Monika Dobrowolska, Head of Compliance spółki Blue Media (obecnie Autopay), w komentarzu eksperckim o zarządzaniu kryzysem związanym z wyciekiem danych.
Wprowadzenie
14.04.2023 r. miało miejsce zdarzenie związane z naruszeniem ochrony danych osobowych
w jednej ze spółek zależnych Klienta (Klient – Blue Media, spółka zależna – Autopay
Mobility). Podczas wysyłki mailowej Autopay Mobility, część odbiorców, zamiast pliku z
regulaminem, otrzymała plik zawierający adresy e-mail innych użytkowników aplikacji.
Jak doszło do zaistniałych okoliczności?
Incydent w postaci ujawnienia adresów e-mail części użytkowników aplikacji Autopay jest wynikiem ludzkiego błędu. Podczas wysyłki mailowej Autopay Mobility, część odbiorców, zamiast pliku z regulaminem, otrzymała plik zawierający adresy e-mail innych użytkowników aplikacji. To, co warto odkreślić, to fakt, że adresy mailowe, to jedyne dane, jakie zostały udostępnione. Wszystkie pozostałe dane, które użytkownicy podali przy rejestracji do usługi Autopay Mobility, są bezpieczne i niedostępne dla pozostałych użytkowników aplikacji. Zaistniała sytuacja dotyczyła niewielkiej części (1,3%) bazy klientów Autopay Mobility.
Oś czasu przebiegu incydentu
Zdarzenie związane z naruszeniem ochrony danych osobowych miało miejsce 14.04.2023 r. Podczas wysyłki mailowej Autopay Mobility, część odbiorców, zamiast pliku z regulaminem, otrzymała plik zawierający adresy e-mail innych użytkowników aplikacji.
O godzinie 17:16 tego samego dnia, na skrzynkę IDO Autopay Mobility wpłynęło zgłoszenie od klienta, który otrzymał załącznik z niewłaściwym plikiem. W ciągu kilku minut po otrzymaniu wiadomości, AMP podjęło zgłoszenie i skontaktowało się z poddostawcą (BM). Zatrzymanie wysyłki kampanii mailowej z błędnym załącznikiem nastąpiło tak szybko, jak to było możliwe, czyli pół godziny od otrzymania zgłoszenia.
Jeszcze tego samego dnia, podjęliśmy działania operacyjne, które miały na celu ustalenie zakresu i okoliczności zaistniałej sytuacji, a także ustanowienie dalszego planu działań w związku z incydentem.
Następnego dnia, w sobotę, wysłany został stosowny mailing do osób, które otrzymały błędny załącznik z prośbą o jego usunięcie oraz do osób, których adresy mailowe znajdowały się w błędnie wysłanym załączniku. W tej wiadomości poinformowaliśmy naszych klientów o planowanym dalszym postępowaniu.
Szczegóły techniczne mechanizmów, które firma wdrożyła, aby zapobiec podobnym zdarzeniom w przyszłości
Aby zapobiec podobnym zdarzeniom w przyszłości, wprowadziliśmy szereg działań naprawczych w narzędziu firmowym zarządzającym kampaniami e-mailowymi. Przede wszystkim ograniczyliśmy możliwość załączania dokumentów do wysyłki wyłącznie do określonych formatów plików. Zaimplementowaliśmy mechanizm umożliwiający weryfikację zawartości każdego pliku załączanego do wysyłki pod kątem wyszukiwania adresów e-mail oraz wdrożyliśmy system zarządzania akceptowaniem kampanii e-mail, który polega na tworzeniu i dostarczaniu linku do akceptacji podczas procesu kreowania kampanii.
Dzięki takiemu rozwiązaniu, zarówno przy tworzeniu kampanii mailowej, jak i wprowadzaniu jakiejkolwiek zmiany, system będzie wymagał akceptacji osoby nadzorującej proces. Incydent, mający miejsce w kwietniu, jeszcze bardziej zwiększył naszą czujność, dlatego jestem przekonana, że z pomocą wdrożonych działań naprawczych w narzędziu firmowym, dopełniamy wszelkich starań i zaangażowania, aby nigdy więcej do takiego incydentu nie doszło.
Podsumowanie
Po usystematyzowaniu wszystkich informacji związanych ze zdarzeniem, które miało miejsce w kwietniu tego roku w spółce Autopay Mobility, oraz mają szersze spojrzenie na zaistniałą sytuację, można stwierdzić, że:
o zdarzenie miało charakter incydentalny, który nie miał miejsca w dotychczasowej historii spółki;
o spółka Autopay dopełniła najwyższych starań oraz dowiodła należytej staranności, poprzez sprawne i szybkie zaopiekowanie sytuacji kryzysowej; przedstawiciele spółki podjęli szereg działań zapobiegawczych, niwelując tym samym potencjalne ryzyko rozprzestrzeniania się kryzysu;
o jednocześnie przygotowany dokumenty, regulaminy, procedury oraz stały kontakt z Klientami sprawił, że nie tylko zaistniała sytuacja została zamknięta w bezpiecznych ramach, ale również pozwoli ustrzec się od podobnej sytuacji w przyszłości;
o Nie bez znaczenia jest fakt, że incydent dotyczył nielicznej grupy Klientów Autopay, co oznacza 1,3% bazy klientów Autopay Mobility. Zdarzenie związane było z udostępnieniem adresu e-mail, a tym samym adres email to jedyna kategoria danych, które zostały udostępnione. Wszystkie pozostałe dane, które podawali Klienci do usługi Autopay Mobility, były bezpieczne;
o spółka w sposób zorganizowany i stały była w kontakcie z mediami, udzielając spójnych odpowiedzi na zaistniałą sytuację. Co pozwoliło na pełną kontrolę pojawiających się publikacji.
