Na czym polegało naruszenie?

Spółka straciła dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware. Złośliwe oprogramowanie szyfrujące „Devos” dezaktywowało ochronę antywirusową, co skutkowało uniemożliwieniem zadziałania mechanizmów bezpieczeństwa systemów operacyjnych. Powodem utraty dostępności danych osobowych były przestarzałe systemy operacyjne oraz brak innego aktualnego oprogramowania, z uwagi na to, że producenci systemów operacyjnych i oprogramowania zakończyli świadczenie usług wsparcia technicznego. Z dniem zakończenia świadczenia usług wsparcia technicznego producenta oprogramowania dla systemów, z których korzystała Spółka, nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek.

Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?

Prezes Urzędu Ochrony Danych Osobowych nałożył na Spółkę karę upomnienia.

Dlaczego nałożono karę?

UODO, nakładając karę upomnienia za to, że Spółka straciła dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware, wziął pod uwagę kilka czynników:

1. Spółka utraciła dostęp do danych, jednak nie doszło do naruszenia poufności danych osobowych. Zdaniem Urzędu naruszenie nie spowodowało wysokiego ryzyka dla osób dotkniętych naruszeniem. Naruszenie dotyczyło jednorazowego zdarzenia, a nie systematycznego działania lub zaniechania, które stanowiłoby poważne zagrożenie dla praw osób, których dane osobowe są przetwarzane przez Spółkę.
2. Nie było negatywnych konsekwencji związanych z brakiem dostępu do tych danych, na co wpływ miało zawieszenie działalności uzdrowisk w związku z pandemią COVID – w momencie wystąpienia naruszenia Spółka nie świadczyła żadnych usług dla klientów oraz kuracjuszy.
3. Administrator szybko podjął działania naprawcze w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia takie jak: wymiana sprzętu oraz oprogramowania, zmiana procedur, przeprowadzenie ponownej analizy ryzyka, przeprowadzenie audytu bezpieczeństwa.
4. Spółka zgłosiła do Prezesa UODO naruszenie ochrony danych osobowych.

Więcej: https://uodo.gov.pl/pl/138/1896

Czy można uniknąć takich kar? 

Nasza rekomendacja:

Spółka testowała jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie, natomiast w ocenie Urzędu nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.
W uzasadnieniu Urzędu Ochrony Danych Osobowych czytamy, że “gdyby zabezpieczenia były odpowiednio testowane, to administrator doszedłby do wniosku, że konieczna jest instalacja aktualnych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa“. 

Nałożenie kary przez Organ Nadzorczy wyznacza kierunek działań dla Administratorów danych i wskazuje obszary, które warto poddać audytowi w celu zweryfikowania poprawności stosowania organizacyjnych i technicznych środków zabezpieczeń.

Nasi Inspektorzy Ochrony Danych rekomendują następujące działania:

1. Regularne testowanie wdrożonych środków technicznych i organizacyjnych w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia poprzez np. analizę ryzyka bezpieczeństwa informacji lub audyt cyberbezpieczeństwa.
2. Regularne badanie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów IT poprzez np. audyty bezpieczeństwa sieci polegające na badaniu podatności sieci komputerowej na próby ataków pod kątem luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych oraz konfiguracji.
3. Cykliczną inwentaryzację posiadanego oprogramowania, pod kątem jego legalności oraz aktualności, polegającą na analizie stanu zainstalowanego w organizacji oprogramowania (wykonanie skanowania posiadanych stacji roboczych w sieci i poza siecią), uporządkowaniu i/lub uzupełnieniu licencji oraz wdrożeniu procedur usprawniających zarządzanie oprogramowaniem.

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.

Autor: Monika Kowalik – Dyrektor Projektu CompNet Sp. z o.o.