Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/46

Kraj:

Holandia

Data wydania decyzji:

12.11.2021 r.

Podmiot kontrolowany:

Transavia Airlines CV

Wysokość kary (EUR):

400.000

Podstawa prawna naruszenia

Art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Transavia Airlines C.V. została ukarana za brak odpowiednich środków bezpieczeństwa, co doprowadziło do naruszenia ochrony danych osobowych. Naruszenie to było wynikiem nieautoryzowanego dostępu do systemów Transavia.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: 24 października 2019 roku Transavia zgłosiła naruszenie ochrony danych osobowych do holenderskiego organu nadzorczego (AP). Zgłoszenie dotyczyło nieautoryzowanego dostępu do systemów, co zostało odkryte 21 października 2019 roku.
  2. Metoda ataku: Atakujący użył technik “password spray” i “credential stuffing”, aby uzyskać dostęp do systemów Transavia. Udało się to poprzez wykorzystanie słabych haseł i braku wieloskładnikowej autoryzacji.
  3. Zakres naruszenia: Atakujący uzyskał dostęp do kont użytkowników z wysokimi uprawnieniami, co umożliwiło dostęp do szerokiego zakresu systemów i danych osobowych, w tym danych pasażerów, pracowników i dostawców.
  4. Skala naruszenia: Atakujący mógł mieć dostęp do 25 milionów osób.
  5. Działania po naruszeniu: Po wykryciu naruszenia Transavia podjęła działania naprawcze, w tym zlecenie analizy powłamaniowej, wprowadzenie dwuskładnikowej autoryzacji oraz resetowanie haseł.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie polityki haseł: Zaleca się wprowadzenie silniejszych wymagań dotyczących haseł oraz regularne kontrole ich zgodności z polityką bezpieczeństwa.
  2. Wprowadzenie wieloskładnikowej autoryzacji: Konieczne jest wdrożenie wieloskładnikowej autoryzacji dla wszystkich kont użytkowników, zwłaszcza tych z wysokimi uprawnieniami.
  3. Segmentacja sieci: Zaleca się podział sieci na segmenty, aby ograniczyć dostęp do systemów tylko do niezbędnych użytkowników.
  4. Centralizacja logowania: Warto rozszerzyć centralne logowanie, aby lepiej monitorować i reagować na incydenty bezpieczeństwa.
  5. Regularne audyty bezpieczeństwa: Należy przeprowadzać regularne audyty bezpieczeństwa, aby upewnić się, że wszystkie środki ochrony są aktualne i skuteczne.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO