Aktualności z Cyberbezpieczeństwa

Naruszenia ochrony danych osobowych spowodowane atakiem Ransomware

Atak ransomware, spowodowany niezaktualizowaną bazą wirusów oraz nierzetelną analizą ryzyka, doprowadził do naruszenia ochrony danych osobowych. Administratorzy nie wdrożyli wystarczających środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa, mimo identyfikacji ryzyka związanego z przestarzałym oprogramowaniem. Awarie serwera uniemożliwiły szybkie odzyskanie danych, które zostały przywrócone dopiero po trzech miesiącach.

W trakcie postępowania podmiot nie przedstawił dowodów na skuteczność zastosowanych rozwiązań ani na regularne testowanie zabezpieczeń. Kluczowe wnioski obejmują konieczność zapewnienia, aby oprogramowanie było aktualne oraz zabezpieczeń odpowiednich do przetwarzania danych osobowych.

Ważne jest również tworzenie skutecznych kopii zapasowych, które gwarantują dostępność danych oraz ich szybkie przywrócenie po naruszeniu. Regularne testowanie i ocenianie przyjętych środków ochrony jest niezbędne, aby były one skuteczne.

Funkcja korzysta z technologii sztucznej inteligencji (AI).


Prezesa Urzędu ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych spowodowane atakiem ransomware na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym.

UODO uznał, że faktyczną przyczyną wystąpienia ataku ransomware była niezaktualizowana baza wirusów. Co więcej, administrator przeprowadził w sposób nierzetelny analizę ryzyka (szczególnie w zakresie wykonywania kopii zapasowych), a także wdrożył niepełne środki techniczne i organizacyjne, które miały gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych.
Podmiot przed wystąpieniem naruszenia ochrony danych osobowych zidentyfikował ryzyko związane z wykorzystywaniem przestarzałego oprogramowania, jednak go nie aktualizował, a więc sam nie zastosował się do procedur, których był autorem.
Serwer, na którym miała być wykonana kopia danych uległ awarii, co uniemożliwiło szybkie odtworzenie znajdujących się na nim danych. Administrator odzyskał dane dopiero po prawie trzech miesiącach.
W trakcie prowadzonego postępowania podmiot nie był w stanie wykazać, że zastosowane rozwiązania są wystarczające dla zapewnienia bezpieczeństwa przetwarzanych danych. Ponadto nie przedstawił dowodu, że po wystąpieniu naruszenia ochrony danych osobowych dokonuje regularnego testowania.
 
Jakie wnioski zatem należy wyciągnąć, aby przeciwdziałać?
 
Odpowiednie zabezpieczenia techniczne
Jednym z istotnych elementów, które mają wpływ na bezpieczeństwo danych osobowych jest zapewnienie, aby wykorzystywane do przetwarzania danych oprogramowanie posiadało najnowszą wersję udostępnioną przez jego producenta. Takie oprogramowanie posiada wszystkie wydane przez producenta aktualizacje, w tym te dotyczące zabezpieczeń i poprawek działania oprogramowania m.in. systemy operacyjne.
Korzystanie z systemów informatycznych po zakończeniu wsparcia technicznego przez ich producenta, w sposób istotny obniża ich poziom bezpieczeństwa.
 
Kopie zapasowe
Obowiązujące u administratora zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii muszą zapewniać dostępności systemów i usług przetwarzania oraz szybkie przywrócenie dostępności danych osobowych i dostępu do nich w przypadku zaistniałego naruszenia. 

Regularne testowanie
Przyjęte przez administratora środki techniczne mające służyć właściwej ochronie danych osobowych powinny być testowane, mierzone i oceniane celem weryfikacji ich skuteczności. 

Po raz kolejny należy przypomnieć, że testowanie, mierzenie i ocenianie zastosowanych zabezpieczeń, musi być dokonywane w sposób regularny, nie może mieć charakteru jednorazowego.
 
Pełna treść decyzji:
https://www.uodo.gov.pl/decyzje/DKN.5131.56.2022