Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Robili migrację do nowego systemu, a dane przenosili na pendrive. Ale ktoś zapomniał usunąć danych z tego (nieszyfrowanego) nośnika, a nośnik zgubił…
…ktoś odnalazł pendrive, spojrzał na jego zawartość i mamy z tego duży incydent RODO. Jak informuje UODO:
„w sumie na nośniku można było znaleźć między innymi takie dane jak: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numery dowodów osobistych, numery telefonu, dane o urlopach, zwolnieniach lekarskich, dane dotyczące ukończonych szkół, historia zatrudnienia, imiona i nazwiska dzieci oraz ich daty urodzenia”
I dalej: „Pendrive zawierał dane około tysiąca byłych i obecnych pracowników i współpracowników MOSiR oraz dane 549 pracowników, emerytów oraz byłych pracowników, zleceniobiorców oraz uczestników prac interwencyjnych MOPS” [sprawa dotyczy Kutna].
UODO nałożył kary w wysokości 15kpln / 20kpln na dwie ww. instytucje miejskie. Co ciekawe, sprawa została zgłoszona w 2021 roku, a teraz UODO publikuje szczegóły.
Na koniec garść rekomendacji:
- Jeśli przenosisz dane na pendrive – używaj go w wersji zaszyfrowanej (w prosty sposób możesz zaszyfrować pendrive wykorzystując windowsowy Bitlocker – po prostu po włożeniu pendrive do portu wyświetli się monit z informacją aby podać hasło deszyfrujące pendrive)
- Alternatywnie możesz użyć szyfrowanych archiwów (np. 7zip)
- Pamiętaj o odpowiednio silnym haśle do zabezpieczenia pendrivea
- Jeśli przeniosłeś wrażliwe dane na nieszyfrowanym pendrive – usuń je trwale. Wystarczy pełne formatowanie pendrive (uwaga – nie używaj domyślnej opcji szybkiego formatu, która nie usuwa danych). Paranoicy mogą skorzystać ze specjalizowanego oprogramowania usuwającego trwale dane, np. z darmowego: Eraser
Potrzebujesz szkolenia o bezpieczeństwie dla wszystkich pracowników? Pisz do nas na sekurak@sekurak.pl lub zobacz szczegóły tutaj.
~ms
Czyli zgubione dane na ulicy kosztują zaledwie 20 k . Niesamowite w jakim kraju żyjemy
Leżenie kawałka elektroniki na ulicy nic nie kosztuje, bo UODO nie zajmuje się kwestiami zaśmiecania dróg publicznych. Podobnie jak w podobnych sprawach, kary są za zignorowanie obowiązków nałożonych przez GDPR.
W przypadku każdego z administratorów było to jednorazowe niedopilnowanie podwykonawcy, a w przypadku podwykonawcy niedopilnowanie pracownika. Pracownika, który olał wewnętrzne procedury pracodawcy.
Co stało się z pracownikiem nie wiemy, bo to już nie rola UODO, ale obstawiam wylądowanie na bruku. Chyba że „firma wujka” albo jednoosobówka, ale wtedy kara nałożona przez UODO jest zabójczo wysoka.
Firma, która nie dopilnowała pracownika, dostała bowiem 25 tys. zł kary. Obejmuje to tak niedopilnowanie pracownika, jak i dopuszczenie jedynie „usuwania danych” zamiast szyfrowania pendraków. Niemniej pendrak w tym przypadku w ogóle nie powinien był być użyty zgodnie z procedurami firmy.
Obydwaj administratorzy danych dostali po 15 tys. i 20 tys. zł kary. Głównie za niedopilnowanie podwykonawcy.
Łącznie 60 tys. zł za zdarzenie z rozmytą odpowiedzialnością, gdzie każdy z ukaranych jedynie stworzył sytuację umożliwiającą zajście zdarzenia, a nie świadomie lub celowo do niego doprowadził. Mało? Spółka wprowadziła korektę procedur jeszcze przed nałożeniem kary, więc została odstraszona od podobnych praktyk w przyszłości samą jej wizją. Wątpię też, by MOPS nie zareagował na taką dziurę w części budżetu niezwiązaną z wypłatą świadczeń.
… ale oczywiście lepiej zmanipulować przekaz i przedstawić sytuację w krzywym zwierciadle, prawda?
A co z tego mają ludzie których dane były na nośniku? I najważniejsze.. czego uczy ta kara? Żeby nic nie zgłaszać do UODO…bo można kasę stracić. A spamerzy i telemarketerzy dalej spamują i wciskają niechciane promocje i jakoś kary ich omijają.. łatwiej kopnąć kogoś kto i tak już leży.
Nie, te dane nie kosztują tyle. Taka jest grzywna nałożona na instytucje.
Na czarnym rynku te dane są warte wielokrotnie wiecej
No właśnie ta kwota też mnie poraziła. To jest śmieszna kara i w dodatku na instytucje. A człowiek odpowiedzialny za to poniósł jakąś karę w ogóle?
To powinno być 20k od sztuki, kara powinna iść w setki tysięcy złotych, a i milion nie byłoby za dużo. To jest tak śmieszna kara, że nic nikogo nie nauczy.
Takie 20k PLN powinno być zadośćuczynieniem dla każdej osoby, której problem dotyczy. Tj. taki USB Stick zawiera niezabezpieczone wrażliwe dane 100 osób? No to firma w ramach kary wypłaca 2000000 PLN, czyli po 20000 PLN dla każdego poszkodowanego. Firmy i pracownicy szybko nauczyły by się zabezpieczać tego typu rzeczy… A tak? Gdzie te śmieszne pieniądze trafią? I co poszkodowani z tego mają? No właśnie…
Raczej szybko by się nauczyły jak rejestrować działalność w rajach typu Cypr, Malta czy jeszcze dalej poza EU gdzie debile od kontroli i karania mogą ich cmoknąć. Do tego sprzedaż jak Google Polska całego zysku i optymalizacja podatkowa (tylko biedni płacą podatki) a jak taki polski PUODO dopadnie (kara jest % od obrotu) to upadłóść bez płacenia czegokolwiek (przecież ta firma ma tylko długi i niech sobie ściągną z niej co chcą) i kolejna spółka które pompuje wszytko poza taki chory system prawny. Wiecie że VAT w Polsce to najwyższy VAT na świecie?
To nie kraj, to tektura
Wania jedz na wschód tam masz porządnie kraje.
No plus parę płatnych szkoleń w zaprzyjaźnionej firmie ;-)
W dobie prostych, szybkich i bezpiecznych zdalnych migracji, albo dostępnych, tanich i bezpiecznych urządzeń (np. wynajętych z AWS), albo po prostu możliwości szyfrowania danych na pendrive, ktoś zdecydował się na taką chorą akcję. Zastanawia mnie też, kto powierzył zadanie migracji bardzo wrażliwych danych komuś bez doświadczenia, nieprzeszkolonego nawet w podstawowym zakresie z bezpieczeństwa kluczowych kwestii! Potraktujmy to jako przykład działań w IT, jako branży nieprzeszkolonych członków networkingu ( a niestety polski rynek IT idzie w tym kierunku).
Klasyk, migracja jest takim momentem gdy dane są szczególnie narażone. Tu akurat pendrive, ale często spotykam też „tymczasowe” wgranie danych na jakiś mało zabezpieczony udział i potem zapomnienie o nich. Dobrze zrobić migrację na nowe systemy nie jest tak prosto jak czasem ludziom się wydaje i trzeba zarezerwować na to więcej czasu niż opowiadają producenci nowych systemów ;)
Powiem Wam tak Panie i Panowie, ten kto jest bez winy, niech pierwszy rzuci kamieniem. Jestem przekonany, że każda i każdy z Was tutaj ma na koncie jakiś odpał, ale zorientował się na czas i zareagował, bądź nie eskalowało to tak bardzo. Wszyscy jesteście takimi profesjonalistami. Nie ma ludzi nieomylnych. Nawet najwięksi specjaliści popełniają błędy. I nie, nie jestem związany z tymi ludźmi opisanymi w artykule. Jestem po prostu człowiekiem i ściągam was na ziemię do rzeczywistości. Rzeczywistość jest inna niż wszystko to co się dzieje w waszym idealnym świecie. Każdy może popełnić błąd, tylko wypada się od nich ubezpieczyć. To tyle w temacie, kropka.
GPG. Trzy litery a tyle zmieniają.
O matko! W firmie za DARMO zaszyfrujemy BitLockerem z kluczem odzyskiwania, więc prywatnie też można sobie zaszyfrować. Służbowo mam wiele zaszyfrowanych pendrive’ów i nie przejmuję się tym, co przenoszę pomiędzy stanowiskami. Po prostu mam odruch bezwarunkowy: gdy wpisuję służbowe hasło, a następnie odchodzę od stanowiska komputerowego, uruchamiam ponownie komputer. Ta czynność powoduje wylogowanie z „o mój borze! zapomniałem wyciągnąć z kompa pendrive” z odblokowanego pendrive’a :)