Wyłączył program antywirusowy tylko na chwilę. Tego nie przewidział
Urząd Ochrony Danych Osobowych (UODO) nałożył na firmę, sprzedającą m.in. drzwi antywłamaniowe, karę w wysokości 350 tysięcy złotych.
Wszystko za to, że firma niewłaściwie chroniła dane osobowe swoich klientów. Wcześniej, przedsiębiorstwo doświadczyło ataku hakerskiego, w wyniku którego straciło dostęp do danych klientów i pracowników. W bazie danych znajdowały się takie dane jak numery PESEL, dowodów osobistych, imiona i nazwiska rodziców, adresy e-mail oraz numery telefonów.
Zawinił czynnik ludzki?
Firma za taki obrót sprawy obwinia jednego ze swoich pracowników. Pracownik wyłączył program antywirusowy i to umożliwiło przestępcom atak. Zdaniem administratora incydent trwał krótko i ostatecznie firmie udało się odzyskać dostęp do danych. Ustalono także, że celem ataku nie było zdobycie danych, ale szantaż. Stąd "ryzyko naruszenia praw oraz wolności osób fizycznych" oceniono na niskie.
Firma poinformowała o całym wydarzeniu wszystkie osoby, których dotyczyły dane, ale zdaniem UODO, zrobiła to w sposób wadliwy i nie zareagowała na zgłaszane uwagi.
Co zatem poszło nie tak?
Administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko dla danych. (...) wbrew wskazaniom RODO, nie przeprowadził odpowiedniej analizy ryzyka. W tej sytuacji ryzyko to należało łączyć z możliwością wykorzystania złośliwego oprogramowania.
Podmiot przetwarzający zaniechał na przestrzeni lat informowania administratora o występujących w oprogramowaniu serwera podatnościach, a także o konieczności aktualizacji systemu operacyjnego do możliwie najnowszej wersji.
- przekazał urząd w oświadczeniu.
Co można było zrobić lepiej?
Wskazano, że "jedną z kluczowych metod zapobiegania takim atakom jest używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury informatycznej". Firma jednak tego nie zrobiła. Administrator wskazywał, że zawinił czynnik ludzki, ale sam przyznał, że przeprowadził jedynie dwa szkolenia w zakresie ochrony danych. To za mało, w przypadku jeśli administrator uważa, że człowiek stwarza w jego organizacji zagrożenie dla danych. W ocenie UODO doszło także do szeregu uchybień w zakresie zawiadamiania o naruszeniu danych. Wieloletnie zaniedbania skumulowały się i stąd taka, a nie inna kwota kary.
Zobacz: UODO ukarał Prokuraturę Krajową. Ujawniła dane osobowe ofiary
Zobacz: Kupowali prywatnie podróbki ubrań, teraz mają problem. Wkracza prokuratura
