Öryggisbrestur í kerfum Strætó

Mál nr. 2021122453

19.12.2023

Ákvörðun

Hinn 28. nóvember 2023 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2021122453.

I.

Málsmeðferð og atvik máls

1.

Upphaf máls

Hinn 27. desember 2021 barst Persónuvernd tilkynning um öryggisbrest frá Strætó bs. (hér eftir Strætó). Samkvæmt tilkynningunni varð tölvukerfi Strætó fyrir fjandsamlegri árás. Greint var frá því að Strætó hefði borist tölvupóstur 24. desember 2021 frá utanaðkomandi aðila sem sagðist hafa komist yfir gögn fyrirtækisins og beindi fyrirmælum til Strætó um hvernig varast mætti gagnaleka. Daginn eftir hefði starfsmaður Strætó jafnframt gert viðvart um ný óviðkomandi skjöl á vefþjóni. Við skoðun skjalanna hefði komið í ljós að þau innihéldu sömu skilaboð og hefðu borist með fyrrgreindum tölvupósti. Strætó hafi því talið ljóst að illviljaður aðili hefði komist inn fyrir varnir tölvukerfa fyrirtækisins og komið nefndum skrám fyrir á vefþjóni. Í kjölfarið hafi verið lokað á þá leið sem árásaraðilinn hefði nýtt sér til aðgangs.

Persónuvernd bárust tvær viðbótartilkynningar frá Strætó, 4. og 10. janúar 2022, þar sem nánari upplýsingar voru veittar um öryggisbrestinn.

Í fyrri viðbótartilkynningunni kemur fram að Strætó hafi fengið til liðs við sig Syndis ehf. (hér eftir Syndis) til að rannsaka öryggisbrestinn og ráðleggja um nauðsynlegar ráðstafanir. Auk þess hafi vinnsluaðili Strætó, Advania Ísland ehf. (hér eftir Advania), komið að rannsókn brestsins og ráðstöfunum. Rannsóknin hafi leitt í ljós að árásaraðilinn hafi komist inn á skjalasvæði Strætó, sem geymi sameiginleg drif, inn í málaskrá fyrirtækisins, bókhalds- og launakerfi, sem og netþjón fyrir símkerfi. Að auki hafi árásaraðilinn komist yfir gögn sem Strætó hafi nýtt í þjónustu sinni fyrir sveitarfélögin í tengslum við akstur fyrir fatlaða einstaklinga. Greint er frá því að árásaraðilinn virtist hafa afritað upplýsingar úr þessum kerfum á tímabilinu 11.-15. nóvember 2021 og tímabilinu 20.-21. s.m. Hópurinn sem standi að baki árásinni kalli sig Karakurt og sé þekktur fyrir árásir á fjölda fyrirtækja og stofnana í Bandaríkjunum og Evrópu. Hópurinn hafi hótað því að leka umræddum gögnum nema Strætó greiddi uppsett verð fyrir 6. janúar 2022. Strætó hafi fylgt leiðbeiningum netöryggissveitarinnar CERT-IS og ekki orðið við kröfum árásaraðila um greiðslu.

Í síðari viðbótartilkynningu Strætó segir að til viðbótar við framangreind kerfi hafi árásaraðilinn komist yfir afrit af þjóðskrá, sem og afrit af kerfiskennitöluskrá, skjaladrifi, móttökukerfi og viðhaldskerfi. Greint er frá því að Strætó hafi birt fréttatilkynningu um öryggisbrestinn í fjölmiðlum auk þess sem tilkynning hafi verið birt á vefsíðum Strætó. Þá hafi starfsmönnum og fyrrum starfsmönnum verið send tilkynning um öryggisbrestinn með tölvupósti, auk þess sem tilkynning hafi verið send þeim sveitarfélögum sem Strætó þjónustar í tengslum við akstursþjónustu fyrir fatlað fólk.

2.

Andlag öryggisbrestsins

Í tilkynningu Strætó frá 4. janúar 2022 er áætlað að öryggisbresturinn varði um 10.000 – 15.000 einstaklinga. Í tilkynningunni er eftirfarandi upptalning á upplýsingum sem árásaraðilinn komst yfir:

• Nöfn, fæðingardagar, heimilisföng

• Kennitölur

• Tengiliðaupplýsingar

• Auðkennisupplýsingar

• Fjárhagsupplýsingar

• Lykilorð og/eða notendanöfn

• Reikningsnúmer

• Launaupplýsingar

• Refsiverður verknaður/viðurlög, þ.e. upplýsingar um hvort starfsumsækjandi/verktaki sé með hreina sakaskrá

• Tölvupóstföng

• Stéttarfélagsaðild

• Heilsufarsupplýsingar

• Ljósmyndir

Í tilkynningu Strætó frá 10. janúar 2022 eru jafnframt tilgreindar þær upplýsingar sem varðveittar voru í kerfum fyrirtækisins og árásaraðilinn komst yfir. Nánar tiltekið er um að ræða eftirfarandi gögn:

• Afrit af þjóðskrá: Í því kerfi voru upplýsingar um einstaklinga sem voru eða höfðu verið skráðir til lögheimilis á Íslandi og íslenska ríkisborgara búsetta erlendis, þ.e. upplýsingar um nafn, kennitölu, kyn, lögheimili, hjúskaparstöðu, fjölskyldunúmer, afdrif (týndur eða látinn) birtingarnafn og bannmerkingu, auk nafns og kennitölu maka. Í þjóðskrárgrunninum voru upplýsingar um 498.960 einstaklinga.

• Afrit af kerfiskennitöluskrá: Í því kerfi voru upplýsingar um einstaklinga sem voru eða höfðu verið búsettir á Íslandi án lögheimilis, þ.e. upplýsingar um nafn, kennitölu, dvalarstað, póstnúmer, póstfang sveitarfélags, götuheiti, birtingarnafn, dagsetningu umsóknar, dagsetningu nýskráningar og númer viðkomandi í skránni. Í kerfinu voru einnig upplýsingar um kennitölu þess aðila sem hafði beðið um kerfiskennitölu fyrir hinn skráða, en slíkir aðilar voru, eftir atvikum, einstaklingar. Í kerfiskennitölugrunninum voru upplýsingar um 76.984 einstaklinga.

• Bókhaldskerfi: Í því kerfi voru upplýsingar um tengiliðaupplýsingar forsvarsmanna viðskiptavina, birgja og samstarfsaðila sem og afrit af reikningum.

• Skjaladrif: Drifið var sameiginlegt drif Strætó og einkadrif sem starfsmenn höfðu eftir atvikum vistað upplýsingar á. Strætó hefur ekki upplýsingar um hvaða gögn eru á einkadrifum starfsmanna.

• Móttökukerfi: Í því kerfi voru upplýsingar um einstaklinga sem höfðu heimsótt starfsstöð Strætó, þ.e. upplýsingar um nafn (yfirleitt fornafn), upplýsingar um hvaða starfsmann viðkomandi var að fara að hitta og upplýsingar um tímasetningu og lengd fundar. Í kerfið höfðu verið skráðar 192 heimsóknir.

• Viðhaldskerfi: Í kerfinu voru upplýsingar um viðhald á ökutækjum Strætó, hvaða starfsmenn höfðu sinnt viðhaldi í tiltekin skipti og á hvaða tíma.

• Símtalakerfi: Í því kerfi voru hljóðupptökur símtala síðustu 90 daga fyrir árásina. Við hverja hljóðupptöku komu fram upplýsingar um símanúmer beggja aðila.

• Akstursþjónusta fatlaðs fólks: Í kerfinu voru gögn sem Strætó nýtti í þjónustu sinni fyrir sveitarfélögin vegna aksturs fatlaðra einstaklinga.

3.

Frekari bréfaskipti og afmörkun máls

Með bréfum, dags. 11. janúar 2022 og 24. maí s.á., óskaði Persónuvernd frekari skýringa frá Strætó í tengslum við öryggisbrestinn. Strætó svaraði með tölvupósti 25. janúar og 7. júní s.á. Með tölvupósti 23. febrúar 2023 óskaði Persónuvernd eftir skýrslu Syndis, sem unnið hafði að greiningu á öryggisbrestinum fyrir Strætó. Skýrslan barst Persónuvernd með tölvupósti 1. mars s.á. ásamt viðbótarupplýsingum frá Strætó.

Persónuvernd taldi þörf á skýringum frá Advania, vinnsluaðila Strætó, og óskaði þeirra með bréfum til fyrirtækisins, dags. 19. maí 2023 og 30. júní s.á. Svör Advania bárust Persónuvernd með tölvupósti 5. júní og 7. ágúst s.á. Persónuvernd veitti Strætó kost á að tjá sig um svör Advania með bréfum, dags. 15. júní og 18. ágúst 2023. Strætó svaraði með tölvupósti 29. júní og 13. september s.á. Þá veitti Persónuvernd Advania færi á að tjá sig um svör Strætó með bréfi, dags. 18. september 2023. Advania svaraði með tölvupósti 3. október s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi ákvörðun.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

II.

Sjónarmið ábyrgðar- og vinnsluaðila

Hér verða rakin sjónarmið aðila varðandi rannsókn á öryggisbrestinum, ráðstafanir sem voru viðhafðar í aðdraganda hans og ráðstafanir sem gripið var til í kjölfar hans, sem þýðingu hafa fyrir úrlausn þessa máls.

1.

Sjónarmið Strætó

Í svörum Strætó er farið yfir þær öryggisráðstafanir sem voru viðhafðar á þeim tíma þegar öryggisbresturinn varð og í þeim kerfum sem hann varðaði. Samkvæmt því sem þar kemur fram voru í gildi verklagsreglur fyrir starfsmenn, m.a. um aðgangsstýringar, samþykki ábyrgðarmanns fyrir aðgangi notenda og rekjanleika aðgangs, um kröfur til lykilorða, læsingu notendaaðgangs eftir tilgreindan fjölda misheppnaðra tilrauna til innskráningar, sjálfkrafa læsingu tölva og lokun aðgangs við starfslok. Einnig segir að árleg úttekt hafi verið gerð til að tryggja framfylgni við verklagsreglurnar. Þá hafi verið í gildi vinnureglur um meðferð tölvupósts og netnotkun starfsmanna, sem hafi miðað að því að tryggja upplýsingaöryggi tölvukerfa Strætó. Í reglunum hafi m.a. verið farið yfir aðgangs- og lykilorð og starfsmönnum leiðbeint um tölvuveirur og tölvupósta sem geta innihaldið veirur. Starfsmenn hafi jafnframt fengið fræðslu um öryggi persónuupplýsinga. Útstöðvar í eigu Strætó hafi enn fremur verið auðkenndar og þeim stýrt miðlægt og gagnageymsla vélanna verið dulkóðuð. Hægt hafi verið að eyða öllum gögnum af útstöðvum miðlægt ef þörf krefði, t.d. við þjófnað. Aðrar öryggisráðstafanir í kerfunum hafi falið í sér vírusvarnir, mánaðarlegar skýrslur á grundvelli vírusvarna, tvíþátta auðkenningu á VPN-gátt og vöktun á óeðlilegri virkni og hegðun notenda, t.d. þeirri sem líkist gagnagíslatöku. Þessu til viðbótar hafi vinnsluaðilinn, Advania, viðhaft öryggisráðstafanir í samræmi við vinnslusamning þeirra, sem hafi verið undirritaður að undangenginni úttekt á öryggisráðstöfunum fyrirtækisins. Samkvæmt samningnum hafi Advania skuldbundið sig til að gera viðeigandi skipulagslegar og tæknilegar ráðstafanir í samræmi við kröfur persónuverndarlaga. Öll hýsing hjá Advania sé vottuð samkvæmt ISO/IEC 27001 staðlinum og séu öll grunnkerfi í hýsingarumhverfinu rekin samkvæmt því. Í skýringum Strætó er einnig farið yfir ákvæði þjónustusamnings aðilanna sem lúta fyrst og fremst að rekstri netþjóna og netkerfis.

Í svörum Strætó kemur fram að fyrirtækið hafi leitað aðstoðar Syndis við að rannsaka hvernig árásaraðilinn komst inn í tölvukerfi fyrirtækisins og hvaða aðgerðir hann framkvæmdi þar. Í skýrslu Syndis er gefið til kynna að ytri árásarflötur Strætó hafi verið tveir netþjónar en einnig sé hugsanlegt að veira hafi komist inn á kerfi Strætó í gegnum vefveiðipóst til starfsmanns. Að mati Syndis sé ekki unnt að fullyrða með vissu hvernig árásin var framkvæmd vegna skorts á atvikaskráningum (e. log files).

Rannsókn Syndis hafi þó leitt í ljós að mikill fjöldi tölva á netum Strætó hafi átt samskipti við grunsamlegar þjónustur (IP-tölur), t.a.m. hafi tilteknar IP-tölur verið notaðar til að sækja gögn af kerfum Strætó og til að stýra gagnaleka úr kerfum Strætó. Minniháttar gagnaleki hafi átt sér stað 11.-15. nóvember 2021 en mesti gagnalekinn hafi átt sér stað 20.-21. desember s.á., u.þ.b. 2,4 terabæti (TB) að umfangi. Þau gögn hafi verið flutt á skráarhýsingarþjónustu, á margar IP-tölur, og því megi leiða líkum að því að sömu gögn hafi verið sótt oftar en einu sinni. Í lok skýrslunnar segir að helsta lærdóminn, sem megi draga af atvikinu, sé mikilvægi atvikaskráninga og vöktun þeirra. Atvikaskráningu hafi verið ábótavant þar sem atvikaskrár voru yfirskrifaðar og ekki tiltækar nægilega langt aftur í tímann. Fyrstu vísbendingar atviksins hafi komið fram í byrjun október 2021, þ.e. tæpum fjórum mánuðum áður en gögn voru tekin af skjalasvæði Strætó. Slíkt magn gagna, sem tekið var úr kerfum Strætó á stuttum tíma, hefði átt að kalla á viðbrögð.

Í minnisblaði Strætó við rannsóknarskýrslu Syndis segir að Strætó telji ólíklegt að vefveiðipóstur hafi verið inngangspunktur árásaraðila, þar sem fyrirtækið hafi verið með virka tvíþátta auðkenningu frá árinu 2020, bæði á Microsoft 365 umhverfi sínu sem hýsir póstkerfi Strætó, og VPN-tengingu. Strætó telji því að umræddir netþjónar, sem báðir hafi verið í rekstri hjá Advania, hafi verið inngangspunktur árásarinnar. Vísað er til þess að Advania hafi tekið að sér allan rekstur netumhverfis Strætó á grundvelli þjónustusamnings aðila frá 1. nóvember 2016, þ.m.t. rekstur á netþjónum og netkerfi. Samkvæmt þjónustusamningnum feli rekstur netþjóns í sér vöktun, viðhald og frávik. Þá feli rekstur netkerfis í sér vöktun og viðbragð við rekstrarfrávikum.

Í skýringum Strætó er á því byggt að Advania hafi ekki staðið að fullu við samningsskuldbindingar sínar gagnvart Strætó og ekki sinnt lögbundnum skyldum sínum hvað varðar skipulagslegar og tæknilegar öryggisráðstafanir. Strætó telur skýrt að með þjónustusamningnum hafi Advania verið falin vöktun á netumhverfi, þ.e. netþjónum og netkerfi, og í því felist bæði atvikaskráning og eftirfylgni með slíkri skráningu til að geta brugðist við frávikum, þ.m.t. öryggisfrávikum. Strætó hafi ekki gert sérstaka kröfu um vöktun netumferðar, umfram vöktun á álagi og afkastagetu, í samningum við Advania. Þess í stað hafi Strætó lagt það í hendur Advania að tryggja öryggi alls netumhverfis til viðbótar við þær sérstöku ráðstafanir, sem kveðið er á um í samningi þeirra.

Þá er í svörum Strætó farið yfir þær ráðstafanir sem gerðar voru í kjölfar öryggisbrestsins í þeim tilgangi að lágmarka skaðann af brestinum. Meðal annars kemur fram að Strætó hafi leitað til Syndis til að fá ráðleggingar um nauðsynlegar ráðstafanir og netöryggissérfræðingur hjá Deloitte ehf. hafi verið fenginn til að skanna IP-tölur og búnað fyrir þekktum veikleikum. Strætó hafi einnig gripið til aðgerða til að vakta mögulega opinberun upplýsinganna frá árásaraðilanum og fengið til liðs við sig þjónustuveitanda sem sérhæfir sig í slíkum málum. Að auki er greint frá því að Strætó hafi lagt í töluverða fjárfestingu eftir innbrotið til að lágmarka líkurnar á öðru innbroti í tölvukerfi Strætó. Meðal annars hafi allar útstöðvar Strætó verið enduruppsettar, aðgangsheimildir starfsmanna verið yfirfarnar og nánara eftirlit verið sett upp með uppfærslustjórnun Advania og öðrum skyldum þjónustuaðila. Jafnframt hafi hlutverki upplýsingaöryggisstjóra verið útvistað til Deloitte ehf. og vöktunarmiðstöð netöryggis hafi verið útvistað til þriðja aðila sem sjái eftirleiðis um að vakta atvikaskráningar úr kerfum Strætó.

2. Sjónarmið Advania

Í svörum Advania segir að fyrirtækið hafi gert þjónustusamning við Strætó um hýsingu og sérfræðirekstur. Þjónustan sem Advania veitti samkvæmt samningnum hafi snúist um uppitíma netþjóna og mælingu á netumferð í rekstrarlegum tilgangi. Þjónustusamningurinn hafi ekki minnst á vöktun á netumferð í öryggisskyni og engir aðrir samningar hafi verið gerðir sem feli Advania að veita slíka þjónustu.

Advania hafnar þeirri túlkun Strætó á samningssambandi aðila að rekstur netkerfis feli í sér skyldu Advania til að tryggja öryggi alls netumhverfisins. Samkvæmt þjónustusamningnum snúi vöktun, viðhald og frávik einungis að rekstri netþjóns en ekki að öryggisgæslu, vörnum eða viðbragði gegn árásum. Atvikaskráning af hálfu Advania hafi eingöngu tekið til rekstrarþjónustu og verið ætlað að halda utan um bilun í búnaði eða niðritíma netþjónustu. Vöktun netumferðar til og frá sýndarþjónum hafi ekki fallið undir þá þjónustu sem aðilar hafi samið um.

Í svörum Advania segir enn fremur að Strætó hafi óskað eftir aðstoð fyrirtækisins við að bregðast við öryggisbrestinum. Advania hafi strax hafist handa við að skoða hvaða leið hefði verið notuð til að brjótast inn í umhverfi Strætó ásamt því að fara í fyrirbyggjandi aðgerðir til að koma í veg fyrir frekari skaða. Advania hafi afhent Strætó og Syndis upplýsingar, meðal annars um netumferð og atvika­skráning­ar af eldveggjum og netþjónum í rekstri fyrirtækisins. Auk þess hafi Advania aðstoðað Strætó við að lesa úr gögnum úr gátt Microsoft Defender for Endpoints (hér eftir MDE).

Samkvæmt skýringum Advania vantar mikilvægar staðreyndir í rannsóknarskýrslu Syndis. Vísað er til þess að við uppsetningu á MDE á útstöðvum Strætó, 16. nóvember 2021, hafi greinst 70 virkar öryggisógnir, þ. á m. opin viðvörun um gagnagíslatöku á útstöð Strætó. Samkvæmt rannsókn Advania líti út fyrir að veirur hafi komist í svokallað „IMAP pósthólf“ og þær verið notaðar til að ná stjórn á aðgangi notanda og útstöð. Komið hafi í ljós að í notkun var lykilorð lénstjóra (e. domain admin password) sem ekki hafði verið breytt síðan 22. desember 2006. Að mati Advania hafi þessi aðgangur gert árásaraðilunum kleift að fá aðgang að innra umhverfi netþjóna Strætó, en umræddur lénstjóra-aðgangur feli í sér fulla og óskorðaða stjórn á öllu umhverfinu. Þrátt fyrir að umræddar upplýsingar hafi verið veittar Strætó og Syndis, hafi skýrsla Syndis eingöngu tiltekið að hugsanlegt væri að veiran hefði komist inn í kerfi Strætó í gegnum vefveiðipóst til starfsmanns. Syndis hafi hins vegar ekki rannsakað þessar vísbendingar frekar.

Þá bendir Advania á að Strætó hafi ekki tekist að sýna fram á orsök öryggisbrestsins og þ.a.l. ekki tekist að sanna orsakasamhengi þjónustu Advania við Strætó og umrædds atviks. Advania hafi verið gert að tryggja trúnað við vinnslu, tiltækileika og álagsþol vinnslukerfa og þjónustu, á grundvelli þjónustu- og vinnslusamnings við Strætó. Ekkert í gögnum málsins bendi til annars en að fyrirtækið hafi staðið við þær skuldbindingar.

III.

Niðurstaða

1.

Gildissvið – Ábyrgðaraðili og vinnsluaðili

Mál þetta lýtur að öryggisbresti í kerfum Strætó, sem hafði í för með sér að utanaðkomandi aðili komst yfir persónuupplýsingar, þ. á m. viðkvæmar persónuupplýsingar, sem hýstar voru á rafrænu skjalasvæði Strætó, sbr. nánari lýsingu í kafla I. 2. hér að framan. Varðar málið því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna.

Ekki liggur annað fyrir í málinu en að Strætó hafi ákveðið tilgang og aðferðir við umrædda vinnslu persónuupplýsinga og telst því vera ábyrgðaraðili vinnslunnar samkvæmt 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Á það einnig við um vinnslu persónuupplýsinga í tengslum við þjónustu sem Strætó veitti fyrir hönd tiltekinna sveitarfélaga.

Í málinu liggur fyrir samningur milli Strætó og Advania um hýsingu og sérfræðirekstur upplýsingakerfa, undirritaður 1. nóvember 2016, og vinnslusamningur milli sömu aðila, undirritaður 14. maí 2020. Samkvæmt vinnslusamningi aðila er Strætó ábyrgðaraðili og Advania vinnsluaðili. Í viðauka 1 við vinnslusamninginn er lýsing á þjónustu Advania við Strætó og tilheyrandi vinnslu persónuupplýsinga. Samkvæmt því sem þar segir felur þjónustan m.a. í sér rekstur upplýsingakerfa í almennum fyrirtækjarekstri, t.d. bókhalds- og mannauðslausna og samskiptalausna, kerfisstjórnun og aðra þjónustu við netþjóna og netbúnað, þjónustu við útstöðvar og annan endabúnað, hýsingu og afritun netþjóna, útstöðva og upplýsingakerfa í almennum fyrirtækjarekstri, viðhald og viðgerðir og almenna ráðgjöf og/eða úttektir í upplýsingatækni. Með hliðsjón af skilmálum framangreindra samninga þykir ljóst að Advania sá um að þjónusta Strætó, hvað varðar þau kerfi sem umræddur öryggisbrestur varð í. Þá telst Advania vera vinnsluaðili í samræmi við skilgreiningu 7. tölul. 3. gr. laga nr. 90/2018, sbr. 8. tölul. 4. gr. reglugerðar (ESB) 2016/679, hvað varðar þá þætti þjónustunnar sem fólu í sér vinnslu persónuupplýsinga fyrir hönd Strætó samkvæmt vinnslusamningi, t.d. við hýsingu og afritun netþjóna, útstöðva og upplýsingakerfa í almennum fyrirtækjarekstri.

2.

Öryggi persónuupplýsinga í kerfum Strætó

2.1
Viðeigandi öryggisráðstafanir

Ákvæði um upplýsingaöryggi eru í 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 32. gr. reglugerðar (ESB) 2016/679. Þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá segir í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi er metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar, meðal annars, að upplýsingarnar verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Í 3. tölul. 7. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, sem Persónuvernd setti í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en gilda eftir því sem við á, sbr. ákvæði II til bráðabirgða í lögum nr. 90/2018, er það nefnt sem dæmi um öryggisráðstöfun, til að fyrirbyggja og takmarka tjón af völdum bilana og óheimils aðgangs, að tryggja rekjanleika uppflettinga og vinnsluaðgerða.

Atvikaskráning (öðru nafni atburðaskráning) er öryggisráðstöfun sem er til þess fallin að tryggja rekjanleika og getur haft varnaðaráhrif gegn óheimilum og ólögmætum aðgangi að persónuupplýsingum. Vöktun atvikaskráningar er enn fremur til þess fallin að tryggja eftirlit með aðgangi og annarri vinnslu persónuupplýsinga og koma auga á ef eitthvað óeðlilegt er í gangi. Því fyrr sem vart verður við óeðlileg atvik, því fyrr er hægt að grípa til viðeigandi ráðstafana, t.d. að loka fyrir aðgang eða umferð um tiltekið upplýsingakerfi. Loks verður að telja að fullnægjandi atvikaskráning auðveldi ábyrgðar- og vinnsluaðilum að greina öryggisatvik og leggja mat á þær öryggisráðstafanir sem voru viðhafðar í aðdraganda þess, sem gerir þeim svo betur fært að gera viðeigandi ráðstafanir til að koma í veg fyrir að slík atvik endurtaki sig. Af þessu má sjá að atvikaskráning þjónar þýðingarmiklu hlutverki bæði í þágu upplýsingaöryggis og við skjalfestingu, til að hægt sé að sýna fram á hvað gerðist og af hverju.

Með hliðsjón af eðli og umfangi vinnslu persónuupplýsinga í kerfum Strætó telur Persónuvernd að viðeigandi atvikaskráning hugsanlegra öryggisatvika og vöktun slíkrar skráningar séu ráðstafanir sem eru til þess fallnar að tryggja viðunandi öryggi persónuupplýsinganna í samræmi við ákvæði 1. mgr. 27. gr. laga nr. 90/2018 og 1. og 2. mgr. 32. gr. reglugerðar (ESB) 2016/679. Ætti enda almennt að viðhafa þessar öryggisráðstafanir, atvikaskráningu og vöktun, í kerfum þar sem unnið er með persónu­upplýsingar.

2.2

Atvikaskráning og vöktun í kerfum Strætó

Í máli þessu liggur fyrir að gerð var árás á tölvukerfi Strætó sem leiddi til þess að óviðkomandi aðilar komust yfir persónuupplýsingar, sem voru hýstar á rafrænu skjalasvæði. Samkvæmt fyrirliggjandi skýrslu Syndis, sem unnin var að frumkvæði Strætó, tafðist rannsókn málsins vegna seinagangs Advania við að útvega umbeðnar atvikaskráningar. Þegar þær hafi borist hafi þær ýmist ekki náð nógu langt aftur í tímann eða ekki verið fyrir hendi. Af þeim sökum hafi ekki verið unnt að fullyrða með vissu hvernig árásin átti sér stað. Einnig er bent á að gagnaleki, í slíku magni á stuttum tíma, hefði átt að hringja bjöllum hefði vöktun verið fyrir hendi.

Með hliðsjón af framangreindri lýsingu Syndis og framkomnum skýringum bæði Strætó og Advania telur Persónuvernd óhætt að fullyrða að atvikaskráning í umræddum kerfum Strætó var ekki fullnægjandi og að sú takmarkaða atvikaskráning sem fór fram var ekki vöktuð. Samkvæmt niðurstöðu kafla 2.1 hér á undan voru þar af leiðandi ekki viðhafðar viðeigandi öryggisráðstafanir í kerfum Strætó í samræmi við ákvæði 1. mgr. 27. gr. laga nr. 90/2018 og 1. og 2. mgr. 32. gr. reglugerðar (ESB) 2016/679. Með viðeigandi atvikaskráningu hefði enda verið unnt að rannsaka betur tildrög og orsakir öryggisbrestsins auk þess sem Persónuvernd telur líkur standa til þess að takmarka hefði mátt umfang öryggisbrestsins með viðeigandi vöktun atvikaskráningar.

2.3

Ábyrgð á viðeigandi öryggisráðstöfunum

2.3.1 Almennt

Ljóst er af ákvæðum 1. mgr. 27. gr. laga nr. 90/2018 og 1. og 2. mgr. 32. gr. reglugerðar (ESB) 2016/679 að Strætó og Advania var báðum skylt að gera viðeigandi ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga, sem hýstar voru samkvæmt skilmálum vinnslusamnings þeirra.

Samkvæmt 6. tölul. 1. mgr. og 2. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, heyrir það undir ábyrgðarskyldu ábyrgðaraðila að gæta þess við vinnslu persónuupplýsinga að viðeigandi öryggi upplýsinganna sé tryggt og skal hann geta sýnt fram á það.

Ábyrgðarskyldan er áréttuð í 1. mgr. 23. gr. laganna og 1. mgr. 24. gr. reglugerðarinnar en þar er mælt fyrir um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar.

Þegar öðrum er falin vinnsla persónuupplýsinga fyrir hönd ábyrgðaraðila skal ábyrgðaraðili einungis leita til vinnsluaðila sem veitir nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðar (ESB) 2016/679 og að vernd skráðra einstaklinga sé tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar. Vinnsla af hálfu vinnsluaðila skal byggjast á samningi eða annarri réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðila og tilgreinir viðfangsefni og tímalengd vinnslu, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðila, sbr. 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar. Meðal þess sem skal einkum mæla fyrir um í vinnslusamningi, skv. c- og f-lið 3. mgr. 28. gr. reglugerðarinnar, er að vinnsluaðili geri allar þær öryggisráðstafanir sem krafist er samkvæmt 32. gr. reglugerðarinnar og aðstoði ábyrgðaraðila við að tryggja að skyldur, m.a. skv. 32. gr., séu uppfylltar að teknu tilliti til eðlis vinnslunnar og upplýsinga sem vinnsluaðili hefur aðgang að.

Samkvæmt leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020, um hugtökin ábyrgðaraðili og vinnsluaðili, eins og þær voru uppfærðar 7. júlí 2021, (efnisgrein 93) fela ákvæði 32. gr. reglugerðarinnar, sbr. 1. mgr. 27. gr. laganna, í sér það nýmæli að tilteknar skyldur eru lagðar beint á vinnsluaðila. Á öðrum stað í leiðbeiningunum (efnisgrein 125) segir á hinn bóginn að þrátt fyrir að skyldur samkvæmt 32. gr. reglugerðarinnar séu lagðar beint á vinnsluaðila, þurfi einnig að mæla fyrir um þær í vinnslusamningi aðila.

Í leiðbeiningunum (efnisgrein 41) er það enn fremur rakið að í ábyrgðarskyldunni, samkvæmt 24. gr. reglugerðarinnar, felist að ábyrgðaraðila þarf að vera kunnugt um hvaða aðferðir vinnsluaðili notar við vinnsluna og hvaða öryggisráðstafanir eru viðhafðar, til þess að ábyrgðaraðilinn geti tekið upplýsta afstöðu til þeirra og hvort þær eru viðeigandi með hliðsjón af m.a. eðli og umfangi vinnslunnar og þeirri áhættu sem hún hefur í för með sér fyrir hina skráðu. Til þess að ábyrgðaraðili geti sýnt fram á lögmæti vinnslu, sem fer fram hjá vinnsluaðila, er ráðlagt að hann skjalfesti í vinnslusamningi eða í öðrum bindandi löggerningi milli aðilanna þær lágmarkskröfur sem eru gerðar til vinnsluaðila hvað varðar tæknilegar og skipulagslegar ráðstafanir.

Loks segir í leiðbeiningunum (efnisgreinar 126 og 127) að í vinnslusamningi eigi ekki einungis að endursegja ákvæði reglugerðar (ESB) 2016/679 heldur skuli þar m.a. tilgreina hvaða öryggisráðstafanir vinnsluaðili skal viðhafa. Um það hversu nákvæm og skýr tilgreining öryggisráðstafana skal vera, segir að hún verði að gera ábyrgðaraðila kleift að meta hvort öryggisráðstafanirnar eru viðeigandi í samræmi við ákvæði 32. gr. reglugerðarinnar. Í sumum tilvikum kann ábyrgðaraðili að gefa skýra og nákvæma lýsingu á þeim öryggisráðstöfunum sem skal viðhafa en í öðrum látið nægja að lýsa lágmarkskröfum hvað varðar öryggi persónuupplýsinga og veita vinnsluaðila ákveðið svigrúm til að leggja til einstakar ráðstafanir. Í öllum tilvikum verður ábyrgðaraðili að láta vinnsluaðila í té lýsingu á vinnslunni og öryggismarkmiðum, með hliðsjón af áhættumati ábyrgðaraðilans. Þessu til viðbótar ber ábyrgðaraðila að samþykkja þær ráðstafanir sem vinnsluaðili leggur til.

2.3.2 Vinnslusamningur Strætó og Advania og aðrir bindandi löggerningar

Vinnslusamningur, sem lýtur að vinnslu persónuupplýsinga sem felst í þeirri þjónustu sem Advania veitir Strætó, var undirritaður 14. maí 2020. Í grein 4.6. í vinnslusamningum segir að Advania skuli gera allar ráðstafanir sem krafist sé samkvæmt 32. gr. reglugerðar (ESB) 2016/679 og aðstoða Strætó við að tryggja að skyldur samkvæmt þeirri grein séu uppfylltar, að teknu tilliti til eðlis vinnslunnar og upplýsinga sem Advania hefur aðgang að. Í grein 4.7 vinnslusamningsins segir að öryggisráðstafanir hjá Advania séu tíundaðar í viðauka samningsins.

Í viðauka 1 við samninginn segir að Advania viðhafi í starfsemi sinni m.a. skjalfest verklag fyrir afgreiðslu öryggisatvika og tilkynningar um öryggisbresti. Þá segir um öryggisráðstafanir í hýsingu að hýsing hjá Advania sé vottuð samkvæmt ISO/IEC 27001 staðlinum og séu öll grunnkerfi í hýsingarumhverfinu rekin samkvæmt því. Enn fremur sé allur búnaður hýstur í gagnaverum með ISO/IEC 27001 vottun.

Í ISO/IEC 27001 staðalinum eru settar fram kröfur eða skilyrði við að koma upp, innleiða, viðhalda og bæta stöðugt stjórnunarkerfi um upplýsingaöryggi. Samkvæmt staðlinum skal sá aðili sem ber ábyrgð á rekstri stjórnunarkerfis um upplýsingaöryggi meta sjálfstætt upplýsingaöryggisáhættu og viðeigandi ráðstafanir þar að lútandi. Samkvæmt grein 9.1 í staðlinum skal viðkomandi aðili, í því skyni, m.a. ákvarða:

a) hvað þarf að vakta og mæla,

b) aðferðir til vöktunar, mælingar, greiningar og mats, eftir því sem við á, til þess að tryggja gildar niðurstöður,

c) hvenær skal framkvæma vöktun og mælingar,

d) hver skal annast vöktun og mælingar,

e) hvenær skal greina og meta niðurstöður vöktunar og mælinga, og

f) hver skal greina og meta þessar niðurstöður.

Jafnframt ber að varðveita viðeigandi skjalfestar upplýsingar sem sönnunargögn um niðurstöður vöktunar og mælinga.

Í viðauka A við staðalinn, sem er eiginlegur hluti hans, er tafla A.1 yfir stýringarmarkmið og stýringar. Sérstaklega er fjallað um rekstraröryggi í lið A.12. Þar segir, í lið A.12.4 um skráningu og vöktun, að halda skuli atburðadagbækur þar sem skráðar eru athafnir notenda, undantekningar, bilanir og upplýsingaöryggisatburðir, geyma þær og rýna reglulega, með það að markmiði að skrá atburði og skila af sér sönnunargögnum.

Beint í kjölfar þess, að fullyrt er í viðauka vinnslusamningsins að öll hýsing hjá Advania sé vottuð samkvæmt ISO/IEC 27001 staðlinum, segir að öryggisþarfir ábyrgðaraðila í hýsingu séu afar ólíkar og því bjóði Advania fjölda öryggislausna sem Strætó geti valið á milli. Lýsingar á slíkum ráðstöfunum komi fram í þjónustusamningum og á reikningi. Í þjónustusamningi aðilanna frá 1. nóvember 2016 eru ekki tilgreindar sérstakar öryggisráðstafanir sem lúta að þeim persónuupplýsingum sem Advania vinnur fyrir hönd Strætó heldur er þar einungis fjallað um öryggisráðstafanir sem lúta að rekstrarþætti þjónustunnar, þ. á m. hvað viðkemur uppitímakröfum við rekstur sýndarþjóna.

2.3.3 Niðurstaða um ábyrgð

Strætó ber skýra ábyrgðarskyldu sem lýtur annars vegar að því að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja og sýna fram á að vinnsla persónuupplýsinga sé í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679 og hins vegar að því að geta sýnt fram á það. Strætó hefur á hinn bóginn ekki getað sýnt fram á með hvaða hætti öryggisbresturinn, sem hér er til umfjöllunar, varð og getur þar af leiðandi ekki sýnt fram á að hafa tryggt öryggi persónuupplýsinga í kerfum sínum með viðeigandi tæknilegum og skipulagslegum ráðstöfunum í samræmi við 2. mgr. 8. gr. og 1. mgr. 23. gr., sbr. 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018, og 2. mgr. 5. gr. og 1. mgr. 24. gr., sbr. f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679. Hefur Strætó ekki sinnt ábyrgðarskyldu sinni að þessu leyti.

-

Hvað varðar ábyrgð á að viðhafa atvikaskráningu og vöktun í hýsingu, samkvæmt vinnslusamningi Strætó og Advania frá 14. maí 2020, er til þess að líta að í vinnslusamningnum eru ákvæði sem lúta að öryggisráðstöfunum Advania, til samræmis við c- og f-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Um sérstakar öryggisráðstafanir er vísað til fyrrgreinds viðauka, þar sem fullyrt er, um öryggisráðstafanir í hýsingu, að hýsingin sé vottuð samkvæmt ISO/IEC 27001 staðlinum og séu öll grunnkerfi í hýsingarumhverfinu rekin samkvæmt því.

Telur Persónuvernd skýrt af þessari tilvísun til vottunar samkvæmt ISO-staðlinum að Advania hafi skuldbundið sig til að fylgja staðlinum í hvívetna, í því skyni að tryggja upplýsingaöryggi við hýsingu samkvæmt vinnslusamningnum. Það hafi svo aftur falið í sér að Advania viðhefði atvikaskráningu og vöktun í samræmi við greiningu sína og mat á upplýsingaöryggisáhættu, héldi atburðadagbækur með skráningu yfir upplýsingaöryggisatburði og geymdi þær og rýndi, m.a. til að skila af sér sönnunargögnum, sbr. tilgreiningu á ákvæðum staðalsins í kafla 2.3.2 hér á undan. Samkvæmt svörum Advania viðhafði fyrirtækið þó ekki atvikaskráningu og vöktun hennar í þágu upplýsingaöryggis í hýsingu heldur aðeins atvikaskráningu sem laut að uppitíma og rekstri netþjóna.

Sem fyrr greinir er ekki mælt fyrir um það í ISO-staðlinum hvernig atvikaskráningu og vöktun hennar skal háttað heldur skal sá, sem ber ábyrgð á rekstri stjórnunarkerfis um upplýsingaöryggi, meta upplýsingaöryggisáhættu og viðeigandi ráðstafanir þar að lútandi. Af skýringum Strætó og Advania má ráða að við gerð vinnslusamnings aðilanna hafi ekki legið fyrir hvaða mat Advania lagði á upplýsingaöryggisáhættu við hýsingu samkvæmt samningnum eða hvernig fyrirtækið hygðist haga atvikaskráningu og vöktun þar að lútandi.

Með hliðsjón af leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020 telur Persónuvernd að það hafi heyrt undir ábyrgðarskyldu Strætó að kalla eftir mati Advania á upplýsingaöryggisáhættu við hýsingu og hvaða öryggisráðstafanir fyrirtækið hygðist viðhafa, þ. á m. hvernig atvikaskráningu og vöktun yrði háttað. Á grundvelli eigin áhættumats hefði Strætó enn fremur átt að skjalfesta afstöðu sína til þeirra ráðstafana sem Advania legði til. Telur Persónuvernd að Strætó hafi ekki sinnt ábyrgðarskyldu sinni að þessu leyti, sbr. 2. mgr. 8. gr. og 1. mgr. 23. gr., sbr. 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018, og 2. mgr. 5. gr. og 1. mgr. 24. gr., sbr. f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679.

Á hinn bóginn liggur einnig fyrir að Advania viðhafði enga atvikaskráningu eða vöktun í þágu upplýsingaöryggis í samræmi við ákvæði vinnslusamnings aðila. Að því virtu telur Persónuvernd að Advania hafi brugðist skyldum sínum til að viðhafa viðeigandi öryggisráðstafanir samkvæmt ákvæðum 1. mgr. 27. gr. laga nr. 90/2018 og 1. og 2. mgr. 32. gr. reglugerðar (ESB) 2016/679.

Að mati Persónuverndar breyta ákvæði þjónustusamningsins, frá 1. nóvember 2016, engu um framangreinda niðurstöðu enda er ekki fjallað um vinnslu persónuupplýsinga eða upplýsingaöryggi í þeim samningi.

3.

Viðbrögð við öryggisbresti

Af gögnum málsins er ljóst að Strætó hefur gripið til ýmissa aðgerða til að koma í veg fyrir frekara tjón og áhættu í kjölfar öryggisbrestsins auk þess sem fyrirtækið hefur innleitt frekari öryggisráðstafanir til að lágmarka líkurnar á að sambærilegur öryggisbrestur verði aftur. Að auki er ljóst að Advania aðstoðaði Strætó við að bregðast við öryggisbrestinum ásamt því að fara í fyrirbyggjandi aðgerðir til að koma í veg fyrir frekari skaða.

4.

Ákvörðun um stjórnvaldssekt

Að virtum niðurstöðum Persónuverndar sem raktar eru í kafla III. 2. kemur til álita að leggja stjórnvaldssekt á Strætó og Advania, samkvæmt 1. tölul. 2. mgr. 46. gr. laga nr. 90/2018 og a-lið 4. mgr. 83. gr. reglugerðar (ESB) 2016/679, sem og samkvæmt 1. tölul. 3. mgr. 46. gr. laganna og a-lið 5. mgr. 83. gr. reglugerðarinnar, hvað varðar Strætó.

Í 47. gr. laganna, sbr. 2. og 3. mgr. 83. gr. reglugerðarinnar, er mælt fyrir um til hvers skal líta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera.

Eins og atvikum öllum er hér háttað telur Persónuvernd ekki tilefni til að leggja stjórnvaldssekt á Strætó eða Advania. Er þá fyrst og fremst að líta til tilkynninga og samskipta beggja aðila við Persónuvernd vegna öryggisbrestsins og viðbragða og samstarfs þeirra á milli í kjölfar hans, sbr. 3., 6. og 8. tölul. 1. mgr. 47. gr. laganna og c-, f- og h-lið 2. mgr. 83. gr. reglugerðarinnar. Hvað Strætó varðar er einnig að líta til þeirra öryggisráðstafana sem þó voru viðhafðar í tengslum við þau kerfi þar sem öryggisbresturinn varð, sbr. 4. tölul. 1. mgr. 47. gr. laganna og d-lið 2. mgr. 83. gr. reglugerðarinnar. Með tilvísun til sömu ákvæða er svo enn fremur að líta til þess, hvað varðar ábyrgð Advania, að ekki liggur fyrir nákvæm skýring á því hvernig öryggisbresturinn varð og verður ekki fullyrt að viðeigandi vöktun atvikaskráningar hefði dregið úr áhrifum öryggisbrestsins, þótt Persónuvernd telji líkur standa til þess. Er í því sambandi áréttað að það heyrir undir ábyrgðarskyldu Strætó að sýna fram á að farið sé að persónuverndarlögum, líkt og þegar hefur verið rakið.

Á k v ö r ð u n a r o r ð:

Strætó bs. uppfyllti ekki ábyrgðarskyldu sínar samkvæmt ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, hvað viðkemur öryggi persónuupplýsinga, í aðdraganda öryggisbrests sem var tilkynntur Persónuvernd 27. desember 2021.

Advania Ísland ehf. gerði ekki viðeigandi öryggisráðstafanir við vinnslu persónuupplýsinga fyrir hönd Strætó, samkvæmt vinnslusamningi frá 14. maí 2020.

Persónuvernd, 28. nóvember 2023

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir      Björn Geirsson

Vilhelmína Haraldsdóttir                                Þorvarður Kári Ólafsson