Nieaktualna baza wirusów uderzy burmistrza po kieszeni

30 tys. zł kary ma zapłacić pewien burmistrz za dobór nieskutecznych zabezpieczeń dla wykorzystywanego w urzędzie systemu informatycznego oraz za ich nieprzetestowanie. Skutkiem był atak ransomware i naruszenia ochrony danych osobowych.

Publikacja: 27.06.2023 16:11

Nieaktualna baza wirusów uderzy burmistrza po kieszeni

Foto: Adobe Stock

Do UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych spowodowane atakiem ransomware na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym. 

Okazało się, że  przyczyną ataku była niezaktualizowana baza wirusów.

Czytaj więcej

10 tys. zł kary dla burmistrza. Za RODO

- Co więcej, administrator  danych przeprowadził w sposób nierzetelny analizę ryzyka (szczególnie w zakresie wykonywania kopii zapasowych), a także wdrożył niepełne środki techniczne i organizacyjne, które miały gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych - informuje UODO.

Efektem tego było przełamanie zabezpieczeń wykorzystywanego przez administratora systemu informatycznego, a następnie zaszyfrowanie przetwarzanych w nim danych z użyciem złośliwego oprogramowania.

System bez wsparcia

W trakcie postępowania ustalono, że system operacyjny, zainstalowany przez administratora na serwerze, w czasie wystąpienia naruszenia ochrony danych osobowych, nie miał wsparcia producenta. Co więcej - administrator jeszcze przed wystąpieniem naruszenia ochrony danych osobowych zidentyfikował ryzyko związane z wykorzystywaniem przestarzałego oprogramowania, jednak i tak go nie aktualizował. Czyli sam nie zastosował się do procedur, których był autorem.

- Jednym z istotnych elementów, które mają wpływ na bezpieczeństwo danych osobowych jest zapewnienie, aby wykorzystywane do przetwarzania danych oprogramowanie posiadało najnowszą wersję udostępnioną przez jego producenta. Takie oprogramowanie posiada wszystkie wydane przez producenta aktualizacje, w tym te dotyczące zabezpieczeń i poprawek działania oprogramowania - przypomina UODO.

Zaszyfrowane na amen

Prowadzone postępowanie wykazało, że dane osobowe przetwarzane u administratora, zostały zaszyfrowane, w wyniku czego nastąpiła utrata dostępności do baz danych administratora.

Obowiązujące w urzędzie zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii nie zapewniały jednak dostępności systemów i usług przetwarzania oraz do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w przypadku zaistniałego naruszenia. Jak ustalono, serwer, na którym miała być wykonana dodatkowa kopia danych uległ awarii, co uniemożliwiło szybkie odtworzenie znajdujących się na nim danych. Administrator odzyskał dane dopiero po prawie trzech miesiącach.

Dezynwoltura w urzędzie

Przyjęte przez administratora środki techniczne mające służyć właściwej ochronie danych osobowych w żaden sposób nie były przez burmistrza testowane, mierzone i oceniane celem weryfikacji ich skuteczności. W trakcie prowadzonego postępowania administrator nie był w stanie wykazać, że zastosowane rozwiązania są wystarczające dla zapewnienia bezpieczeństwa przetwarzanych danych. Nie przedstawił dowodu także na to, że po wystąpieniu naruszenia ochrony danych osobowych dokonuje regularnego testowania.

- Testowanie, mierzenie i ocenianie zastosowanych zabezpieczeń, musi być dokonywane w sposób regularny, nie może mieć charakteru jednorazowego - przypomina UODO. 

Do UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych spowodowane atakiem ransomware na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym. 

Okazało się, że  przyczyną ataku była niezaktualizowana baza wirusów.

Pozostało 93% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Nieruchomości
Co można wybudować bez pozwolenia na własnej posesji? Garaż? A może oczko wodne?
Materiał Promocyjny
Naszą siłą jest różnorodność
Zawody prawnicze
Prokuratorzy zaniepokojeni poleceniem prokuratora krajowego ws. Andrija K.
Zawody prawnicze
Nieoczekiwana zmiana miejsc na podium rankingu kancelarii prawniczych
Prawo dla Ciebie
Trybunał: ustawa przyjęta bez Kamińskiego i Wąsika jest niezgodna z konstytucją
Akcje Specjalne
Dekarbonizacja gospodarki bez wodoru będzie bardzo trudna
Sądy i trybunały
Andrzej Duda powołał Mikołaja Pawlaka na sędziego
Materiał Promocyjny
Sztuczna inteligencja może być wykorzystywana w każdej branży