Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO

11 stycznia na stronie UODO pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych tym razem nałożoną na Politechnikę Warszawską. Co ciekawe kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.

A przynajmniej tyle wyczytamy z ogólnego komunikatu opublikowanego na stronie. Zachęcam jednak by dokładniej prześledzić decyzję Prezesa UODO (https://www.uodo.gov.pl/decyzje/DKN.5130.2559.2020%20).

Wyczytamy w niej między innymi, że naruszenie przepisów RODO polegało na:

• niezastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania
• braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym – w tym wprost wskazany brak wykonywania testów penetracyjnych aplikacji pozwalających na wykrycie podatności systemu na ataki z sieci publicznej,
• braku uwzględnienia ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci funkcji skrótu, która nie daje dostatecznej gwarancji bezpieczeństwa,
• zbyt krótkim przechowywanie logów dzienników systemowych i braku funkcjonowania w aplikacji szczegółowego dziennika zdarzeń.

Kto z Państwa w ramach przeprowadzanej analizy ryzyka bierze pod uwagę aspekty związane z jakością funkcji skrótu (hashu hasła),  sposobu prowadzenia i zawartości dzienników  administracyjnych i dzienników zdarzeń czy odporności systemów na ataki z sieci publicznej? Ilu z Administratorów bada faktyczne bezpieczeństwo, a ilu pozoruje proces analizy ryzyka wpisując w arkuszu Excel po jednej stronie tabeli „ryzyko naruszenia poufności danych osobowych” a po drugiej „poziom ryzyka niski”

W większości organizacji tak lekkie podejście do procesu analizy ryzyka wnika z braku właściwych kompetencji i doświadczenia. Przypominam więc, że istnieje możliwość zwrócenia się o pomoc do podmiotów zewnętrznych wyspecjalizowanych w zagadnieniach dotyczących ochrony danych osobowych i bezpieczeństwa informacji takich jak Blue Energy.

Zapraszamy do skorzystania z naszych usług w zakresie:

• Audytu wymagań i zabezpieczeń RODO
• Testów aplikacji i www w zakresie bezpieczeństwa i spełnienia wymagań
• Systemu wspierającego wdrożenie i utrzymanie zgodności z wymaganiami – BPM RODO
• Świadczenie usług Inspektora Ochrony Danych