Case study: wyłączony antywirus i 350 tys. kary z tytułu naruszenia RODO

Zbagatelizowanie  oprogramowania antywirusowego przez jednego z pracowników uwydatniło krytyczne zaniedbania infrastruktury IT całej firmy, które przyczyniły się do nałożenia na przedsiębiorstwo kary finansowej w wysokości 350 tyś złotych.

Za co Prezes UODO ukarał Administratora danych osobowych?

Pod koniec ubiegłego roku pewna firma zajmująca się sprzedażą drzwi antywłamaniowych została ukarana przez Prezesa UODO karą finansową opiewającą na ponad 350 tyś złotych. 

Firma partnerska również nie obeszła się bez szkody, choć już znacznie mniejszej, bo PUODO wycenił ich przewinienie na blisko 10 tys. złotych. 

Naruszone przepisy- za to kara RODO: 

• art. 24 ust. 1, art. 25 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia 2016/679 
• art. 5 ust. 1 lit. f) rozporządzenia 2016/679 
• art. 5 ust. 2 rozporządzenia 2016/679 
• art. 28 ust. 1 rozporządzenia 2016/679 
• art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679 

Jak doszło do naruszenia bezpieczeństwa danych?

W toku analizy sprawy przez organ nadzorczy okazało się, że Administrator dopuścił się licznych zaniedbań związanych z aktualizacją stosowanych zabezpieczeń, analizą ryzyka dla swoich zasobów, kontrolą uprawnień pracowników do ingerencji w kluczowe zabezpieczenia oraz co najważniejsze, powiadomienia osób objętych obszarem naruszenia danych, ponieważ zbagatelizował możliwe skutki naruszenia danych. 

Jedną z głównych przyczyn naruszenia danych osobowych było wyłączenie licencjonowanego programu antywirusowego Administratora przez jednego z pracowników. W efekcie tego incydentu, który nie powinien mieć miejsca, na serwerze firmy uruchomione zostały procesy inicjujące proces szyfrowania. 

Cyberzaniedbania firmy partnerskiej 

Do tego naruszenia mogłoby nie dojść, gdyby Administrator odpowiednio podszedł do spraw związanych z cyberbezpieczeństwem, wcześniej zadbał o aktualizację systemów operacyjnych oraz w porę odebrał użytkownikom uprawnienia, które pozwalały ingerować w pracę systemu łączącego w sobie funkcje firewall i programu antywirusowego. 

Oprogramowanie antywirusowe jest dziś absolutnym fundamentem w budowaniu cyberbezpieczeństwa w organizacjach oraz jednym z kluczowych elementów dla zapewnienia ochrony danych osobowych. 

Skutki ataku ransomware

W wyniku ataku ransomware firma na krótko straciła dostęp do danych klientów i swoich pracowników, zarówno aktualnych jak i historycznych.

Skompromitowane zostały dane wrażliwe takie jak numery PESEL, adresy zamieszkania, numery kont bankowych.

Firma zbagatelizowała sprawę argumentując, że „nieznani sprawcy” dokonali ataku jedynie w celach szantażu, a nie wykradzenia danych. Ta argumentacja nie przekonała jednak UODO z uwagi na to, że właściciele nie dostarczyli dowodów świadczących o tym, że dane nie zostały „wykradzione”. 

Ponadto przedsiębiorstwo nie zadbało odpowiednio o przepływ informacji z podmiotem przetwarzającym, który nie poinformował o lukach w zabezpieczeniach serwera i zignorował aktualizacje oprogramowania. To również wpłynęło na wysokość, jaką miała kara RODO.

Rekomendacje

Regularna analiza ryzyka 

Analiza ryzyka to „analityczny” fundament bezpieczeństwa. By je zapewnić każda firma powinna przeprowadzać regularną i rzetelną analizę ryzyka. Zespół analizujący ryzyko powinien składać się ze specjalistów z określonych obszarów. Na podstawie takiej analizy można wdrażać środki bezpieczeństwa (techniczne, fizyczne oraz organizacyjne) adekwatne do zagrożeń.  

Ograniczanie uprawnień pracowników 

Możliwość ingerowania pracowników w zabezpieczenia należy ograniczać zgodnie z zakresem obowiązków. Nawet te najlepsze na nic się nam nie zdadzą, jeśli nieświadomy pracownik je wyłączy. 

Kontrola podmiotów partnerskich – to administrator odpowiada za bezpieczeństwo

Jeśli zlecamy obsługę określonego obszaru firmie zewnętrznej, przykładajmy dużą wagę do weryfikacji poziomu bezpieczeństwa.  Kontrolujmy to, czy partner wywiązuje się ze swoich obowiązków i dba o aktualizacje oraz ochronę danych.  To już kolejny wyrok, w którym mimo zauważalnej winy podmiotu przetwarzającego to administrator obciążony jest znacznie wyższą karą. O innej sytuacji z podobnym zakończeniem możecie przeczytać tutaj:

Case study: Jak lekceważenie zasad RODO może kosztować miliony – analiza błędów PANEK SA i ITCenter 

Kara RODO również w tym przypadku była dużo bardziej bolesna dla administratora danych osobowych.