Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/42

Kraj:

Włochy

Data wydania decyzji:

04.07.2024 r.

Podmiot kontrolowany:

Postel S.p.A

Wysokość kary (EUR):

900.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 25, art. 32, art. 33 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie danych osobowych w Postel S.p.A. było wynikiem ataku ransomware przeprowadzonego przez cybergang Medusa. Atakujący wykorzystali dwie znane luki w zabezpieczeniach platformy Microsoft Exchange (CVE-2022-41040 i CVE-2022-41082), które umożliwiły im uzyskanie uprawnień administratora i przejęcie kontroli nad systemami firmy.

 

Opis wydarzeń

  1. Atak i jego skutki:
    • Atak miał miejsce w sierpniu 2023 roku i spowodował blokadę niektórych serwerów oraz stacji roboczych.
    • Doszło do eksfiltracji i publikacji w dark webie plików zawierających dane osobowe pracowników, ich rodzin, członków zarządu, kandydatów do pracy oraz przedstawicieli firm współpracujących z Postel S.p.A.
    • W wyniku ataku doszło do wycieku 25 000 osób.
    • W wyniku ataku utracono dostępność niektórych danych.
  2. Reakcja firmy:
    • Postel S.p.A. zgłosiła naruszenie do włoskiego organu nadzorczego (Garante) 17 sierpnia 2023 roku, a następnie kilkakrotnie uzupełniała zgłoszenie do 4 października 2023 roku.
    • Firma podjęła działania naprawcze, w tym procedury odzyskiwania danych i informowanie klientów oraz osób, których dane zostały naruszone.
  3. Działania kontrolne:
    • Garante przeprowadził dochodzenie, które wykazało, że zgłoszenie naruszenia było niekompletne i że firma nie wdrożyła odpowiednich środków bezpieczeństwa, mimo wcześniejszych ostrzeżeń i zaleceń dotyczących luk w zabezpieczeniach.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Weryfikacja i naprawa luk w zabezpieczeniach: Zaleca się przeprowadzanie weryfikacji systemów pod kątem istniejących luk oraz ich szybkie usuwanie.
  2. Formalizacja procedur zarządzania lukami: Zaleca się opracowanie formalnej procedury zarządzania lukami, która obejmuje planowanie kontroli wszystkich zasobów IT w celu wykrycia potencjalnych luk oraz określenie procedur ich naprawy i łagodzenia skutków.
  3. Monitorowanie i raportowanie: Wskazane jest określanie wartości średniego czasu wykrywania luk (MTTD) oraz średniego czasu reakcji (MTTR) dla różnych zasobów IT, aby zapewnić odpowiedni poziom ochrony danych osobowych.
  4. Wdrożenie planu poprawy cyberbezpieczeństwa: Zalecane jest wdrożenie planu poprawy cyberbezpieczeństwa, który obejmuje przegląd i ulepszenie procesu zarządzania krytycznymi alertami bezpieczeństwa.
  5. Szkolenia i symulacje: Zaleca się przeprowadzanie regularnych szkoleń i symulacji dotyczących zarządzania naruszeniami danych, aby zwiększyć świadomość pracowników i poprawić zdolność reagowania na podobne incydenty w przyszłości.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO