Technologia

Już ponad 2 mln euro kosztowały polskie organizacje błędy w ochronie danych osobowych

3 min.
Już ponad 2 mln euro kosztowały polskie organizacje błędy w ochronie danych osobowych
  •  Suma kar nałożonych przez UODO z tytułu RODO przekroczyła już równowartość 2 mln euro. Najwyższa do tej pory kara to ponad 600 tys., a średnia to 79 tys. euro.
  • W 35% przypadków przyczyną były nieodpowiednie zabezpieczenia, powodujące lub mogące spowodować wyciek, a w przypadku kolejnych 8% niepoinformowanie UODO o zdarzeniu.
  • Do wycieku może dojść nie tylko w wyniku ataku, ale i przypadkowo, np. w trakcie serwisowania systemu. Dlatego zabezpieczenia trzeba regularnie testować.

RODO radykalnie zmieniło podejście do ochrony danych osobowych. Jesteśmy bardziej świadomi swoich praw i nie wahamy się ich bronić. Wystarczy spojrzeć na liczbę skarg zgłoszonych do Urzędu Ochrony Danych Osobowych (UODO) od wejścia w życie unijnego rozporządzenia (ponad 20 tys. od maja 2018 r. do końca 2020 r. ). Tylko w roku, kiedy zaczęło obowiązywać RODO, liczba zgłaszanych skarg wzrosła czterokrotnie! I wysoka liczba zgłaszanych nieprawidłowości nadal jest duża – w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie. W zeszłym zapewne było podobnie. 

– Wraz ze ściślejszą kontrolą pojawiły się też i kary, których łączna wartość przekroczyła już 2 mln euro. 35% z nich nałożono za brak odpowiedniego zabezpieczenia danych, czego skutkiem w większości przypadków był wyciek. Tak było w przypadku najwyższej do tej pory kary w wysokości ponad 600 tys. euro, nałożonej w związku z atakiem hakerskim na sklep internetowy. Warto jednak pamiętać, że kradzież rekordów z serwerów firmy to tylko jeden typ ataku mającego na celu pozyskanie danych osobowych. Czasem możemy też sami niechcący upublicznić dane w wyniku błędu, np. w trakcie aktualizacji oprogramowania. Dlatego bazy danych trzeba szczególnie chronić, zawsze szyfrować, a najlepiej przetwarzać je w odrębnych systemach – radzi Patrycja Tatara, ekspert ds. cyberbezpieczeństwa w Sprint S.A.

Jak może dojść do wycieku?

Większości z nas naruszenie danych osobowych kojarzy się dziś z atakiem hakerskim, wdarciem się do firmowych serwerów i baz danych. Jednak nadal dochodzi też do „fizycznych” zdarzeń, jak kradzież komputera z danymi (z tym musiała zmierzyć się jedna z polskich uczelni) czy zgubienie przenośnej pamięci USB (zdarzyło się to pracownikowi jednego z sądów okręgowych). Skupmy się jednak na sytuacjach „cyfrowych”. 

Oto 3 typy zdarzeń, na które firmy powinny zwracać szczególną uwagę:

Przypadkowe upublicznienie danych

Wbrew pozorom do tego typu sytuacji, spotykających się z reakcją UODO, dochodzi całkiem często. I nie mówimy tu o świadomym zamieszczeniu informacji na stronie, jak to uczyniło jedno polskie stowarzyszenie sportowe. Chodzi o zdarzenia nieumyślne. Powołując się znów na rodzimy przykład – w trakcie restartu serwerów jednej firmy wystąpił błąd, przez który publiczne stały się dane ich klientów, ponad 140 tys. osób. Niestety zostało to wychwycone przez przestępców, którzy skopiowali dane i usunęli je z firmowej bazy. Potem wystąpili o okup. Kara od UODO przekroczyła równowartość 200 tys. euro.

Atak na stronę www, aplikacje webowe

Choć do tego w Polsce jeszcze nie doszło, to biorąc pod uwagę dynamicznie rosnącą częstotliwość ataków hakerskich, nie jest to wykluczone. Przyjrzyjmy się zatem przykładom zagranicznym. Jednym z nich jest sprawa linii lotniczych British Airways. Ruch z ich oficjalnego serwisu był przekierowywany na fałszywą stronę, która zbierała dane osobowe. Liczba poszkodowanych – pół miliona. Kara – 20 mln euro. Z kolei brytyjski Ticketmaster korzystał z „dziurawego” chatbota, co umożliwiało dostęp do danych finansowych klientów. Na szczęście nie doszło do wycieku, ale kara i tak przekroczyła 1 mln euro.

„Klasyczny” wyciek w wyniku ataku na bazy danych

Na koniec, nie możemy zapominać też o bezpośrednich atakach na firmowe serwery i bazy danych. UODO podchodzi do nich wyjątkowo surowo. Zwłaszcza, jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem. Tak stało się właśnie w przypadku najwyższej polskie kary (644 780 euro) – przedsiębiorca początkowo zaprzeczał, że do wycieku doszło i nie poinformował potencjalnych poszkodowanych. 

– Obecnie podstawowym pytaniem jest nie „czy mnie zaatakują?”, a „kiedy?”. Dlatego bezpieczeństwo systemów IT i gromadzonych w nich danych osobowych powinno być oczkiem w głowie każdego przedsiębiorcy. Sam zakup odpowiednich rozwiązań z zakresu cyberbezpieczeństwa i wdrożenie rygorystycznych procedur to jednak tylko połowa sukcesu. Ich sprawność i skuteczność należy regularnie testować, przeprowadzając symulowane ataki, koniecznie z wykorzystaniem socjotechniki, weryfikując luki, a także sprawdzając reakcje pracowników na skuteczny atak. Co więcej, każdy audyt bezpieczeństwa, trzeba „podwójnie sprawdzić”, czyli upewnić się, że wszystkie wynikające z niego zalecenia zostały wprowadzone w życie – dodaje Patrycja Tatara ze Sprint S.A.

Sprint S.A.

Podziel się:
atak cyberprzestępca Hakerzy Patrycja Tatara Sprint wirus
Podobne artykuły
Hakerzy na cel biorą nawet małe firmy Hakerzy na cel biorą nawet małe firmy Technologia
Wybrano wykonawcę zabezpieczenia granicy państwowej z Białorusią na rzekach Świsłocz i Istoczanka Wybrano wykonawcę zabezpieczenia granicy państwowej z Białorusią na rzekach Świsłocz i Istoczanka Wiadomości
Hakerzy atakują coraz szybciej i skutecznie zacierają za sobą ślady Hakerzy atakują coraz szybciej i skutecznie zacierają za sobą ślady Raporty
Jak firmy mogą się zabezpieczyć się przed atakami ransomware? Jak firmy mogą się zabezpieczyć się przed atakami ransomware? Technologia