Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/8

Kraj:

Grecja

Data wydania decyzji:

27.01.2022 r.

Podmiot kontrolowany:

Cosmote Mobile Telecommunications S.A.

Wysokość kary (EUR):

5.850.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 5 ust. 2, art. 13, art. 14, art. 25 ust. 1, art. 26, art. 28, art. 35 ust. 7 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie danych osobowych w firmie Cosmote Mobile Telecommunications S.A. miało miejsce z powodu ataku hakerskiego, który wykorzystał luki w zabezpieczeniach systemów. Haker uzyskał dostęp do serwera, na którym przechowywano dane osobowe klientów, poprzez wykorzystanie skradzionych danych logowania z serwisu LinkedIn.

 

Opis wydarzeń

  1. Wykrycie problemu: W 2020 roku administratorzy systemów Cosmote zauważyli, że jeden z serwerów przekroczył limit pojemności. Po dalszym śledztwie odkryto, że na serwerze znajdował się plik o wielkości 30 GB zawierający dane połączeń klientów.
  2. Atak hakerski: Haker, korzystając z adresu IP z Litwy, przeprowadził atak na stronę internetową hostowaną przez OTE, uzyskując dostęp do danych logowania administratora. Następnie wykorzystał te dane do uzyskania dostępu do systemu Big Data Cosmote, skąd pobrał dane.
  3. Zakres wycieku: Wyciek obejmował dane połączeń, takie jak numery telefonów, współrzędne stacji bazowych, identyfikatory urządzeń (IMEI, IMSI), czas trwania połączeń, wiek, płeć oraz średni przychód na użytkownika. Dane te dotyczyły milionów unikalnych klientów Cosmote oraz użytkowników innych operatorów, którzy kontaktowali się z klientami Cosmote.
  4. Skala naruszenia: ok. 10 milionów osób.
  5. Czas trwania: 6 lat.
  6. Reakcja firm: Cosmote i OTE zostały wezwane do złożenia wyjaśnień. Firmy przedstawiły swoje stanowiska i podjęły działania naprawcze, w tym poprawę zabezpieczeń.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie zabezpieczeń: Zaleca się regularne aktualizowanie i testowanie systemów zabezpieczeń, aby zapobiec podobnym incydentom w przyszłości.
  2. Szkolenia dla pracowników: Przeprowadzanie regularnych szkoleń dla pracowników z zakresu bezpieczeństwa danych i ochrony przed phishingiem oraz innymi formami ataków.
  3. Monitorowanie systemów: Wprowadzenie zaawansowanych systemów monitorowania, które będą w stanie szybko wykrywać i reagować na podejrzane aktywności.
  4. Przegląd polityk bezpieczeństwa: Regularne przeglądy i aktualizacje polityk bezpieczeństwa danych, aby były zgodne z najnowszymi standardami i regulacjami.

 

JAK UNIKNĄĆ ATAKU BRUTE FORCE?

  • Wprowadź politykę regularnej zmiany haseł dostępu.
  • Twórz skomplikowane i silne hasła dostępu.
  • Przechowuj hasła w menadżerze haseł.
  • Stosuj wieloskładnikowe uwierzytelnianie.
  • Twórz nowe i unikalne loginy.
  • Korzystaj z narzędzi szyfrujących i twórz silne klucze dostępu.
  • Ogranicz możliwość nieskończonych prób logowania.
  • Blokuj użytkowników lub konta, które przekroczą określoną przez administratora liczbę nieudanych prób logowania.
  • Kontroluj logi serwera w celu określenia aktywności pochodzącej spoza środowiska, w którym pracujesz.
  • Ogranicz możliwość dostępu do poszczególnych systemów dla określonych grup użytkowników.
  • Korzystaj ze wsparcia zewnętrznych aplikacji, np. narzędzia do ochrony przed malware, program antywirusowy, program do wykonywania kopii zapasowych.
  • Korzystaj ze wsparcia operatora zabezpieczeń witryn internetowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO