Kiedy należy sprawdzać luki w systemach?

Brak odpowiednio szybkich procedur sprawdzania systemów sprawił, że ID Finance Poland nie było w stanie wykryć zagrożenia w czasie, który pozwoliłby mu na prawidłową reakcję. W wyniku tej sytuacji spółka utraciła dane, przez co naraziła się na karę. UODO za utratę poufnych danych obciążyło ID Finance Poland zawrotną kwotą 1 miliona złotych.

ID Finance Poland otrzymała wspomnianą karę za bagatelizowanie doniesień o lukach systemowych zabezpieczeń i, w rezultacie, za usunięcie poufnych danych klientów. Kiedy spółka otrzymała doniesienia mające mówić o zbyt łatwym dostępie do danych, nie wzięła ich odpowiednio poważnie. Nie minęło wiele dni od zgłoszenia luki, a osoba z zewnątrz włamała się na serwer i ukradła dane, po czym zażądała w zamian za nie pieniędzy. To był moment, w którym spółka zajęła się problemem, niestety było już za późno.

Zresetowane zabezpieczenia

Podczas dociekania właściwej kolejności wydarzeń, UODO potwierdziło, że zostały zresetowane ustawienia zabezpieczeń, a ponieważ nikt ich nie sprawdził, dostęp do poufnych danych otrzymały osoby nieuprawnione. Stało się tak przy resetowaniu serwerów hostingowych. Po restarcie Administrator otrzymał informację o wycieku danych i ich nieprawidłowym zabezpieczeniu, jednakże nic z tym nie zrobił. Mało profesjonalne podejście Administratora sprawiło, że problem faktycznie zaistniał, a można go było uniknąć. Rozmowy prowadzone między informatykami zgłaszającymi problem a Administratorem nie pozostawiają wątpliwości co do zbyt lekkomyślnego podejścia strony informowanej.

Wszystko mogłoby się potoczyć zgoła inaczej, jeśli tylko osoba poinformowana o problemie od razu zaczęła to sprawdzać i naprawiać. Administrator jest osobą odpowiedzialną za naruszenie bezpieczeństwa nawet w sytuacji, z którą miał niewiele wspólnego. Wystarczy tak jak w opisywanej sytuacji, zbyt lekkomyślnie zareagować, aby zostać obciążonym zasadną karą. Po takim zgłoszeniu reakcja powinna wystąpić natychmiast, nawet mimo wątpliwości co do prawdziwości danych. Uruchomienie procedury sprawdzania systemów powinno mieć miejsce.

Brak odpowiednich procedur

Działanie UODO, czyli audyt ochrony danych osobowych wykazał, że spółka nie miała odpowiednich procedur sprawdzania i uszczelniania systemów oraz nie zareagowała odpowiednio szybko. Działając tak nieodpowiedzialnie i opieszale, spółka przyczyniła się do ujawnienia haseł i loginów wielu klientów, co naruszyło ich prywatność, a co za tym idzie i RODO. Hasła, które mógł wziąć sobie właściwie każdy, umożliwią złodziejom logowanie się do wielu kont klientów spółki. Nałożona na spółkę kara miała na celu przeciwdziałać podobnym sytuacjom w przyszłości. Jeśli więc jest sytuacja, w której Administrator otrzymuje informację o luce bądź lukach w systemie zabezpieczeń, powinien on niezwłocznie uruchomić procedurę sprawdzania systemów, aby sprawdzić, czy informacja jest prawdziwa. Brak działania lub postępowanie opieszałe zupełnie mija się z celem.

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres email.
You need to agree with the terms to proceed

Menu