środa, 13 marzec 2019 18:53

KKM: Był nieautoryzowany dostęp, ale czy był wyciek? Ideo wyjaśnia

Napisał

Był nieautoryzowany dostęp, ale nikt nie skopiował danych osobowych z bazy użytkowników Krakowskiej Karty Miejskiej, twierdzi firma IDEO sp. z o.o., która zajmuje się obsługą systemu informatycznego KKM.

O sprawie dostępu do systemu i bazy KKM przez osoby niepożądane i możliwym wycieku danych pisaliśmy w tym artykule: Wyciek danych użytkowników Krakowskiej Karty Miejskiej? Jak twierdzi operator systemu, firma IDEO sp. z o.o., nie włączono wszystkich opcji zabezpieczających, co spowodowało obniżenie poziomu bezpieczeństwa. Przeprowadzony audyt wykazał, że dane osobowe nie zostały fizycznie pobrane z baz. Firma wydała w tej sprawie oświadczenie:

„Informujemy, że zaistniały na przełomie czerwca i lipca 2018 roku nieautoryzowany dostęp do systemu Karty Krakowskiej, był wynikiem braku włączenia w systemie wszystkich opcji zabezpieczających. Mamy świadomość, że sytuacja taka nie powinna mieć miejsca, dlatego z całą odpowiedzialnością przepraszamy.

Niezwłocznie po otrzymaniu informacji na temat zaistniałej sytuacji podjęliśmy działania, które uniemożliwiły dostęp do systemu dla osób niepożądanych. Przeprowadzony przez nas audyt bezpieczeństwa wykazał, że dane osobowe nie zostały fizycznie pobrane z baz. Następstwem zgłoszenia było natychmiastowe zablokowanie dostępu do systemu dla osób niepożądanych. Podnieśliśmy poziomy zabezpieczeń między innymi przez wdrożenie dodatkowych reguł ustawiania haseł. Pozostajemy w stałym kontakcie z Klientem i wspólnie dążymy do całkowitego wyjaśnienia sprawy, również w kontekście ewentualnego dysponowania przez osobę nieupoważnioną jakimikolwiek danymi osobowymi.

Ochrona danych naszych Klientów jest dla nas priorytetem. Na bieżąco realizujemy wymogi wynikające ze zmian prawa, ale i indywidualnych ustaleń z Klientami zarówno pod względem prawnym, jak i bezpieczeństwa.

Zdajemy sobie sprawę z powagi tej sytuacji, dlatego niezwłocznie po uzyskaniu informacji uruchomione zostały dodatkowe procedury wewnętrzne. Pracownicy przechodzą dodatkowe szkolenia w zakresie zabezpieczenia danych naszych klientów. Aktualizujemy procedury i wprowadzamy bardziej restrykcyjne stosowanie się do nich. W realizowanych przez nas systemach ponownie sprawdziliśmy mechanizmy odpowiadające za bezpieczeństwo kont użytkowników oraz danych przechowywanych w systemach. Rozbudowaliśmy mechanizmy, które wymuszają stosowanie skomplikowanych haseł i okresową ich zmianę. Na życzenie Klienta ograniczamy możliwości logowania do systemów jedynie ze wskazanych adresów IP, by uniemożliwić zewnętrzny dostęp do danego systemu. Włączamy także uwierzytelnianie dwustopniowe 2FA.”

(red)

Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.