30 tys. zł kary dla burmistrza za naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 30 tysięcy złotych na burmistrza miasta Z. za naruszenie RODO i niewłaściwe zabezpieczenie infrastruktury. To efekt ataku typu ransomware z czerwca ubiegłego roku, w wyniku którego doszło do wycieku danych 9400 mieszkańców.

Jak czytamy w komunikacie Prezesa UODO: “Burmistrz wskazał, że „(…) złośliwe oprogramowanie L. umieściło plik tekstowy w każdym folderze z informacją o okupie (…)”. Naruszenie dotyczyło około 9400 osób. Administrator wskazał, że kategorie danych osobowych, które zostały naruszone to: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek.”

W wyniku postępowania wyjaśniającego wszczętego przez UODO okazało się, że w systemie ratusza występowały liczne podatności, a także duże problemy z przywróceniem kopii zapasowych na skutek ataku – administrator odzyskał 80 proc. danych. Serwery, na których przetrzymywane były kopie zapasowe uległ awarii. Burmistrz wymienił w piśmie liczne środki, jakie zastosował w celu ochrony infrastruktury, które – jak się okazuje, nie poradziły sobie z atakiem. Mowa m.in. o wdrożonej procedurze zarządzania ryzykiem i cyberbezpieczeństwem, instrukcji zarządzania systemem informatycznym, regulaminie ochrony danych osobowych, polityce bezpieczeństwa informacji i ochrony danych osobowych oraz polityce zarządzania ryzykiem utraty bezpieczeństwa danych.

W wyjaśnieniach od burmistrza czytamy, że po zaistniałym ataku serwer został odłączony od sieci, a wszystkie urządzenia zostały przeskanowane programem antywirusowym. Urząd podjął także decyzję o zakupie sprzętu i oprogramowania do wykonywania automatycznych kopii zapasowych.

Jak widać, pomimo zastosowanych środków urząd nie uchronił się przed atakiem. Zabezpieczenia proceduralne dobrze wyglądające na piśmie niejednokrotnie tracą kompletnie na znaczeniu w przypadku niskich kompetencji pracowników, czyli tzw. czynnika ludzkiego, który jest głównym elementem całego systemu.

Copyright @2024. All Rights Reserved.