Atak ransomware obnażył słabe punkty
Incydent rozpoczął się od błędu pracownika, który wyłączył oprogramowanie antywirusowe, umożliwiając atak typu ransomware. W jego wyniku firma straciła dostęp do danych klientów oraz pracowników – zarówno byłych, jak i obecnych. Dane obejmowały wrażliwe informacje, takie jak numery PESEL, numery dowodów osobistych, rachunków bankowych, adresy zamieszkania, a także dane kontaktowe.
Administrator danych, pomimo odzyskania dostępu do danych w krótkim czasie, uznał, że celem ataku był jedynie szantaż, a nie pozyskanie danych. Firma powiadomiła osoby dotknięte incydentem, jednak sposób komunikacji okazał się wadliwy, a reakcja na uwagi UODO – niewystarczająca.
Największym problemem okazały się jednak zaniedbania w zakresie analizy ryzyka oraz brak wdrożenia adekwatnych środków technicznych i organizacyjnych. Firma nie przeprowadziła kompleksowej analizy zagrożeń, co mogło zapobiec wykorzystaniu złośliwego oprogramowania. Aktualizacje oprogramowania również nie były regularnie wykonywane, co ułatwiło hakerom dostęp do systemu.
Systemowe zaniedbania i odpowiedzialność podmiotów przetwarzających
PUODO wykazał, że firma nie tylko nie wdrożyła odpowiednich środków bezpieczeństwa, ale również nie zweryfikowała, czy podmiot przetwarzający dane zapewnia odpowiednie zabezpieczenia. Wspólnicy spółki cywilnej odpowiedzialnej za serwer nie poinformowali administratora o znanych podatnościach oprogramowania, co w efekcie umożliwiło przeprowadzenie ataku.
Co więcej, szkolenia z zakresu ochrony danych osobowych w firmie były przeprowadzane rzadko – przed incydentem odbyło się tylko jedno, co w kontekście podkreślanej przez administratora roli „czynnika ludzkiego” było daleko niewystarczające. Brak skutecznych działań edukacyjnych oraz niska świadomość zagrożeń wśród pracowników dodatkowo zwiększyły ryzyko naruszeń.
W decyzji UODO kluczowym punktem była również zasada rozliczalności, którą administrator danych zignorował. Na żadnym etapie nie potrafił udowodnić, że wdrożone środki bezpieczeństwa są adekwatne do ryzyka, ponieważ nigdy tego ryzyka nie zidentyfikował. Nawet po incydencie działania naprawcze były niewystarczające.
Lekcja na przyszłość
Kara finansowa nałożona przez UODO jest jasnym sygnałem, że naruszenia RODO – zarówno w zakresie technologicznym, jak i organizacyjnym – będą surowo karane. Eksperci ds. cyberbezpieczeństwa powinni zwrócić szczególną uwagę na znaczenie kompleksowej analizy ryzyka, regularnych aktualizacji systemów oraz szkoleń pracowników, które mogą zapobiec podobnym incydentom.
Wnioski z tej sprawy pokazują, że nie tylko technologie, ale i odpowiednie procedury oraz świadomość pracowników są kluczowe w ochronie danych osobowych.