Kara za nieodpowiednie środki bezpieczeństwa w systemie informatycznym

Brak aktualizacji bazy antywirusowej

UODO otrzymał zgłoszenie dotyczące naruszenia ochrony danych osobowych, które miało miejsce w wyniku ataku ransomware. Atak ten był możliwy dzięki wykorzystaniu luki w systemie teleinformatycznym.

Nowe złośliwe oprogramowanie atakuje przeglądarkiDamian Jemioło

Po przeprowadzeniu analizy zgromadzonego materiału dowodowego, UODO doszedł do wniosku, że bezpośrednią przyczyną ataku był brak aktualizacji bazy antywirusowej. Dodatkowo, administrator systemu nie przeprowadził odpowiednio analizy ryzyka, szczególnie w kontekście tworzenia kopii zapasowych. Wdrożone środki techniczne i organizacyjne okazały się niewystarczające do zapewnienia odpowiedniego poziomu bezpieczeństwa danych.

W konsekwencji, atakujący zdołali pokonać zabezpieczenia systemu informatycznego i zaszyfrować dane przy użyciu złośliwego oprogramowania.

Kluczowe znaczenie odpowiednich środków zabezpieczających

Zapewnienie, że oprogramowanie używane do przetwarzania danych osobowych jest regularnie aktualizowane i posiada wsparcie producenta, jest kluczowe dla utrzymania bezpieczeństwa danych. Aktualizacje te często zawierają ważne poprawki bezpieczeństwa.

W trakcie postępowania okazało się, że w chwili naruszenia ochrony danych, system operacyjny używany przez administratora nie miał wsparcia od producenta. UODO stwierdził, że używanie systemów informatycznych po zakończeniu ich wsparcia technicznego stanowi znaczne zagrożenie dla bezpieczeństwa danych.

Zanim doszło do naruszenia, administrator był świadom ryzyka związanego z używaniem przestarzałego oprogramowania, ale nie podjął kroków w celu jego aktualizacji, ignorując własne procedury.

Kopia zapasowa jako krytyczny element

Proces prowadzonej kontroli wykazał, że zaszyfrowane dane osobowe były niedostępne. Kopie zapasowe, które miały na celu ochronę przed takimi sytuacjami, były niewystarczające. Okazało się, że serwer przeznaczony do przechowywania kopii zapasowej uległ awarii, co opóźniło odzyskanie danych przez prawie trzy miesiące.

Znaczenie regularnej weryfikacji

Administrator nie prowadził regularnych testów, ani nie oceniał skuteczności zastosowanych środków zabezpieczających. W trakcie postępowania nie był w stanie udowodnić, że zaimplementowane rozwiązania zapewniają odpowiedni poziom bezpieczeństwa danych osobowych. Nie przedstawił również dowodów na to, że po zaistniałym incydencie przeprowadza regularne testy w celu oceny i monitorowania skuteczności zabezpieczeń.

Rośnie liczba ataków na nasze dane osoboweAnna Petynia-Kawa

Należy podkreślić, że regularne testowanie, mierzenie i ocenianie efektywności środków zabezpieczających jest niezbędne do zapewnienia ciągłej ochrony danych. Takie działania nie powinny być sporadyczne, lecz systematyczne i cykliczne.

Ochrona danych osobowych podstawą 

Decyzja Prezesa UODO stanowi ważne przypomnienie dla administratorów danych o konieczności wdrażania odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. 

Warto zwrócić uwagę na regularne aktualizowanie oprogramowania, odpowiednie procedury tworzenia kopii zapasowych oraz niezbędne testowanie i ocenę zabezpieczeń. Wszystko to ma kluczowe znaczenie w zapobieganiu incydentom naruszających ochronę danych osobowych oraz minimalizowaniu ich skutków, gdy do nich dojdzie.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.