Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/58

Kraj:

Wielka Brytania

Data wydania decyzji:

19.10.2022 r.

Podmiot kontrolowany:

Interserve Group Limited

Wysokość kary (EUR):

5.033.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie wynikało z nieprzestrzegania przez Interserve Group Limited przepisów RODO, gdyż firma nie zapewniła odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, co uczyniło ją podatną na atak cybernetyczny.

 

Opis wydarzeń

  1. Przed incydentem:
    • Interserve miało wdrożone polityki i standardy dotyczące bezpieczeństwa informacji, jednak nie były one skutecznie realizowane.
    • Firma korzystała z przestarzałych systemów operacyjnych i nieaktualnych protokołów, co zwiększało ryzyko ataków.
    • Pracownicy nie byli odpowiednio przeszkoleni w zakresie ochrony danych.
  2. Incydent:
    • 30 marca 2020 roku wysłano phishingowy e-mail do pracownika Interserve, który otworzył załącznik, instalując złośliwe oprogramowanie.
    • Atakujący uzyskali dostęp do systemów firmy, kompromitując 283 systemy i 16 kont, w tym 12 uprzywilejowanych.
    • Dane osobowe do 113 000 pracowników zostały zaszyfrowane przez atakujących.
  3. Po incydencie:
    • 2 maja 2020 roku Interserve odkryło atak i zgłosiło go do Narodowego Centrum Cyberbezpieczeństwa oraz Narodowej Agencji Kryminalnej.
    • Firma podjęła działania naprawcze, angażując zewnętrznych ekspertów do analizy i wsparcia.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Aktualizacja systemów: Należy regularnie aktualizować systemy operacyjne i oprogramowanie, aby korzystać z najnowszych zabezpieczeń.
  2. Szkolenia: Pracownicy powinni przechodzić regularne szkolenia z zakresu bezpieczeństwa informacji i ochrony danych osobowych.
  3. Zarządzanie dostępem: Ograniczenie liczby użytkowników z uprzywilejowanym dostępem oraz wdrożenie zasady najmniejszych uprawnień.
  4. Ochrona końcówek: Wdrożenie zaawansowanych narzędzi ochrony końcówek, takich jak aktualne oprogramowanie antywirusowe i firewalle.
  5. Testy penetracyjne: Regularne przeprowadzanie testów penetracyjnych i skanów podatności, aby identyfikować i naprawiać luki w zabezpieczeniach.
  6. Reakcja na incydenty: Opracowanie i wdrożenie skutecznych procedur reagowania na incydenty, w tym analizy przyczyn i działań naprawczych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO