PUODO ukarał spółkę, która zaniedbała ochronę informatyczną

Prezes Urzędu Ochrony Dany Osobowych ukarał upomnieniem spółkę akcyjną, która padła ofiarą ataku złośliwego programu typu ransomware i utraciła dostęp do gromadzonych danych osobowych. Wszystko przez stosowanie starych, nieskutecznych środków ochrony systemów informatycznych.

Aktualizacja: 17.02.2021 11:43 Publikacja: 17.02.2021 11:00

PUODO ukarał spółkę, która zaniedbała ochronę informatyczną

Foto: Adobe Stock

Postępowanie UODO wykazało, że prowadząca działalność  uzdrowiskową firma U. S.A. dobrała nieskuteczne środki ochrony swoich systemów informatycznych i nie przeprowadzała testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na awarie. UODO uważa, że nie były natomiast sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.

- Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach - stwierdził Urząd.

Te zaniedbania doprowadzić miały do fatalnego w skutkach incydentu: złośliwe oprogramowanie szyfrujące „Devos” dezaktywowało ochronę antywirusową, co skutkowało uniemożliwieniem zadziałania mechanizmów bezpieczeństwa systemów operacyjnych. Infekcja miała miejsce w godzinach nocnych, a nieprawidłowości stwierdzono dopiero w godzinach porannych (ze względu na to, że uzdrowisko nie funkcjonowało w związku z pandemią — również dział IT działał z okrojoną obsadą). Spółka utraciła dostęp do danych osobowych, które gromadziła. Nie doszło jednak do naruszenia "atrybutu poufności" danych osobowych, czyli ich wycieku.

W ocenie UODO incydent nie spowodował więc wysokiego ryzyka dla osób, których dane przetwarzała firma U. S.A. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do tych danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot uzdrowiskowy i tak nie prowadził swojej działalności.

- Obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym -  wskazał organ nadzorczy. Zaznaczył też, że czynności te powinny być także dokumentowane, zgodnie z zasadą rozliczalności wynikającą z RODO.

UODO wskazał też, że gdyby zabezpieczenia były odpowiednio testowane, to administrator doszedłby do wniosku, że konieczna jest instalacja nowych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. Wówczas ryzyko wystąpienia naruszenia zostałoby zminimalizowane. Tymczasem spółka U. zainstalowała nowe systemy operacyjne dopiero po tym incydencie.

Wymierzając spółce jedynie karę upomnienia PUODO wziął pod uwagę nie tylko to, że  osoby, których dotyczyło naruszenie nie poniosły żadnej szkody, ale także fakt, że administrator szybko podjął działania naprawcze.

Postępowanie UODO wykazało, że prowadząca działalność  uzdrowiskową firma U. S.A. dobrała nieskuteczne środki ochrony swoich systemów informatycznych i nie przeprowadzała testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na awarie. UODO uważa, że nie były natomiast sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.

Pozostało 82% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe