Urzęd Ochrony Danych Osobowych (UODO) ujawnili, że jedna z firm poniosła ogromne straty z powodu ataku hakerskiego, który doprowadził do wykradzenia poufnych informacji o klientach i pracownikach. W bazie danych znajdowały się istotne dane osobowe, takie jak numery PESEL, numery dowodów osobistych, dane rodziców, daty urodzenia, adresy zamieszkania, numery kont bankowych oraz adresy e-mail.

Problem zaczął się, gdy jeden z pracowników zlekceważył bezpieczeństwo, wyłączając program antywirusowy. To nieodpowiedzialne działanie umożliwiło hakerom przeprowadzenie ataku typu ransomware. Choć administrator systemu twierdzi, że incydent trwał krótko i firma zdołała odzyskać dostęp do danych, UODO uznało, że celem ataku był szantaż.

Pomimo że firma powiadomiła wszystkich dotkniętych klientów, UODO wskazał na poważne niedociągnięcia w sposobie, w jaki to zrobiono. Nie zareagowano także na uwagi zgłoszone przez PUODO, co tylko potwierdziło złe zarządzanie danymi.

Zgodnie z przepisami RODO, administrator danych musi przeprowadzić odpowiednią analizę ryzyka, czego firma nie zrobiła. Brak takich działań doprowadził do naruszenia zasad bezpieczeństwa i zwiększenia ryzyka związanego z przetwarzanymi danymi. UODO podkreślił, że kluczowym zabezpieczeniem przed tego typu atakami jest używanie aktualnego oprogramowania we wszystkich elementach infrastruktury informatycznej – coś, co firma zignorowała, choć zagrożenie było widoczne.

Kara nałożona na firmę wyniosła 350 tysięcy złotych, natomiast podmiot, który zajmował się przetwarzaniem danych, otrzymał karę w wysokości 9,8 tysiąca złotych. Prezes UODO zwrócił uwagę, że administrator nie tylko nie zabezpieczył danych, ale także zaniedbał obowiązek informowania swoich byłych i obecnych pracowników o naruszeniach ich danych osobowych. W przyszłości takie incydenty mogą prowadzić nie tylko do prestiżowych strat, ale również funduszy, które mogą zostać przeznaczone na zadośćuczynienie poszkodowanym, co stawia pod znakiem zapytania przyszłość wiele organizacji.