Irlanti määräsi Metalle 91 miljoonan euron sakot massiivisesta salasanan rikkomisesta

Irlannin tietosuojakomissio (DPC) on määrännyt Facebookin emoyhtiölle Metalle 91 miljoonan euron sakot vakavasta salasanan tietoturvaloukkauksesta, joka vaikutti 36 miljoonaan Facebookin ja Instagramin käyttäjään Euroopan talousalueella (ETA).

Vuoden 2019 alussa havaittu tietomurto sisälsi sen, että Meta vahingossa tallensi käyttäjien salasanat pelkkänä tekstinä, mikä altistaa heidät merkittäville tietoturvariskeille.

Sakko korostaa Metan laiminlyöntiä riittävien turvatoimien toteuttamisessa ja sen viivästymistä ilmoittaessaan rikkomuksesta viranomaisille.

Meta sai kovan sakon suurista tietoturvavirheistä

Huhtikuussa 2019 Meta ilmoitti Irlannin DPC:lle, että se oli "tahattomasti tallentanut tiettyjä sosiaalisen median käyttäjien salasanoja" suojaamattomassa, luettavassa muodossa sisäisiin järjestelmiinsä.

Tämä löytö sai DPC:n tiedustelun, jonka mukaan Metan tallennuskäytännöt aiheuttivat käyttäjille merkittävän turvallisuusriskin.

Pelkänä tekstinä tallennetut salasanat jättivät miljoonia tilejä alttiiksi luvattomille osapuolille, jotka pääsivät käsiksi arkaluontoisiin tietoihin.

DPC:n tutkimuksessa kävi ilmi, että rikkomus vaikutti 36 miljoonaan käyttäjään kaikkialla ETA:ssa, mukaan lukien EU, Islanti, Liechtenstein ja Norja.

Vaikka Meta totesi, että salasanoihin ei ole saatu näyttöä tai väärinkäyttöä, valvontaviranomainen piti yrityksen toimia riittämättöminä käyttäjien tietojen suojaamisessa ja määräsi rikkomuksesta reilun sakon.

Metan viivästys kärjistää sakkoa

Toinen kriittinen tekijä DPC:n päätöksessä oli Metan viivästynyt ilmoittaminen rikkomuksesta.

Vaikka yritys havaitsi ongelman tammikuussa 2019, se ei varoittanut sääntelyviranomaista ennen saman vuoden maaliskuuta, jolloin miljoonien käyttäjien henkilötiedot olivat näkyvissä kuukausia ilman toimia.

DPC huomautti nopeasti, että ilmoittamisen viivästyminen oli GDPR-säännösten vastaista, joka edellyttää yritysten ilmoittavan viranomaisille 72 tunnin kuluessa tällaisten tapausten havaitsemisesta.

Tämä viive vain pahensi tietomurron vakavuutta, koska se antoi haitallisille toimijoille enemmän aikaa mahdollisesti hyödyntää haavoittuvuutta.

DPC piti Metan tapaa käsitellä tilannetta riittämättömänä ja huomautti, että sosiaalisen median jättiläisen asianmukaisten turvatoimien puute vaikutti suoraan tietojen paljastukseen.

Metan reaktio ja seuraavat askeleet

Meta selitti puolustuksessaan, että salasanaongelma johtui sisäisestä virheestä ja että ongelma ratkesi välittömästi sen havaitsemisen jälkeen.

Yritys väittää, että virhe vaikutti vain rajoitettuun määrään käyttäjiä, ja se ilmoitti ennakoivasti DPC:lle, kun ongelma havaittiin.

Meta totesi lisäksi, että ei ollut näyttöä siitä, että salasanoja olisi koskaan käytetty tai käytetty haitallisiin tarkoituksiin.

Näistä vakuutuksista huolimatta DPC korosti, että salasanojen tallentaminen selväkielisenä on vakava kyberturvallisuuden perusperiaatteiden rikkomus.

Komissio korosti, että parhaat käytännöt edellyttävät, että arkaluontoiset tiedot, mukaan lukien salasanat, olisi aina säilytettävä salatussa muodossa, jotta estetään väärinkäyttö luvattoman käytön yhteydessä.

Metan taloudelliset ja mainevaikutukset

91 miljoonan euron sakko on Metalle merkittävä taloudellinen rangaistus, mutta maineelle aiheutuva vahinko voi olla vielä kalliimpi.

Teknologian jättiläisten henkilötietojen käsittelyn lisääntyessä, erityisesti GDPR-säännösten valossa, tapaus lisää Metan kohtaamien haasteiden kasvavaa luetteloa EU:ssa.

Rikkomus toimii jyrkänä muistutuksena tehokkaiden kyberturvallisuustoimenpiteiden tärkeydestä, etenkin kun on kyse arkaluonteisten käyttäjätietojen käsittelystä.

Tämä uusin sakko lisää joukkoa eurooppalaisten viranomaisten Metaa vastaan toteuttamia sääntelytoimia.

Yrityksen laajan käyttäjäkunnan ja merkittävän vaikutusvallan ansiosta tällaiset tapaukset lisäävät huolta siitä, miten se käsittelee miljoonien ihmisten sille maailmanlaajuisesti uskomia henkilötietoja.

Vahvistettu viranomaisvalvontaa

DPC:n päätös määrätä Metalle merkittävä sakko lähettää selkeän viestin muille EU:ssa toimiville yrityksille: GDPR-standardien noudattamatta jättäminen johtaa vakaviin seurauksiin.

Taloudellisen seuraamuksen lisäksi Metan käsittely rikkomuksessa korostaa tarvetta tehostaa teknologia-alan valvontaa.

Kun kyberhyökkäykset ja tietomurrot yleistyvät, sääntelyviranomaiset ympäri maailmaa lisäävät ponnistelujaan saadakseen yritykset vastuuseen turvallisuuden ja avoimuuden puutteista.

Metalle 91 miljoonan euron sakko voi olla vasta alkua, sillä yritys joutuu edelleen tarkastelemaan tietosuojakäytäntöjään useilla lainkäyttöalueilla.