Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kara od UODO dla gminy Dobrzyniewo Duże. Były procedurki, ale nie było ich wdrożenia w rzeczywistości ;-)
Naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu.
Jak można się spodziewać komputer nie miał wdrożonego szyfrowania dysku (FDE), a wtedy nawet i bardzo złożone hasło do Windowsa nie pomoże – będzie można w prosty sposób wykraść dane z komputera. I rzeczywiście – w dość obfitym komentarzu od UODO czytamy:
Co należy podkreślić, administrator opracował odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych oraz przeprowadził analizę ryzyka, w której odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych.
Administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację. Ryzyko to ocenił jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia. Wśród wymienionych zabezpieczeń mających obniżyć poziom ryzyka wskazano m.in. na szyfrowanie.
Jednak jak wykazało postępowanie skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła, a przyjęte w procedurach zabezpieczenia nie zostały zastosowane, przynajmniej na tym komputerze
TLDR z pewnym przymrużeniem oka – kupiliśmy gotowe procedury pod UODO. Ale jak tam rzeczywiste bezpieczeństwo techniczne? Oj tam, oj tam… ;-)
No właśnie, osoby zainteresowane stronami technicznymi RODO, zapraszamy na nasze szkolenie: RODO okiem hackera, praktyczne szkolenie z ochrony danych osobowych (nie zabraknie pokazów na żywo, przykładów wycieków czy innych ciekawych naruszeń RODO).
~ms
Jak ustalono że komputer nie miał zabezpieczeń?
Może po prostu nie mieli kodu awaryjnego do odblokowania dysku w innym komputerze/w razie zapomnienia kodu pin, jeżeli był wymagany do odszyfrowania dysku przy uruchomieniu komputera.
najprościej – podłączyć dysk skradzionego laptopa do innego komputera. jeśli ma szyfrowanie niskopoziomowe to zobaczysz dysk raw lub jedynie partycję rozruchowa.
w przeciwnym wypadku masz dostęp do wszystkiego.
8000 zł karty, to pewnie jak miesięczna pensja dla wójta tej gminy.