Urząd Ochrony Danych Osobowych (UODO) ukarał firmę zajmującą się sprzedażą m.in. drzwi antywłamaniowych karą w wysokości ponad 350 tys. zł. Kara została nałożona za szereg uchybień związanych z naruszeniem ochrony danych osobowych, które ujawniono w wyniku ataku hakerskiego. Dodatkowo, wspólnicy spółki cywilnej, której administrator danych powierzył przetwarzanie danych, zostali ukarani karą 9,8 tys. zł.
Na skróty:
Atak ransomware i błędy administratora
Firma zgłosiła, że w wyniku ataku typu ransomware straciła dostęp do danych klientów oraz pracowników. W bazie znajdowały się szczegółowe dane osobowe, takie jak numery PESEL, dane z dowodów osobistych, adresy zamieszkania, numery kont bankowych czy dane kontaktowe. Według wyjaśnień firmy, atak był możliwy, ponieważ pracownik wyłączył program antywirusowy. Administrator danych ocenił, że celem ataku był szantaż, a nie przejęcie danych, dlatego uznał, że nie doszło do wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
Mimo powiadomienia osób, których dane dotyczyły, UODO stwierdził, że sposób zawiadomienia był wadliwy. Dodatkowo administrator danych nie zareagował na uwagi urzędu, co było kolejnym powodem nałożenia kary.
Nieodpowiednie środki bezpieczeństwa i analiza ryzyka
Prezes UODO, analizując zgromadzony materiał dowodowy, ustalił, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec atakowi. Kluczowym uchybieniem było nieprzeprowadzenie analizy ryzyka zgodnie z wymaganiami RODO. Firma nie zidentyfikowała zagrożeń związanych z wykorzystaniem złośliwego oprogramowania ani nie zadbała o aktualizację oprogramowania w swojej infrastrukturze informatycznej.
Nawet środki wdrożone po incydencie nie były wystarczające. Administrator danych nie potrafił wykazać, że są one odpowiednie do zidentyfikowanego ryzyka, ponieważ analiza ryzyka nie została przeprowadzona.
Braki w szkoleniach i odpowiedzialność „czynnika ludzkiego”
Administrator danych wskazywał, że za atak odpowiada „czynnik ludzki”. Prezes UODO podkreślił jednak, że organizacja przeprowadziła jedynie dwa szkolenia z zakresu ochrony danych osobowych, w tym tylko jedno przed incydentem. To zdecydowanie za mało w sytuacji, gdy firma uważała „czynnik ludzki” za potencjalne zagrożenie.
Odpowiedzialność podmiotu przetwarzającego dane
Kara finansowa została również nałożona na wspólników spółki cywilnej, której administrator powierzył przetwarzanie danych. UODO wskazał, że spółka ta nie udzieliła administratorowi wystarczającej pomocy w zapewnieniu bezpieczeństwa danych. Podmiot przetwarzający nie informował o podatnościach serwera, braku aktualizacji oprogramowania oraz konieczności wdrożenia nowszych rozwiązań, co ostatecznie umożliwiło atak ransomware.