Przejdź do treści
Strona główna » Blog » Kara Prezesa UODO dla kolejnego burmistrza

Kara Prezesa UODO dla kolejnego burmistrza

To kolejna kara Prezesa UODO nałożona na burmistrza. Tym razem wyniosła ona 30.000 zł. Prezes UODO znowu kładzie szczególny nacisk na znaczenie rzetelnej analizy ryzyka. Zwraca też uwagę na to, że jej przeprowadzenie stanowi dopiero początek niezbędnych działań. Zidentyfikowane ryzyko powinno zostać odpowiednio zaadresowane przez podjęcie adekwatnych do zagrożeń środków zabezpieczeń.

Wszystko zaczęło się od ransomware…

Zaszyfrowanie danych nastąpiło w wyniku działania złośliwego oprogramowania, które umieściło plik tekstowy w każdym folderze z informacją o okupie. Naruszenie dotyczyło około 9400 osób. W zakres danych dotkniętych naruszeniem wchodziły takie dane jak imiona i nazwiska, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, numer telefonu i wizerunek.

Jak widać, to solidny zestaw danych, który w przypadku przejęcia przez autora ataku mógłby posłużyć do wielu nadużyć, takich jak choćby kradzież tożsamości i powiązane z tym dalej działania, jak np. wyłudzenie kredytu. O ile o tych konsekwencjach jest raczej głośno, o tyle taki zakres danych może też pozwolić na uzyskanie innych informacji o osobach, których one dotyczą. Wiele ze wskazanych danych jest wykorzystywanych w procesie weryfikacji tożsamości, np. przez banki, podmioty lecznicze lub inne instytucje publiczne.

Co poszło nie tak?

Przede wszystkim nie przewidziano procedur tworzenia kopii zapasowych. Administrator nie wykonywał też regularnych backupów serwerów, aplikacji, plików i konfiguracji. Kopie nie były też testowane pod kątem możliwości ich przywrócenia.

Inną sprawą, choć oczywiście blisko powiązaną, jest analiza ryzyka. Wprawdzie została ona przeprowadzona, jednak nie doprowadziła ona w efekcie do wdrożenia adekwatnych do zidentyfikowanych zagrożeń działań.

Jakie są skutki zdarzenia?

Jednym ze skutków jest oczywiście utrata dostępu do danych. Na czas wydawania decyzji odzyskane zostało około 80% zaszyfrowanych danych. Spora część została odtworzona z dokumentacji papierowej – i tutaj słowo komentarza. Często spotykam się z opinią “co papier, to papier”. Traktuję to przede wszystkim jako pewną niechęć do zmiany i przeniesienia się w świat cyfrowy. Z drugiej jednak strony oczywiście wystarczy, że zabraknie jakiegoś składnika, ot prądu lub krzemu, i rzeczywiście problem może być poważny. I oczywiście, ta konkretna sytuacja pokazuje, że papierowa dokumentacja uratowała dzień (a przynajmniej sporą jego część). Nie zapominajmy jednak, że nie byłby potrzebny, gdyby kopie zapasowe istniały i działały zgodnie z ich przeznaczeniem.

Skutkiem naruszeniem mogła też być utrata poufności danych, a w konsekwencji ich nieuprawnione wykorzystanie. Na dzień wydania decyzji nie było dowodów na takie działanie. Jak jednak pokazuje rzeczywistość, mogą one wypłynąć przy innej okazji i w zupełnie innym czasie.

Wreszcie skutek trzeci – Prezes UODO nałożył na burmistrza karę w wysokości 30.000 zł. To 30% wysokości możliwej do nałożenia w tej sytuacji kary. Sytuacja ta jest jednak cenną lekcją dla innych administratorów, zwłaszcza związanych z administracją publiczną.

Lekcja dla wszystkich administratorów danych

Ransomware to codzienność, której należy aktywnie przeciwdziałać. Liczba tego typu ataków z pewnością nie zmaleje, a nie byłoby ryzykownym stwierdzeniem, że będzie stale rosnąć. Oczywiście wymaga to stosowania wielu różnych środków ochrony danych, często zaawansowanych technologicznie i po prostu kosztownych. W tej sprawie można było jednak wielu elementów uniknąć, stosując podstawowe zasady działania w środowisku cyfrowym.

W telegraficznym skrócie…

  • Już dzisiaj sprawdź, czy Twoje kopie zapasowe są możliwe do odtworzenia.
  • Jeżeli nie masz czego sprawdzać (patrz linijkę wyżej), to jak najszybciej stwórz kopie zapasowe i zasady ich wykonywania oraz testowania.
  • Zadbaj o aktualne oprogramowanie.
  • Przeprowadź analizę ryzyka i monitoruj jej aktualność.
  • Regularnie testuj skuteczność zastosowanych środków ochrony danych osobowych.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *