Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Kara od UODO dla gminy Dobrzyniewo Duże. Były procedurki, ale nie było ich wdrożenia w rzeczywistości ;-)

16 listopada 2022, 12:36 | W biegu | komentarze 4
Tagi:

Co się wydarzyło?

Naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu.

Jak można się spodziewać komputer nie miał wdrożonego szyfrowania dysku (FDE), a wtedy nawet i bardzo złożone hasło do Windowsa nie pomoże – będzie można w prosty sposób wykraść dane z komputera. I rzeczywiście – w dość obfitym komentarzu od UODO czytamy:

Co należy podkreślić, administrator opracował odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych oraz przeprowadził analizę ryzyka, w której odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych.

Administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację. Ryzyko to ocenił jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia. Wśród wymienionych zabezpieczeń mających obniżyć poziom ryzyka wskazano m.in. na szyfrowanie.

Jednak jak wykazało postępowanie skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła, a przyjęte w procedurach zabezpieczenia nie zostały zastosowane, przynajmniej na tym komputerze

TLDR z pewnym przymrużeniem oka – kupiliśmy gotowe procedury pod UODO. Ale jak tam rzeczywiste bezpieczeństwo techniczne? Oj tam, oj tam… ;-)

No właśnie, osoby zainteresowane stronami technicznymi RODO, zapraszamy na nasze szkolenie: RODO okiem hackera, praktyczne szkolenie z ochrony danych osobowych (nie zabraknie pokazów na żywo, przykładów wycieków czy innych ciekawych naruszeń RODO).

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Szymon

    Jak ustalono że komputer nie miał zabezpieczeń?

    Odpowiedz
    • Michał

      Może po prostu nie mieli kodu awaryjnego do odblokowania dysku w innym komputerze/w razie zapomnienia kodu pin, jeżeli był wymagany do odszyfrowania dysku przy uruchomieniu komputera.

      Odpowiedz
    • as

      najprościej – podłączyć dysk skradzionego laptopa do innego komputera. jeśli ma szyfrowanie niskopoziomowe to zobaczysz dysk raw lub jedynie partycję rozruchowa.
      w przeciwnym wypadku masz dostęp do wszystkiego.

      Odpowiedz
  2. hasmani

    8000 zł karty, to pewnie jak miesięczna pensja dla wójta tej gminy.

    Odpowiedz

Odpowiedz