Nieprawidłowe przetwarzanie danych osobowych po cyberataku może skutkować karami pieniężnymi
14/03/2023
Firmy mogą naruszać europejskie przepisy dotyczące prywatności, jeśli źle obchodzą się z danymi osobowymi po ataku cybernetycznym - wynika z orzeczenia wydanego niedawno w Irlandii. Komisarz ds. ochrony danych Irlandii ukarał grupę medyczną Centric Health Ltd. z siedzibą w Dublinie grzywną w wysokości 460 000 EUR, co stanowi równowartość 485 000 USD, powołując się na nieumyślne zniszczenie około 2500 plików pacjentów i inne usunięcia danych po ataku ransomware.
Kara podkreśliła ryzyko, na jakie narażone są firmy w związku ze spełnianiem europejskich wymogów dotyczących prywatności danych - nawet gdy spieszą się z naprawą systemów i odzyskiwaniem informacji po naruszeniu cybernetycznym.
Podczas radzenia sobie z cyberatakiem zespoły ds. bezpieczeństwa mogą nadpisać dzienniki bezpieczeństwa, nie udokumentować kroków obronnych lub zapomnieć o zachowaniu migawek zainfekowanych systemów, co może przynieść duże kary, jeśli działania te przyczynią się do naruszenia danych.
Europejskie organy regulacyjne ds. ochrony danych w ostatnich dochodzeniach powoływały się na błędy w zakresie bezpieczeństwa cybernetycznego - w niektórych przypadkach występujące przed lub w odpowiedzi na cyberatak - które doprowadziły do naruszenia prywatności. W listopadzie francuski regulator powiązał praktyki w zakresie bezpieczeństwa cybernetycznego z naruszeniem prywatności w firmie Discord Inc. i nałożył na serwis czatowy karę w wysokości 800 000 euro. Brytyjski regulator wydał grzywnę w wysokości 4,4 miliona funtów, czyli 5,2 miliona dolarów, przeciwko brytyjskiej firmie budowlanej Interserve Group Ltd. w październiku, i powiedział, że słabe środki bezpieczeństwa firmy sprawiły, że dane dotyczące około 113 000 obecnych i byłych pracowników były narażone na atak ransomware w 2020 roku. Interserve argumentował, że pandemia Covid-19 uniemożliwiła pracownikom szybkie przywrócenie danych, ponieważ nie mogli oni przyjść do biura. Regulator powiedział, że brak odpowiednich środków i kopii zapasowych danych offline przez Interserve odegrał większą rolę.
Dane dotyczące zdrowia wymagają szczególnie wysokiego poziomu bezpieczeństwa w ramach rygorystycznego ogólnego rozporządzenia o ochronie danych Unii Europejskiej. W przypadku Centric, około 70 000 plików pacjentów było niedostępnych po cyberataku, większość z nich tymczasowo, oprócz 2 500 zniszczonych, powiedziała irlandzka komisja, której przewodniczy Helen Dixon.
"Nieautoryzowane usunięcie takich danych osobowych, na przykład, mogłoby zakłócić świadczenie opieki medycznej osobom, których dane dotyczą", powiedziała pani Dixon w swojej decyzji. Zauważyła również, że firma Centric wynajęta do przeprowadzenia analizy kryminalistycznej incydentu stwierdziła, że proces przywracania zainfekowanego systemu "usunął kluczowe dane logowania." Utrudniło to możliwość ustalenia kluczowych szczegółów, takich jak to, kiedy pewne konta zostały skompromitowane i czy dane osobowe zostały skradzione.
Te okoliczności pokazują "kombinację słabych praktyk reagowania na incydenty i naruszenia danych w połączeniu z brakiem dobrych kopii zapasowych" - powiedział Brian Honan, szef BH Consulting, firmy konsultingowej zajmującej się bezpieczeństwem z siedzibą w Dublinie.
Centric, który oferuje opiekę dla około 400 000 pacjentów w Irlandii, podjął kroki w celu odzyskania usuniętych danych pacjentów i poinformował irlandzkiego regulatora, a także dotkniętych pacjentów, rzecznik grupy opieki zdrowotnej powiedział w tym tygodniu w e-mailowym oświadczeniu. "Chcemy ich zapewnić, że utracone dane zostały odbudowane i co ważne, nie było żadnego negatywnego wpływu na ich opiekę zdrowotną" - napisano w oświadczeniu.
Dostawca medyczny również wyszedł niedostatecznie w testowaniu bezpieczeństwa swoich serwerów i stosowaniu wystarczających środków ochronnych, aby zagwarantować, że kopie zapasowe będą dostępne, decyzja powiedziała. Centric odszedł od swojej standardowej praktyki przechowywania kopii zapasowych poza siedzibą, według regulatora.
W dokumentacji złożonej w biurze pani Dixon podczas dochodzenia, Centric powiedział, że w momencie ataku był w trakcie przenoszenia konkretnego serwera do "nowego rozwiązania infrastrukturalnego i [nie] był on skonfigurowany zgodnie ze standardowym rozwiązaniem. W związku z tym nie wdrożono procesów testowania zabezpieczeń danych przed awarią, w tym przywracania z kopii zapasowej."
Firmy, które nie przeprowadzają ćwiczeń na sucho jak odzyskać dane po cyberataku lub nie testują swoich systemów backupu ryzykują zniszczenie danych i popełnienie innych błędów, powiedział pan Honan. Zespoły bezpieczeństwa muszą przeprowadzić ćwiczenia, aby wiedzieć, że mają odpowiednie umiejętności, narzędzia i metody, aby spełnić wymagania dotyczące prywatności i zachować dowody, powiedział.
"Twoje obowiązki w radzeniu sobie z GDPR nie dotyczą tylko zapobiegania", powiedział. "Chodzi również o to, jak reagujesz i chronisz prawa osób fizycznych, gdy już dojdzie do naruszenia".
Więcej:
Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/
-----------------------------------------------------
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl