GOPS w Aleksandrowie został ukarany przez Prezesa UODO po ataku ransomware w 2022 roku, który doprowadził do czasowej utraty danych osobowych 1 500 osób. Za niedopełnienie obowiązku analizy ryzyka i brak odpowiednich zabezpieczeń infrastruktury nałożono na ośrodek karę 5 000 zł, a na Wójta – 10 000 zł managerplus.pl+2uodo.gov.pl+2uodo.gov.pl+2.

Co się wydarzyło?

W wyniku ataku szkodliwego systemu administracja straciła dostęp do szczegółowych danych osobowych klientów GOPS. Analiza ryzyka zidentyfikowała możliwość ataku ransomware, jednak nie wdrożono skutecznych środków ochronnych. Stosowany system operacyjny nie był wspierany od dwóch lat, co ułatwiło atak. Co gorsza, kopie zapasowe były przechowywane na tej samej zaszyfrowanej lokalizacji, co sprawiło, iż również one stały się bezużyteczne uodo.gov.pl+1managerplus.pl+1.

Gdzie zawiodła kontrola?

UODO wskazuje, iż administrator – GOPS – nie sprawdzał regularnie działań Wójta, który przetwarzał dane klientów. Brak takiego nadzoru i mechanizmów kontrolnych uniemożliwił wczesne wykrycie luk, które ostatecznie przyczyniły się do incydentu.

Kary i wnioski

• 5 000 zł – GOPS za niedopełnienie obowiązków technicznych i organizacyjnych;

• 10 000 zł – Wójt, jako podmiot przetwarzający, za opóźnione i niepełne zgłoszenie incydentu oraz brak zabezpieczeń uodo.gov.pl+1managerplus.pl+1.

najważniejsze wnioski

1. Analiza ryzyka musi być dokładna – samo wskazanie zagrożenia ransomware to za mało.

2. Techniczne zabezpieczenia są kluczowe – aktualizacje systemów, odpowiednia architektura kopii zapasowych, segmentacja środowisk.

3. Nadzór nad przetwarzaniem jest obowiązkiem administratora – to on musi kontrolować działania wykonawców.

4. Procedury zgłaszania naruszeń powinny startować bezzwłocznie i być kompletne – opóźnienia i braki pogarszają sytuację prawną.

Źródło: uodo.gov.pl