Netia wzorowo informuje osoby poszkodowane w wycieku

dodał 9 lipca 2016 o 21:36 w kategorii Włamania  z tagami:
Netia wzorowo informuje osoby poszkodowane w wycieku

W przypadku incydentów bezpieczeństwa związanych z wyciekami danych rzadko można napisać coś dobrego o sposobie w jaki poszkodowana firma reaguje na incydent oraz jak informuje ofiary. Tym razem jest jednak inaczej.

Włamania i wycieki danych stają się chlebem powszednim firm i ich klientów. Miliardy wpisów z baz danych takich gigantów jak Adobe, LinkedIn czy Myspace krążą po sieci. W dzisiejszych czasach mówi się nawet, że incydentom nie można zapobiec – można jedynie skracać czas ich wykrycia i poprawiać sposób reakcji. Dzisiejszy artykuł będzie właśnie o reakcji – i to o reakcji właściwej i całkiem dojrzałej.

Szybkie i zdecydowane ruchy

Netii trzeba przyznać, że na informacje o incydencie zareagowała szybko i zdecydowanie. Według naszych danych między pojawieniem się w sieci pierwszych informacji o włamaniu i wycieku danych a wyłączeniem serwerów WWW minęło najwyżej kilkadziesiąt minut. Na nas zrobiło to wrażenie. Informacja o włamaniu przez kilka godzin nie docierała do mediów, a Netia już walczyła z incydentem. Co więcej, szybko oceniając metodę ataku włamywaczy, wyłączyła serwery które mogły być wykorzystywane do dalszego wykradania danych – co nie dla każdej firmy jest tak oczywiste (znamy przypadki incydentów które rozwijały się na szkodę firmy wiedzącej już o intruzach w swojej sieci, ponieważ ktoś podjął decyzję „ale serwer poczty to zostawmy bo go potrzebujemy”). Netia prawidłowo uznała, że lepiej odciąć klientów od swojej witryny niż zostawić ją pod kontrolą włamywaczy.

Według komunikatów prasowych Netia zdecydowała się także na zatrudnienie zewnętrznego podmiotu, który ma pomóc w zarządzaniu incydentem. To także mądra decyzja – niewiele jest w Polsce organizacji posiadających takie kompetencje wewnątrz i na dobrym poziomie.

Komunikacja z mediami

W przeciwieństwie do niektórych innych polskich firm które padły ofiarami włamywaczy Netia komunikowała się ze światem prawie wzorowo. Co prawda treść komunikatów była nieco opóźniona wobec naszych ustaleń (np. określenie zakresu wycieku nastąpiło dopiero następnego dnia) ale jesteśmy w stanie zrozumieć, że w takiej sytuacji nawet posiadanie przez Netię kompletu informacji w pierwszych godzinach incydentu nie musi oznaczać przekazywania wszystkiego na zewnątrz. Lepiej przekazywać informacje trzy razy zweryfikowane niż raz się w komunikacie pomylić. Netia w swoich komunikatach zawarła wszystkie istotne dane i choć miały one nutkę PR-ową to była ona delikatna i nikt nie próbował chować afery pod dywanem.

Również w komunikacji z nami Netia była bardzo rzeczowa i przyjazna. To miła odmiana po groźbach przekazywanych przez wynajętych prawników. Podziwiamy tym bardziej, że domyślamy się w jakim stresie musiały pracować osoby zajmujące się obsługą incydentu.

Komunikacja z klientami

Dzisiaj Netia poinformowała o incydencie wiele osób, których numery telefonów lub adresy email znalazły się wśród wykradzionych danych. Komunikat był jasny i prosty. Treść SMSa wyglądała następująco:

Netia informuje, ze osoby nieuprawnione pozyskaly ten numer telefonu. Wiecej informacji na stronie daneosobowe.netia.pl
Komunikat Netii

Komunikat Netii

Z kolei w wiadomości poczty elektronicznej był pełen komunikat (taki sam jak pod podanym adresem WWW):

Szanowni Państwo,

niezwłocznie informujemy, że 7 lipca 2016 roku strona internetowa netia.pl została zaatakowana przez hakerów. Doszło do naruszenia danych osobowych, które przekazali Państwo poprzez formularze na stronie netia.pl

Pragniemy pokreślić, że dane Klientów oraz firm współpracujących są zabezpieczone przez ekspertów Spółki, których wspomaga dodatkowy, wysoko wykwalifikowany, zewnętrzny zespół doradczy.

Hasła i loginy do portalu samoobsługowego NetiaOnline są bezpieczne, dlatego nie ma konieczności podejmowania żadnych dodatkowych działań ze strony Klientów.

Informacja o naruszeniu danych osobowych

W wykonaniu obowiązku określonego w art. 174a ust. 3 oraz ust. 8 ustawy z dnia 16 lipca 2004 r. – prawo telekomunikacyjne tj. z dnia 10 stycznia 2014 r. (Dz.U. z 2014 r. poz. 243 ze zm.), przekazujemy następujące informacje:

7 lipca 2016 r., o godz. 11:03 przeprowadzono atak hakerski na serwis netia.pl.

W wyniku ataku hakerskiego naruszone zostały dane osobowe abonentów Netia S.A. lub potencjalnych Klientów będących osobami fizycznymi. W wyniku ataku hakerzy uzyskali dostęp do danych użytkowników przekazywanych za pośrednictwem serwisu netia.pl (formularz kontaktowy oraz formularz umowy elektronicznej). Zgodnie z wiedzą Spółki bezprawnie uzyskane dane osobowe zostały opublikowane w sieci Internet i stały się publicznie dostępne.

Ze względu na naruszenie i publikację danych, jeśli jesteście Państwo proszeni poprzez mail, sms lub telefon o podanie danych osobowych lub dokonanie zmian na stronach (np. zmianę haseł) prosimy o zachowanie szczególnej ostrożności.

Netia przygotowała także stosowne zawiadomienia o zaistniałym zdarzeniu do właściwych organów, w tym w szczególności GIODO oraz organów ścigania.

Netia zabezpieczyła logi systemu oraz pozostałe informacje mogące pozwolić na ustalenie przebiegu ataku oraz podmiotów odpowiedzialnych. Odtworzyła także działanie systemu i zweryfikowała jego zabezpieczenia.

Obowiązek wysłania takiego komunikatu do klientów regulują przepisy Prawa Telekomunikacyjnego. Art. 174a ust. 3 mówi:

W przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.

Netii trzeba przyznać, że zdążyła komunikat wysłać już drugiego dnia, co bez wątpienia nie jest sprawą łatwą (technicznie jest to dość proste, ale kto nie uzgadniał dwa tygodnie treści korporacyjnego komunikatu niech pierwszy rzuci kamieniem).

Co ciekawe, wiele osób na profilu facebookowym Netii twierdzi, że z firmą nigdy nie miało nic wspólnego. Jest wiele powodów, dla których te osoby mogły dostać SMSa (dużo mniej dla wiadomości email), wyjaśniamy je poniżej. Zjawisko to wskazuje, że faktycznie Netia obowiązek informacyjny potraktowała poważnie i wiadomość dostał każdy numer telefonu znajdujący się w ujawnionych danych.

Dostałem SMSa, a nigdy nie miałem z Netią nic wspólnego

Warto zacząć od wskazania, że ujawnione dane po pierwsze pochodziły głównie z formularzy zamówień/umowy oraz formularzy kontaktowych a po drugie sięgały 6 lat wstecz. Charakter formularzy wskazuje, że do zawarcia umowy z Netią wcale nie musiało dojść – mogło być to po prostu zapytanie o cenę, warunki czy dostępność usług. Co więcej, dane mogły być podawane na stronie partnera Netii, który przekazywał je firmie docelowej. Wśród ujawnionych danych na pewno znajdowały się informacje dotyczące osób, które nigdy klientami Netii nie zostały. Drugim ważnym elementem jest czas. Jeśli mieliście numer telefonu przez krócej niż 6 lat, to jest szansa, że jego poprzedni posiadacz mógł być klientem Netii (lub chciał nim zostać), po czym zmienił numer telefonu a jego stary numer trafił do Was – stąd zaskakujący SMS. Po trzecie ktoś mógł podać Wasz numer przez pomyłkę – baza była spora, więc i pomyłek w niej pewnie nie brakowało. Oczywiście jest także czwarta opcja – może kiedyś chcieliście się skontaktować z Netią, lecz po prostu o tym zapomnieliście.

Nieco inaczej wygląda sytuacja z adresem poczty elektronicznej – adresy rzadko przechodzą na inne osoby i trudniej zrobić w nich literówkę skutkującą powstaniem działającego adresu należącego do innej osoby. Jeśli dostaliście od Netii email o incydencie a nigdy nie mieliście z tą firmą żadnej relacji, skontaktujcie się z nimi i zapytajcie skąd taka wiadomość w Waszej skrzynce.

Podsumowanie

Na incydent Netia zareagowała bardzo profesjonalnie. Oczywiście lepiej gdyby do incydentu nie doszło, ale dobra reakcja także jest ważna – i do tego niestety nadal rzadko spotykana. Mamy nadzieję, że firma na tym nie poprzestanie i pójdzie krok dalej, udostępniając przynajmniej streszczenie raportu powłamaniowego. Byłby to chyba jeden z pierwszych przypadków tego typu na naszym rynku – a pewnie pierwszy dotyczący tak dużej firmy.

Aktualizacja 2016-07-10

Otrzymaliśmy najnowsze oświadczenie Netii:

7 lipca 2016 roku około południa strona internetowa netia.pl została zaatakowana przez hakerów. Wszystkie serwisy firmy działają prawidłowo. Hasła i loginy dostępu do NetiaOnline pozostały cały czas bezpieczne.

Ponieważ w wyniku włamania doszło do kradzieży i upublicznienia danych klientów i użytkowników z formularzy na stronie www.netia.pl, Netia powiadomiła niezwłocznie wszystkie osoby, do których danych dostęp mieli atakujący. Wszyscy zainteresowani otrzymali także informacje, jakich danych dotyczyło naruszenie. Wszelkie informacje znajdują się na stronie daneosobowe.netia.pl

Firma powiadomiła też wszystkie odpowiednie organy o zdarzeniu oraz jego potencjalnych konsekwencjach i podjętych środkach zaradczych.

Zdajemy sobie sprawę, że klienci i użytkownicy mogli być narażeni na dodatkowe niedogodności.  Bezpieczeństwo  jest dla nas priorytetem. Do tej pory stosowaliśmy zabezpieczenia zgodne z dobrymi standardami branżowymi, jesteśmy jednak zdeterminowani, by zminimalizować ryzyko podobnych wydarzeń w przyszłości. Netia przeprowadza, wraz z zespołem ekspertów od cyberbezpieczeństwa, gruntowną kontrolę wszystkich zabezpieczeń. Bardzo przepraszamy za sytuację, do której doszło.