30 tys. zł – tyle wyniosła kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na burmistrza jednej z gmin. Był to skutek braków w zabezpieczeniach danych m.in. nieaktualnej bazy wirusów, co doprowadziło do skutecznego ataku ransomware i utraty dostępu do danych
Wskutek ataku ransomware w jednym z urzędów gmin doszło do utraty danych osobowych. Dane zostały zaszyfrowane wskutek działania złośliwego oprogramowania. W efekcie administrator utracił do nich dostęp.
Jak ustalono w toku postępowania, atak ransomware powiódł się z uwagi na istnienie podatności w systemie IT wykorzystywanym przez urząd. Tą podatnością była zaś niezaktualizowana baza wirusów. Poza tym wykorzystywany przez administratora system operacyjny nie był już wspierany przez producenta. Choć administrator był tego świadom, ponieważ zidentyfikował takie ryzyko, to jednak nie podjął w związku z tym żadnych działań.
Poza tym administratorowi zarzucono:
nierzetelność przeprowadzonej analizy ryzyka (szczególnie w zakresie wykonywania kopii zapasowych – nie zapewniono tu możliwości szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w przypadku cyberataków),
niepełne – w ocenie Prezesa UODO – środki bezpieczeństwa danych osobowych
brak systematycznego testowania środków bezpieczeństwa.
W konsekwencji organ nadzorczy nałożył na burmistrza gminy karę w wysokości 30 tys. zł.
decyzja Prezesa UODO z 16 maja 2023 r. (DKN.5131.56.2022)
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
