- Blue Energy
-
- Blog
-
- Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO
Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO
13 sty 2022 
Maciej Woroch 11 stycznia na stronie UODO pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych tym razem nałożoną na Politechnikę Warszawską. Co ciekawe kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.
A przynajmniej tyle wyczytamy z ogólnego komunikatu opublikowanego na stronie. Zachęcam jednak by dokładniej prześledzić decyzję Prezesa UODO (https://www.uodo.gov.pl/decyzje/DKN.5130.2559.2020%20).
Wyczytamy w niej między innymi, że naruszenie przepisów RODO polegało na:
- niezastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania
- braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym – w tym wprost wskazany brak wykonywania testów penetracyjnych aplikacji pozwalających na wykrycie podatności systemu na ataki z sieci publicznej,
- braku uwzględnienia ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci funkcji skrótu, która nie daje dostatecznej gwarancji bezpieczeństwa,
- zbyt krótkim przechowywanie logów dzienników systemowych i braku funkcjonowania w aplikacji szczegółowego dziennika zdarzeń.
Kto z Państwa w ramach przeprowadzanej analizy ryzyka bierze pod uwagę aspekty związane z jakością funkcji skrótu (hashu hasła), sposobu prowadzenia i zawartości dzienników administracyjnych i dzienników zdarzeń czy odporności systemów na ataki z sieci publicznej? Ilu z Administratorów bada faktyczne bezpieczeństwo, a ilu pozoruje proces analizy ryzyka wpisując w arkuszu Excel po jednej stronie tabeli „ryzyko naruszenia poufności danych osobowych” a po drugiej „poziom ryzyka niski”
W większości organizacji tak lekkie podejście do procesu analizy ryzyka wnika z braku właściwych kompetencji i doświadczenia. Przypominam więc, że istnieje możliwość zwrócenia się o pomoc do podmiotów zewnętrznych wyspecjalizowanych w zagadnieniach dotyczących ochrony danych osobowych i bezpieczeństwa informacji takich jak Blue Energy.
Zapraszamy do skorzystania z naszych usług w zakresie:
Zobacz także
Cyfryzacja ochrony zdrowia w ostatnich latach przyspieszyła w ogromnym tempie. Szpitale i placówki medyczne korzystają dziś z setek, a często tysięcy urządzeń podłączonych do sieci od aparatów USG i tomografów, przez pompy infuzyjne, aż po systemy HVAC czy inteligentne instalacje budynkowe. Ta rosnąca liczba połączonych systemów tworzy tzw. środowisko IoMT (Internet of Medical Things), które znacząco zwiększa możliwości diagnostyczne i operacyjne placówek medycznych, ale jednocześnie otwiera nowe wektory cyberataków.
Polskie szpitale coraz częściej stają się celem cyberprzestępców. W ostatnich latach ataki typu ransomware i wycieki danych ujawniły, jak wrażliwe są nasze placówki medyczne. Aby odpowiedzieć na rosnące zagrożenia, ruszył projekt „Cyberbezpieczny Szpital”, który wspiera szpitale w zwiększeniu odporności systemów, ochronie danych pacjentów i zapewnieniu ciągłości działania placówek.
