям, банк должен внедрить несколько надежных мер:

• Индивидуальная идентификация: Каждый человек, имеющий доступ к видеопотоку, должен иметь уникальную именную учетную запись.
• Управление доступом на основе ролей (RBAC): Доступ должен быть детализированным. Младшему охраннику может потребоваться просмотр живого эфира, но только старший менеджер должен иметь возможность экспортировать или удалять записанные фрагменты.
• Всестороннее логирование: Система должна автоматически записывать каждый вход, выход и доступ к файлам, создавая постоянный, защищенный от несанкционированного доступа контрольный след (аудит).

Уроки из блокнота цифрового детектива

Как человек, который проводит свои дни, анализируя утечки данных и нормативные документы, я часто вижу эту закономерность. Организации часто рассматривают конфиденциальность как бюрократическое препятствие, а не как фундаментальное право человека. Они инвестируют миллионы в физические хранилища, но оставляют цифровую «заднюю дверь» приоткрытой с общим паролем, написанным на стикере.

В своей работе я отношусь к каждой единице данных как к урану. Он мощный и необходимый, но если у вас нет правильных протоколов экранирования и локализации, он в конечном итоге протечет и нанесет значительный ущерб. Для Unicaja «утечкой» стал не хакер с другого конца света, а системный отказ уважать цифровые следы своих собственных сотрудников и клиентов.

Как провести аудит собственного «цифрового хранилища»

Независимо от того, управляете ли вы малым бизнесом или мультинациональной корпорацией, дело Unicaja предлагает практические уроки для того, чтобы оставаться на правильной стороне закона:

1. Уничтожьте общие учетные записи: Если ваша команда использует один логин для любой системы, содержащей персональные данные (электронная почта, CRM, видеонаблюдение), отключите его сегодня же.
2. Проверяйте своих поставщиков: Не предполагайте, что ваши поставщики программного обеспечения или охранные подрядчики соблюдают правила. Запрашивайте журналы аудита и доказательства их протоколов безопасности.
3. Принцип наименьших привилегий: Дайте людям только минимальный объем доступа, необходимый им для выполнения работы. Если им не нужно скачивать данные, уберите кнопку «Скачать» из их интерфейса.
4. Проверяйте след: Периодически проверяйте логи доступа. Если вы видите вход в систему в 3:00 утра от сотрудника, который работает только в дневную смену, вы обнаружили тревожный сигнал до того, как он превратился в штраф.

В конечном счете, «конфиденциальность по проектированию» (privacy by design) — это фундамент дома. Если фундамент треснул — если вы даже не можете с уверенностью сказать, кто смотрит на ваши данные — вся структура становится шаткой.

Источники

• General Data Protection Regulation (GDPR), Article 5(1)(f) (Integrity and Confidentiality) and Article 32 (Security of Processing).
• Spanish Organic Law 3/2018 (LOPDGDD) on the Protection of Personal Data.
• AEPD Decision PS/00392/2023 regarding Unicaja Banco S.A.

Отказ от ответственности
Данная статья предоставлена исключительно в информационных и журналистских целях. Она не является юридической консультацией. Для получения конкретных рекомендаций по соблюдению правил конфиденциальности, пожалуйста, проконсультируйтесь с квалифицированным юристом.