Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/12

Kraj:

Finlandia

Data wydania decyzji:

07.12.2021 r.

Podmiot kontrolowany:

Psykoterapiakeskus Vastaamo

Wysokość kary (EUR):

608.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 33 ust. 1, art. 34 ust. 1 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Przyczyną naruszenia była niewystarczająca ochrona danych osobowych w systemie informatycznym Psychoterapiakeskus Vastaamo Oy. System ten miał otwarty port MySQL bez odpowiedniego zabezpieczenia hasłem, co umożliwiło nieautoryzowany dostęp do bazy danych pacjentów.

 

Opis wydarzeń

  1. Pierwsze naruszenie: 20 grudnia 2018 roku doszło do nieautoryzowanego logowania do bazy danych pacjentów z użyciem konta root z amerykańskiego adresu IP. Nie ma dowodów na kradzież danych, ale taka możliwość istniała.
  2. Drugie naruszenie: 15 marca 2019 roku baza danych została prawdopodobnie skasowana i przywrócona. Na serwerze znaleziono wiadomość z żądaniem okupu, co sugeruje, że dane zostały skopiowane przez atakującego.
  3. Zgłoszenie naruszenia: Vastaamo zgłosiło naruszenie do fińskiego organu nadzorczego 29 września 2020 roku, po otrzymaniu listu z żądaniem okupu, który zawierał próbkę skradzionych danych pacjentów.
  4. Dalsze działania: Vastaamo uzupełniło zgłoszenie 2 listopada 2020 roku, potwierdzając, że dane w liście z żądaniem okupu pochodziły z ich bazy danych. Ustalono, że naruszenia miały miejsce w listopadzie 2018 i marcu 2019 roku.
  5. Analiza powłamaniowa: Analiza powłamaniowa wykazała brak oddzielnego środowiska deweloperskiego, testowego i produkcyjnego do tworzenia aplikacji, brak aktualizacji systemu, brak zainstalowanego oprogramowania antywirusowego, brak wykonywania testów podatności oraz brak zewnętrznych audytów bezpieczeństwa.
  6. Skala naruszenia: W wyniku ataku hakerskiego wykradziono dane osobowe najprawdopodobniej ok 69 tys. osób.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie zabezpieczeń: Zaleca się wdrożenie silniejszych zabezpieczeń technicznych, takich jak firewall, regularne aktualizacje oprogramowania oraz silne hasła dla kont administracyjnych.
  2. Dokumentacja i procedury: Należy opracować i wdrożyć szczegółowe procedury dotyczące zarządzania incydentami bezpieczeństwa oraz regularnie je aktualizować.
  3. Szkolenia dla pracowników: Zaleca się przeprowadzenie regularnych szkoleń dla pracowników w zakresie ochrony danych osobowych i reagowania na incydenty bezpieczeństwa.
  4. Monitorowanie i audyty: Wprowadzenie systematycznego monitorowania systemów informatycznych oraz regularne przeprowadzanie audytów bezpieczeństwa.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO