Gminny Ośrodek Pomocy Społecznej został zaatakowany w 2022 r. przez hackerów. W efekcie stracił dostęp do danych osobowych 1500 swoich klientów, a były to bardzo szczegółowe informacje o nich. Zarówno Wójt, jak i GOPS zgłosili incydent do Prezesa UODO. Wymagają tego przepisy, ale w tej sprawie administrator został upomniany za opóźnienie w zgłoszeniu. Nie wykonał tego obowiązku w pełni prawidłowo.
Prezes UODO sprawdził, dlaczego doszło do incydentu. Postępowanie pozwoliło ustalić, że obie instytucje nie miały wystarczających zabezpieczeń dla danych tak technicznych, jak i organizacyjnych. Aby uświadomić wagę naruszenia i ryzyko, jakie ono stwarza, Prezes UODO nałożył na GOPS karę 5 tys. zł, a na Wójta karę 10 tys. zł.
Chociaż GOPS (administrator danych) i Wójt (organ/podmiot przetwarzający dane na w imieniu administratora) przeanalizowali ryzyko dla danych osób fizycznych, to zrobili to w sposób niewystarczający. Choć byli świadomi i umieścili to w analizie ryzyka, że atak hakerski jest możliwy, to zbagatelizowali to ryzyko. Nie stosowali wystarczających zabezpieczających środków technicznych. Do tego wykorzystywali na serwerze system operacyjny, który stracił wsparcie producenta dwa lata przed incydentem. Zabezpieczeniem przed atakiem miało być tworzenie kopii zapasowej - tyle że robiona ona była na dysku sieciowym, więc w wyniku ataku też została zaszyfrowana. W efekcie utracone dane trzeba było odtwarzać przy pomocy podmiotu zewnętrznego.
Ponadto GOPS, który był administratorem tych danych, nie sprawdzał regularnie, czy Wójt przetwarza je w sposób bezpieczny kontrola w tym zakresie pozwoliłaby tymczasem wykryć te problemy.
Ośrodek pomocy społecznej, jako instytucja przetwarzająca wrażliwe dane osobowe, w tym dane o stanie zdrowia, sytuacji rodzinnej czy dochodach swoich klientów, musi podjąć kompleksowe działania, aby chronić się przed atakiem hakerów i zminimalizować ryzyko wycieku informacji. Podstawą bezpieczeństwa jest wdrożenie polityki ochrony danych osobowych i bezpieczeństwa informacji, zgodnej z przepisami RODO. Konieczne jest regularne aktualizowanie oprogramowania i systemów operacyjnych, aby eliminować znane luki wykorzystywane przez cyberprzestępców. Ośrodek powinien korzystać z profesjonalnych, licencjonowanych programów antywirusowych i firewalli, które stanowią pierwszą linię obrony przed złośliwym oprogramowaniem.
Równie istotna jest edukacja pracowników każdy z nich powinien przejść szkolenie z zakresu cyberbezpieczeństwa, uczące m.in. jak rozpoznawać próby phishingu, unikać otwierania podejrzanych załączników i nie klikać w nieznane linki. W codziennej pracy należy stosować silne, unikalne hasła, najlepiej wspomagając się menedżerem haseł, a także wdrożyć dwuetapową weryfikację dostępu do systemów. Ograniczenie uprawnień dostępu do danych tylko do tych pracowników, którzy rzeczywiście ich potrzebują, pomaga zmniejszyć ryzyko nieuprawnionego dostępu. Warto także prowadzić regularne audyty i testy bezpieczeństwa w tym testy penetracyjne by wykrywać i naprawiać potencjalne słabości systemów IT.
Ponadto, dane klientów powinny być szyfrowane zarówno podczas przechowywania, jak i przesyłania, co uniemożliwi ich odczytanie w razie przechwycenia. Nie bez znaczenia jest tworzenie regularnych kopii zapasowych, przechowywanych w sposób odseparowany od głównego systemu – pozwala to na szybkie odzyskanie danych w przypadku ataku typu ransomware (jak miało to miejsce w opisywanym przypadku). W sytuacjach kryzysowych niezbędne jest posiadanie procedury reagowania na incydenty, określającej, jak postępować w razie wykrycia naruszenia bezpieczeństwa. Dzięki odpowiednio zaplanowanym i wdrożonym działaniom, ośrodek pomocy społecznej może skutecznie zabezpieczyć się przed cyberatakami i ochronić dane swoich klientów przed wyciekiem.
Źródło: UODO
