Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Naruszenie wynikało z braku odpowiednich środków bezpieczeństwa w systemach informatycznych gminy Østre Toten. W szczególności brakowało dwuskładnikowego uwierzytelniania, odpowiednio zabezpieczonych systemów kopii zapasowych oraz logowania ważnych zdarzeń w sieci.

Opis wydarzeń

1. Data ataku: Noc z 8 na 9 stycznia 2021 roku.
2. Rodzaj ataku: Atak ransomware, który spowodował zaszyfrowanie danych i usunięcie kopii zapasowych.
3. Skutki ataku: Pracownicy stracili dostęp do systemów IT, a dane gminy zostały zaszyfrowane. Około 30 000 dokumentów zawierających dane osobowe szczególnej kategorii zostało objętych atakiem.
4. Dalsze konsekwencje: Dane zostały opublikowane w dark webie. Trwały prace nad odzyskaniem danych i zabezpieczeniem systemów.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Wdrożenie systemu zarządzania bezpieczeństwem informacji: Należy ustanowić i udokumentować odpowiedni system zarządzania bezpieczeństwem informacji i ochroną danych osobowych.
2. Analizy ryzyka i podatności: Przeprowadzenie analiz ryzyka i podatności dla wszystkich kluczowych systemów w infrastrukturze w celu identyfikacji potrzebnych środków redukujących ryzyko.
3. Poprawa logowania i monitoringu: Konfiguracja systemów do centralnego zbierania logów oraz zapewnienie odpowiedniego logowania ruchu wewnętrznego i zewnętrznego.
4. Zabezpieczenie kopii zapasowych: Wdrożenie środków ochrony kopii zapasowych przed celowym i przypadkowym usunięciem, manipulacją i odczytem.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu