Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/9

Kraj:

Grecja

Data wydania decyzji:

27.01.2022 r.

Podmiot kontrolowany:

OTE Group

Wysokość kary (EUR):

3.250.000

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie danych osobowych w firmie Cosmote Mobile Telecommunications S.A. miało miejsce z powodu ataku hakerskiego, który wykorzystał luki w zabezpieczeniach systemów teleinformatycznych. Haker uzyskał dostęp do danych poprzez wykorzystanie skradzionych danych logowania z wcześniejszego wycieku na platformie LinkedIn.

 

Opis wydarzeń

  1. Wykrycie naruszenia: W 2020 roku administratorzy systemów Cosmote zauważyli, że serwer przekroczył limit pojemności dysku. Po dalszym dochodzeniu odkryto, że na serwerze znajdował się plik o wielkości 30 GB zawierający dane połączeń abonentów.
  2. Atak hakerski: Haker, korzystając z danych logowania jednego z administratorów OTE, uzyskał dostęp do systemu Big Data Cosmote i pobrał plik zawierający dane połączeń.
  3. Zakres danych: Wykradzione dane obejmowały numery telefonów, współrzędne stacji bazowych, identyfikatory urządzeń (IMEI, IMSI), czas trwania połączeń, wiek, płeć, program taryfowy oraz średni przychód na użytkownika.
  4. Reakcja firm: Cosmote i OTE podjęły działania naprawcze, w tym poprawę konfiguracji zabezpieczeń i informowanie abonentów o naruszeniu.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie zabezpieczeń: Zaleca się regularne aktualizowanie i testowanie systemów zabezpieczeń, aby zapobiec podobnym incydentom w przyszłości.
  2. Szkolenia dla pracowników: Przeprowadzanie regularnych szkoleń z zakresu bezpieczeństwa danych dla pracowników, aby zwiększyć ich świadomość i umiejętności w zakresie ochrony danych.
  3. Monitorowanie systemów: Wprowadzenie zaawansowanych systemów monitorowania i wykrywania anomalii, które pozwolą na szybkie reagowanie na potencjalne zagrożenia.
  4. Polityka zarządzania hasłami: Wdrożenie silnych polityk zarządzania hasłami, w tym regularne zmiany haseł i stosowanie uwierzytelniania wieloskładnikowego.
  5. Audyt i zgodność: Regularne przeprowadzanie audytów zgodności z przepisami o ochronie danych osobowych oraz aktualizacja procedur zgodnie z najnowszymi wytycznymi i regulacjami.

 

JAK UNIKNĄĆ ATAKU BRUTE FORCE?

  • Wprowadź politykę regularnej zmiany haseł dostępu.
  • Twórz skomplikowane i silne hasła dostępu.
  • Przechowuj hasła w menadżerze haseł.
  • Stosuj wieloskładnikowe uwierzytelnianie.
  • Twórz nowe i unikalne loginy.
  • Korzystaj z narzędzi szyfrujących i twórz silne klucze dostępu.
  • Ogranicz możliwość nieskończonych prób logowania.
  • Blokuj użytkowników lub konta, które przekroczą określoną przez administratora liczbę nieudanych prób logowania.
  • Kontroluj logi serwera w celu określenia aktywności pochodzącej spoza środowiska, w którym pracujesz.
  • Ogranicz możliwość dostępu do poszczególnych systemów dla określonych grup użytkowników.
  • Korzystaj ze wsparcia zewnętrznych aplikacji, np. narzędzia do ochrony przed malware, program antywirusowy, program do wykonywania kopii zapasowych.
  • Korzystaj ze wsparcia operatora zabezpieczeń witryn internetowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO