Prezes Urzędu Ochrony Danych Osobowych nałożył na firmę sprzedającą m.in. drzwi antywłamaniowe grzywnę w wysokości 350 tys. zł, a na wspólników spółki przetwarzającej dane osobowe – 9,8 tys. zł. Decyzja była konsekwencją niewłaściwego zabezpieczenia danych oraz błędów w reagowaniu na atak hakerski.
Firma zgłosiła, że w wyniku ataku ransomware straciła dostęp do danych swoich klientów oraz pracowników. W bazie znajdowały się m.in.:
- numery PESEL i dowodów osobistych,
- imiona, nazwiska, daty urodzenia,
- adresy zamieszkania, numery rachunków bankowych, numery telefonów,
- inne dane osobowe, w tym dane kontaktowe.
Jak ustalono, incydent był możliwy, ponieważ pracownik firmy wyłączył program antywirusowy, co umożliwiło działanie złośliwego oprogramowania. Administrator danych uznał jednak, że celem ataku nie była kradzież danych, lecz szantaż, dlatego oceniono ryzyko naruszenia praw osób fizycznych jako niskie. Niestety, powiadomienie poszkodowanych osób o incydencie było wadliwe, a firma nie uwzględniła uwag UODO.
Kluczowe ustalenia Prezesa UODO:
- Firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które mogłyby zminimalizować ryzyko incydentu.
- Nie przeprowadzono analizy ryzyka, co uniemożliwiło zidentyfikowanie zagrożeń, takich jak ataki ransomware.
- Przeprowadzono zaledwie dwa szkolenia z zakresu ochrony danych, co było niewystarczające w sytuacji, gdy „czynnik ludzki” był wskazywany jako główny element ryzyka.
- Wadliwe zawiadomienie osób, których dane zostały naruszone.
Dodatkowo wspólnicy spółki, której powierzono przetwarzanie danych, zostali ukarani za brak odpowiedniego wsparcia administratora w zapewnieniu bezpieczeństwa danych. Spółka nie informowała o lukach w zabezpieczeniach serwera i konieczności aktualizacji systemu, co przyczyniło się do skuteczności ataku hakerskiego.
Sprawa ta jest przypomnieniem, jak ważne jest przestrzeganie zasad ochrony danych osobowych, dokładna analiza ryzyka i stosowanie nowoczesnych zabezpieczeń technicznych oraz organizacyjnych.
Źródło: https://uodo.gov.pl/pl/138/3411