Prezes Urzędu Ochrony Danych Osobowych nałożył 30 tys. zł administracyjnej kary pieniężnej na burmistrza (Urząd Miasta) za stosowanie nieskutecznych zabezpieczeń technicznych i brak ich testowania.
Atak ransomware
Urząd Miasta (administrator) zgłosił UODO naruszenie ochrony danych osobowych, które wystąpiło na wskutek ataku ransomware. Przestępcy zablokowali dostęp do serwera urzędu i zażądali okupu. Na serwerze znajdowały się dane 9400 osób i obejmowały m.in. numer PESEL, adres e-mail, numer rachunku bankowego, adres zamieszkania, numer telefonu. Na szczęście według administratora nie doszło do naruszenia poufności i wycieku danych osobowych z samego serwera.
W wyniku przeprowadzonego przez UODO postępowania okazało się, że pomimo szkoleń pracowników, wdrożenia procedur ochrony danych osobowych, stosowania oprogramowania antywirusowego (antywirusy, zapory sieciowe itd.), to ostatecznie atak ransomware był skuteczny, ponieważ nie dopilnowano aktualizacji bazy wirusów.
Skutecznie zabezpieczenia techniczne
Jak podkreśla UODO, jednym z ważniejszych elementów systemu bezpieczeństwa ochrony danych osobowych, są odpowiednie zabezpieczenia techniczne. W celu spełnienia tych standardów niezwykle istotne jest, aby używane oprogramowania było zaktualizowane, posiadało najnowsze zabezpieczenia i poprawki. Niestety w przedmiotowej sprawie oprogramowanie na serwerze nie było już wspierane przez producenta, co wedle UODO znacząco obniżyło poziom bezpieczeństwa. Działania administratora były również sprzeczne z przeprowadzoną przez niego analizą ryzyka, która wskazywała brak aktualizacji zabezpieczeń jako jedno z ryzyk.
Analiza ryzyka w RODO
Kopie zapasowe i monitoring zabezpieczeń
Kolejnym wątkiem, który podjął UODO była kwestia kopii zapasowych. Administrator regularnie je wykonywał, ale z powodu awarii jednego z serwerów, utracił do nich dostęp. Na skutek tego, zamiast jak najszybciej odzyskać utracone dane, przez 3 miesiące administrator musiał je mozolnie odtwarzać. UODO podkreśla tu, jak ważna jest możliwość szybkiego przywrócenia dostępności danych osobowych.
W odniesieniu do kontroli stosowanych zabezpieczeń UODO stwierdził, że administrator w żaden sposób ich nie sprawdzał i nie testował. Regularne testowanie wedle Urzędu zapewnia skuteczność stosowanych zabezpieczeń. Odpowiednie procedury zostały wdrożone dopiero po wystąpieniu naruszenia.
Przedsiębiorco czuwaj!
Decyzja UODO doskonale pokazuje, że ochrona danych osobowych to proces ciągły, gdzie konieczne jest, regularne monitorowanie i testowanie zabezpieczeń. Należy pamiętać, że brak weryfikacji np. aktualizacji oprogramowania, może doprowadzić do naruszenia i skutkować nałożeniem kary. Co istotne, ataki ransomware stają się coraz powszechniejsze i administratorzy powinni brać je pod uwagę w analizach ryzyka.
Źródło:
