Aktualności z Cyberbezpieczeństwa

Ryzyko braku ochrony antywirusowej

UODO nałożył karę w wysokości ponad 350 tys. zł na firmę sprzedającą drzwi antywłamaniowe, której wspólnicy otrzymali 9,8 tys. zł kary. Po ataku hakerskim, firma straciła dostęp do danych klientów i pracowników, w tym dane osobowe oraz finansowe. Stwierdzono, że pracownik wyłączył program antywirusowy, co umożliwiło atak ransomware.

Administrator danych uznał, że celem ataku był szantaż, a ryzyko naruszenia praw fizycznych było niskie. Mimo to, firma źle powiadomiła osoby, których dane dotyczyły, nie reagując na uwagi PUODO. Ustalono, że administrator nie zastosował odpowiednich środków bezpieczeństwa oraz nie przeprowadził analizy ryzyka, co jest wbrew przepisom RODO.

Ponadto, nie zweryfikowano, czy podmiot przetwarzający dane zapewniał odpowiednie gwarancje bezpieczeństwa, a zawiadomienia o naruszeniu danych były nieprawidłowe. Kara została wymierzona za niedopełnienie obowiązków związanych z ochroną danych osobowych.

Funkcja korzysta z technologii sztucznej inteligencji (AI).



     UODO ukarał firmę sprzedającą m.in. drzwi antywłamaniowe, na kwotę ponad 350 tys. złotych. Wspólnicy spółki cywilnej, której firma powierzyła przetwarzanie danych, zostali ukarani karą 9,8 tys. zł.

Firma zgłosiła, że w wyniku ataku hakerskiego straciła dostęp do danych klientów oraz pracowników. W bazie były dane m.in. byłych i obecnych pracowników: numery PESEL, dowodów osobistych, imiona i nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, e-mail i numer telefonu. Jak twierdziła firma, jej pracownik wyłączył program antywirusowy i to umożliwiło atak typu ransomware. Zdaniem administratora incydent trwał jednak krótko, firmie udało się odzyskać dostęp do danych. Uznała też, że celem ataku nie było zdobycie danych, tylko szantaż. Dlatego uznała, że nie było więc wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Firma (administrator danych) powiadomiła o fakcie osoby, których dane dotyczyły. Zrobiła to jednak w sposób wadliwy, i nie zareagowała na uwagi PUODO.

W efekcie PUODO ustalił, że administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko dla danych. A stało się to dlatego, że wbrew wskazaniom RODO, nie przeprowadził odpowiedniej analizy ryzyka.

Niezależnie od niewdrożenia przez administratora odpowiednich technicznych i organizacyjnych środków bezpieczeństwa na podstawie przeprowadzonej analizy ryzyka, kara jest też za: niezweryfikowanie, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą (pkt I b) sentencji decyzji); nieprawidłowe zawiadomienie osób, których dane dotyczą (pkt I c) sentencji decyzji).