Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/14

Kraj:

Wielka Brytania

Data wydania decyzji:

26.03.2025 r.

Podmiot kontrolowany:

Advanced Computer Software Group Ltd

Wysokość kary (EUR):

3.500.000

Podstawa prawna naruszenia

Art. 32 ust. 1 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Bezpośrednią przyczyną naruszenia był brak wdrożenia adekwatnych środków bezpieczeństwa. Advanced Computer Software Group Ltd (ACSG) nie posiadał włączonego uwierzytelniania wieloskładnikowego (MFA) na kontach posiadających dostęp do systemów przetwarzających dane osobowe. Atakujący uzyskali dostęp do systemów za pośrednictwem konta klienta, które nie było objęte MFA. Dodatkowo stwierdzono braki w regularnym skanowaniu podatności, nieadekwatne zarządzanie poprawkami oraz niewdrożenie kontroli zarządzania podatnościami zgodnych ze standardami branżowymi.

 

Opis wydarzeń

  1. Początek naruszenia: W sierpniu 2022 roku doszło do ataku ransomware na systemy ACSG, dostawcy usług IT dla sektora zdrowia, w tym NHS. Hakerzy uzyskali dostęp do systemów poprzez konto klienta, które nie miało włączonego uwierzytelniania wieloskładnikowego (MFA). Po uzyskaniu dostępu cyberprzestępcy wyłączyli zabezpieczenia antywirusowe i zdobyli uprawnienia administratora domeny.
  2. Nieuprawniony dostęp do danych osobowych: W wyniku ataku wykradziono dane osobowe 79 404 osób, w tym dane szczególnej kategorii, a także informacje o sposobie wejścia do domów 890 osób objętych opieką domową.
  3. Zakres ujawnionych danych: W wyniku naruszenia doszło do ujawnienia danych takich jak: imiona, nazwiska, adresy e-mail, dane kontaktowe oraz niektóre dane finansowe.
  4. Skutki ataku: Incydent spowodował poważne zakłócenia w funkcjonowaniu kluczowych usług medycznych, m.in. NHS 111, pogotowia ratunkowego, wydawania recept awaryjnych oraz dostępu do dokumentacji pacjentów. W celu opanowania sytuacji konieczne było wyłączenie i odbudowa wielu systemów. Pełna rekonfiguracja zakończyła się dopiero w maju 2023 roku.
  5. Ujawnione nieprawidłowości: Kontrola wykazała, że ACSG nie wdrożyło odpowiednich środków technicznych i organizacyjnych, w tym kompleksowego MFA, regularnych skanów podatności, właściwego zarządzania poprawkami segmentacji systemów oraz monitorowania dostępu.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Uwierzytelnianie wieloskładnikowe: Wdrożenie pełnego uwierzytelniania wieloskładnikowego (MFA) na wszystkich kontach mających dostęp do systemów przetwarzających dane osobowe.
  2. Ograniczenie uprawnień: Stosowanie zasady minimalizacji uprawnień oraz segmentacji sieci w celu ograniczenia skutków ewentualnych naruszeń.
  3. Testowanie podatności: Rekomendowane regularne i kompleksowe skanowanie podatności systemów i aplikacji.
  4. Zarządzanie poprawkami: Zalecane jest wdrażanie aktualizacji bezpieczeństwa oraz dokumentowanie procesu łatania znanych luk.
  5. Monitorowanie prób dostępu: Remonedowane ciągłe monitorowanie systemów pod kątem nieautoryzowanych prób dostępu.
  6. Szkolenia: Zalecane jest regularne szkolenie pracowników w zakresie cyberbezpieczeństwa, ze szczególnym uwzględnieniem zagrożeń typu ransomware i zasad ochrony danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO