Portal bezpiecznego e-biznesu

Upomnienie od UODO za brak aktualizacji!

 Upomnienie od UODO za brak aktualizacji!

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi
Organ nadzorczy nałożył karę upomnienia na Spółkę, gdyż administrator ten stracił dostęp do danych osobowych w wyniku ataku złośliwego oprogramowania szyfrującego typu ransomware.
Upomnienie od UODO za brak aktualizacji!

Postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. Nie przeprowadzał też testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie. W ocenie organu nadzoru nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.

Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.

W wyniku ataku złośliwego oprogramowania, które skutkowało zaszyfrowaniem danych osobowych, Spółka utraciła dostęp do tych danych. Nie doszło jednak do naruszenia atrybutu poufności danych osobowych.

W ocenie UODO naruszenie nie powodowało więc wysokiego ryzyka dla osób dotkniętych naruszeniem. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do tych danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot uzdrowiskowy i tak nie prowadził swojej działalności.

Organ nadzorczy wskazał, że obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym. Zaznaczył też, że czynności te powinny być także dokumentowane, by realizowana był zasada rozliczalności wynikająca z RODO.

UODO wskazał też, że gdyby zabezpieczenia były odpowiednio testowane, to administrator doszedłby do wniosku, że konieczna jest instalacja aktualnych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. Wówczas administrator zminimalizowały ryzyko wystąpienia naruszenia, do którego doszło. Tymczasem dopiero po tym incydencie administrator zainstalował nowe systemy operacyjne i dodatkowe oprogramowanie, mające odpowiednie wsparcie producentów.

Organ nadzoru decydując się o karze upomnienia wziął pod uwagę nie tylko to, że okoliczności sprawy wskazują na to, że osoby, których dotyczyło naruszenie nie poniosły żadnej szkody, na co wpływ miało zawieszenie działalności uzdrowisk w związku z pandemią COVID, ale też to, że administrator szybko podjął działania naprawcze. W ocenie UDOO kara upomnienia jest w tym wypadku wystarczająca i sprawi, że administrator będzie podejmował odpowiednie działania, które zminimalizują ryzyko wystąpienia podobnego zdarzenia w przyszłości.

Pełna treść decyzji dostępna jest: TUTAJ

Komentarze

‹ Poprzedni artykułCD Projekt padł ofiarą hakerów. Szantażują i żądają okupu Następny artykuł ›UOKiK wszczął postępowanie wobec Recmana za fałszowanie składu surowcowego odzieży

Newsletter

Bądź zawsze na bieżąco, czuj się bezpiecznie w sieci.
Wcale nie spam. Zapisz się do Newslettera.

Legalniewsieci.pl © 2021. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się