Španska AEPD kaznila banku zbog deljenog naloga za pristup CCTV snimcima
Španska agencija za zaštitu podataka AEPD kaznila je UNICAJA BANCO zbog toga što je osoblje angažovano u alarmnom centru pristupalo CCTV sistemu banke preko jednog zajedničkog korisničkog imena i lozinke. Pristup snimcima imalo je 10 operatera i jedan koordinator, ali logovi nisu mogli da pokažu koja je konkretna osoba gledala snimke, već samo deljeni nalog i IP adresu terminala. Ugovorna dokumentacija je formalno tražila imenovane naloge, role-based pristup i sledljivost, ali te mere nisu bile stvarno primenjene. AEPD je zaključila da banka, kao rukovalac podacima, nije mogla odgovornost da prebaci samo na obrađivača, jer je morala da proveri da li se ugovorene bezbednosne mere zaista sprovode. Kazna je prvobitno iznosila 500.000 evra, a posle dobrovoljnog plaćanja smanjena je na 400.000 evra.
Deljeni nalozi možda deluju praktično u operativnom radu, ali kod pristupa video snimcima ruše osnovu odgovornosti: ne zna se ko je šta gledao, kada i zbog čega. U slučaju banke, CCTV snimci mogu uključivati klijente, zaposlene, dobavljače i situacije povezane sa prevarama ili identitetom, pa formalna ugovorna klauzula nije dovoljna ako u stvarnom sistemu nema ličnih naloga, razdvojenih uloga i upotrebljivog revizijskog traga.
- Ukinuti deljene naloge za pristup CCTV sistemima, DMS-ovima, SIEM-u, ticketing-u i drugim sistemima sa osetljivim podacima
- Za svakog korisnika obezbediti imenovani nalog, odgovarajuću rolu i minimalna prava prema stvarnoj potrebi
- Redovno proveravati logove pristupa i da li oni zaista omogućavaju identifikaciju konkretne osobe
- U ugovorima sa dobavljačima ne ostati samo na klauzulama, već proveravati stvarnu konfiguraciju sistema
- DPIA i procene rizika koristiti kao operativni dokument: ono što je prepoznato kao kontrola mora biti primenjeno i provereno