Rzetelna analiza ryzyka i procedury kontrolne ustrzegłyby przed incydentem. Kara dla GOPS

Do tymczasowej utraty danych w Gminnym Ośrodku Pomocy Społecznej mogłoby nie dojść, gdyby analiza ryzyka dla danych osób fizycznych była zrobiona poprawnie.

Gminny Ośrodek Pomocy Społecznej w Aleksandrowie został zaatakowany w 2022 r. przez hackerów. W efekcie stracił dostęp do danych osobowych 1500 swoich klientów, a były to bardzo szczegółowe informacje o nich. Zarówno Wójt Aleksandrowa, jak i GOPS zgłosili incydent do Prezesa UODO. Wymagają tego przepisy, ale w tej sprawie administrator został upomniany za opóźnienie w zgłoszeniu. Nie wykonał tego obowiązku w pełni prawidłowo.

Prezes UODO sprawdził, dlaczego doszło do incydentu. Postępowanie pozwoliło ustalić, że obie instytucje nie miały wystarczających zabezpieczeń dla danych – tak technicznych, jak i organizacyjnych. Aby uświadomić wagę naruszenia i ryzyko, jakie ono stwarza, Prezes UODO nałożył na GOPS karę 5 tys. zł, a na Wójta – karę 10 tys. zł.

Problem polegał na tym, że choć GOPS (administrator danych) i Wójt (organ/podmiot przetwarzający dane na w imieniu administratora) przeanalizowali ryzyko dla danych osób fizycznych, to zrobili to w sposób niewystarczający. Choć byli świadomi – i umieścili to w analizie ryzyka – że atak ransomware jest możliwy, to zbagatelizowali to ryzyko. Nie stosowali wystarczających zabezpieczających środków technicznych. Do tego wykorzystywali na serwerze system operacyjny, który stracił wsparcie producenta dwa lata przed incydentem. Zabezpieczeniem przed atakiem ransomware miało być tworzenie kopii zapasowej. Tyle że robiona ona była na dysku sieciowym, więc w wyniku ataku też została zaszyfrowana. W efekcie utracone dane trzeba było odtwarzać przy pomocy podmiotu zewnętrznego.

Przy tym GOPS, który był administratorem tych danych, nie sprawdzał regularnie, czy Wójt przetwarza je w sposób bezpieczny – kontrola w tym zakresie pozwoliłaby tymczasem wykryć te problemy.

DKN.5131.30.2022