Według UODO, Virgin Mobile Polska nie przeprowadzała regularnych testów, które powinny zapewniać bezpieczeństwo przetwarzania informacji, co poskutkowało naruszeniem poufności określonym w RODO.

Kontrola Urzędu nastąpiła w momencie naruszenia bezpieczeństwa, przy której udało się uzyskać dostęp do danych klientów zamieszczonych w jednej z baz firmy. Według administratora wszystko było testowane i monitorowane pod względem bezpieczeństwa, jednak UODO uznało, iż działania te nie były prowadzone w sposób regularny czy też kompleksowy.

UODO biorąc pod uwagę poważny charakter i długotrwały stan zdarzenia zdecydowało nałożyć się karę pieniężną mimo dobrej współpracy z administratorem oraz szybkiego usunięcia tegoż naruszenia, ma to na celu sprawić, iż spółka w przyszłości nie dopuści do podobnych zaniechań.

źródło: beinsured.pl

W firmie ID Finance Poland sp. z o.o. stwierdzono niezdolność do szybkiego wykrycia zagrożenia i jego usunięcia, co spowodowało utratę danych i naruszenie zasady poufności. Nałożona została kara w wysokości ponad 1 mln zł.

Spółka nie zareagowała na sygnał o dostępnych danych jej klientów na jednym z serwerów. W wyniku tego dane zostały skopiowane i usunięte z serwera, a za ich zwrot domagano się okupu. Wina spółki polegała na braku szybkiej reakcji na powstałe zagrożenie utraty danych. Jak wyjaśnia UODO nakładając karę, wzięto pod uwagę skalę naruszenia i zakres wykradzionych danych. Skradzione zostały też niezaszyfrowane hasła. W związku z czym istnieje możliwość posłużenia się nimi do zalogowania się na kontach tych klientów w innych serwisach, jeżeli posługiwali się tym samym loginem i hasłem. Przy wymierzaniu wysokości kary organ wziął też pod uwagę zwłokę administratora w podjęciu działań zapobiegawczych.

źródło: beinsured.pl

Tydzień temu na stronie Urzędu pojawiła się informacja o masowej awarii technicznej. Jednak kilka dni później okazało się, że owa awaria jest tak naprawdę atakiem hakerskim. Cyberprzestępcy dostali się do sieci, z której korzystają wszystkie jednostki organizacyjne podlegające do Urzędu Gminy Kościerzyna, i zaszyfrowali wszystkie dane.

Teoretycznie urzędnicy mogliby odzyskać utracone dane z kopii zapasowej. Jednak serwer z backupami podłączony był do tej samej sieci i również został zaszyfrowany. O incydencie poinformowano CERT oraz ABW. Przestępcy żądają okupu w kryptowalucie, ale Wójt Gminy Kościerzyna na szczęście nie zamierza go płacić. Cyberatak odbił się niestety na mieszkańcach, których sprawy są załatwiane dłużej niż zwykle.

Cyberatak na Urząd Gminy Kościerzyna powinien być przestrogą dla pozostałych urzędów, które niestety coraz częściej są ofiarami ataków. Sieci i komputery we wszelkiej maści urzędach często bywają chronione słabiej niż infrastruktury firm.

Nie wiadomo w jaki sposób hakerzy dostali się do sieci Urzędu. Mogli oni zarówno wykorzystać dziurę w jednym z serwerów dostępnych z zewnątrz, jak i wysłać do urzędników maile z linkiem do zainfekowanej strony. W drugim przypadku pomóc mogłyby szkolenie ze świadomości o zagrożeniach przeprowadzone dla wszystkich pracowników urzędu. Jednak po części można się przed nimi chronić odpowiednim filtrowaniem służbowej poczty. Niestety w dobie powszechnych ataków ransomware w pewnym stopniu zawiedli również administratorzy, którzy nie odizolowali serwerów z kopiami zapasowymi od reszty sieci. Przy czym tutaj przyczyną błędu mógł być również aspekt ekonomiczny. Niestety pełna redundancja i porządna izolacja archiwizowanych danych wymaga większych nakładów finansowych niż zwykły serwer backupowy podpięty do sieci.

źródło: speedtest.pl