Cyberatak nie zawsze kończy się karą pieniężną

Dodano: 22 lutego 2021
Cyberatak nie zawsze kończy się karą pieniężną

Tym razem obyło się bez kary finansowej. Upomnieniem ukarał Prezes UODO spółkę prowadzącą działalność uzdrowiskową, która straciła dostęp do danych osobowych w wyniku ataku ransomware.

Zaniechania ADO

Jak okazało się w wyniku postępowania prowadzonego przez UODO, administrator wybrał nieodpowiednie środki ochrony swoich systemów IT. Zaniechał też testów ich podatności na różnego rodzaju zagrożenia. Ograniczył się jedynie do testowania wydajności komponentów oprogramowania oraz odporności systemów na rożnego rodzaju awarie.

Gdyby zaś przeprowadzono odpowiednie testy, wówczas administrator doszedłby do wniosku, że konieczna jest instalacja aktualnych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. W ten sposób doszłoby do minimalizacji ryzyka wystąpienia naruszenia, do którego doszło.

Uwaga

Obowiązkiem każdego administratora jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym. Czynności te powinny być także odpowiednio dokumentowane zgodnie z regułą rozliczalności.

Nieaktualny software

Ustalono także, że ADO korzystał z przestarzałych systemów operacyjnych i oprogramowania, które nie było aktualizowane, ponieważ producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.

Cyberatak ale bez większych konsekwencji

W spółce doszło do ataku złośliwego oprogramowania, co skończyło się zaszyfrowaniem tych danych i utratą dostępu. Co istotne, nie doszło jednak do naruszenia ich poufności. Dlatego Prezes UODO uznał, że nie wystąpiło wysokie ryzyko dla osób dotkniętych tym naruszeniem. Nie pojawiły się też inne negatywne konsekwencje związane z brakiem dostępu do tych danych. Zdarzenie miało bowiem miejsce w czasie, w którym z powodu zagrożenia epidemicznego administrator i tak nie prowadził swojej działalności.

Kryteria wymiaru kary

Organ nadzoru ograniczył się do wymierzenia kary upomnienia. Wziął bowiem pod uwagę, że osoby, których dotyczyło naruszenie, nie poniosły żadnej szkody. Jako okoliczność łagodzącą potraktowano także szybko podjęte działania naprawcze administratora.

Opracowanie:

Michał Kowalski

Źródło:

Orzecznictwo:

  • decyzja Prezesa UODO z 11 stycznia 2021 r. (DKN.5130.2815.2020)

 

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x