Cyberbezpieczeństwo
Pracownik wyłączył antywirusa i doszło do ataku. Jest kara od UODO
Autor. rupixen.com/Pixabay
Urząd Ochrony Danych Osobowych nałożył karę w wysokości 350 tys. zł na przedsiębiorstwo handlujące drzwiami antywłamaniowymi. Dodatkowo, ukarani zostali wspólnicy firmy odpowiedzialnej za przetwarzanie danych przedsiębiorstwa. Prezes UODO wykrył dużą liczbę uchybień w zakresie cyberbezpieczeństwa.
Na jesieni 2019 roku, jedno z przedsiębiorstw (według UODO, zajmujące się sprzedażą drzwi antywłamaniowych i będące jednocześnie administratorem danych) padło ofiarą ataku ransomware. Efektem była utrata dostępu do danych klientów i pracowników. 3 grudnia tego samego roku o sprawie i związanym z tym naruszeniem ochrony danych osobowych został powiadomiony Prezes Urzędu Ochrony Danych Osobowych. Mało kto się jednak spodziewał, że to początek długiej drogi, która właśnie dotarła do finiszu.
Czytaj też
Nie było analizy ryzyka. Nie wiedzieli, jakie czyhają zagrożenia
Według informacji opublikowanych przez UODO, atak umożliwiło wyłączenie antywirusa przez pracownika firmy. Incydent miał jednak trwać „krótko”, zaś po odzyskaniu dostępu uznano, że „nie było wysokiego ryzyka naruszenia praw lub wolności”. Problem polegał jednak na tym, że wśród danych znalazły się m.in. numery PESEL, adresy kontaktowe, numery dowodów osobistych czy podstawowe dane osobowe z datami urodzenia.
Po rozpoczęciu postępowania wyjaśniającego UODO zauważył, że o ile firma zawiadomiła wszystkich zainteresowanych o problemie, tak nie zrobiła tego we właściwy sposób, pierwszej kolejności wręcz unikając dokonania tej czynności ze względu na odzyskanie dostępu i wdrożone środki bezpieczeństwa.
Jako źródło wszystkich problemów zidentyfikowano kwestię analizy ryzyka, a właściwie jej brak, gdyż nie została przeprowadzona. Efektem było niezidentyfikowanie zagrożeń, przez co nie aktualizowano oprogramowania w firmie; dzięki temu możliwe było przeprowadzenie ataku.
Czytaj też
Przeprowadzili tylko dwa szkolenia. Dostali 350 tys. zł kary
Co ciekawe, Urząd Ochrony Danych Osobowych podał, że firma co prawda zidentyfikowała czynnik ludzki jako przyczynę ataku, jednak nie zrobiła wystarczająco dużo, aby zagrożenie zmniejszyć możliwie jak najbardziej. Uznano bowiem, że do zażegnania problemu wystarczą jedynie dwa szkolenia dotyczące ochrony danych. „To za mało, jeśli administrator uważa, że »czynnik ludzki« stwarza w jego organizacji zagrożenie” – napisało UODO.
Krytycznie oceniono również spółkę, której firma handlowa powierzyła przetwarzanie danych. Według Urzędu, nie pomagała ona przy wdrożeniu „adekwatnych środków technicznych i organizacyjnych”, które mogłyby zapewnić bezpieczeństwo przetwarzanych danych.
Podmiot przetwarzający zaniechał na przestrzeni lat informowania Administratora o występujących w oprogramowaniu serwera podatnościach (podczas gdy jedna z nich została z powodzeniem wykorzystana przez sprawców przestępnego działania) oraz o konieczności przeprowadzenia aktualizacji systemu operacyjnego do możliwie najnowszej wersji, bądź zastosowania innych, nowszych rozwiązań logicznych.
Urząd Ochrony Danych Osobowych
W efekcie, jak napisano w decyzji, na administratora danych nałożono karę w wysokości 353,5 tys. zł, zaś wspólnicy spółki odpowiedzialnej za przetwarzanie danych otrzymali solidarną karę w wysokości 9,8 tys. zł.
Dodatkowo, firma prowadząca sprzedaż, w której doszło do naruszenia, ma 60 dni na przeprowadzenie analizy ryzyka i wdrożenie wynikających z nich środków minimalizujących zagrożenia.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
