UODO nałożył karę za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego
29/06/2023
Prezes UODO nałożył administracyjną karę pieniężną w wysokości 30 tys. zł na jednego z burmistrzów za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego oraz za ich nieprzetestowanie.
W następstwie przeprowadzonego postępowania organ stwierdził, że faktyczną przyczyną wystąpienia ataku ransomware była niezaktualizowana baza wirusów. Jak ustalono system operacyjny, zainstalowany przez administratora na serwerze, w czasie wystąpienia naruszenia ochrony danych osobowych, nie miał wsparcia producenta.
Efektem tego było przełamanie zabezpieczeń wykorzystywanego przez administratora systemu informatycznego, a następnie zaszyfrowanie przetwarzanych w nim danych z użyciem złośliwego oprogramowania. W wyniku zaszyfrowania nastąpiła utrata dostępności baz danych administratora.
Obowiązujące u administratora zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii nie zapewniały jednak dostępności systemów i usług przetwarzania oraz do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w przypadku zaistniałego naruszenia. Jak ustalono, serwer, na którym miała być wykonana dodatkowa kopia danych uległ awarii, co uniemożliwiło szybkie odtworzenie znajdujących się na nim danych. Administrator odzyskał dane dopiero po prawie trzech miesiącach.
W ocenie organu korzystanie z systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta, w sposób istotny obniża ich poziom bezpieczeństwa. Przyjęte przez administratora środki techniczne mające służyć właściwej ochronie danych osobowych w żaden sposób nie były przez burmistrza testowane, mierzone i oceniane celem weryfikacji ich skuteczności. Ponadto w trakcie prowadzonego postępowania administrator nie był w stanie wykazać, że zastosowane rozwiązania są wystarczające dla zapewnienia bezpieczeństwa przetwarzanych danych.
Treść decyzji https://www.uodo.gov.pl/decyzje/DKN.5131.56.2022
Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:
Facebook https://www.facebook.com/odoserwis.pl.2016/
Linkedin https://www.linkedin.com/company/odoserwis-pl/
-----------------------------------------------------
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl