- Blue Energy
-
- Blog
-
- Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO
Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO
13 sty 2022 
Jakub Wietrzyński 11 stycznia na stronie UODO pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych tym razem nałożoną na Politechnikę Warszawską. Co ciekawe kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.
A przynajmniej tyle wyczytamy z ogólnego komunikatu opublikowanego na stronie. Zachęcam jednak by dokładniej prześledzić decyzję Prezesa UODO (https://www.uodo.gov.pl/decyzje/DKN.5130.2559.2020%20).
Wyczytamy w niej między innymi, że naruszenie przepisów RODO polegało na:
- niezastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania
- braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym – w tym wprost wskazany brak wykonywania testów penetracyjnych aplikacji pozwalających na wykrycie podatności systemu na ataki z sieci publicznej,
- braku uwzględnienia ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci funkcji skrótu, która nie daje dostatecznej gwarancji bezpieczeństwa,
- zbyt krótkim przechowywanie logów dzienników systemowych i braku funkcjonowania w aplikacji szczegółowego dziennika zdarzeń.
Kto z Państwa w ramach przeprowadzanej analizy ryzyka bierze pod uwagę aspekty związane z jakością funkcji skrótu (hashu hasła), sposobu prowadzenia i zawartości dzienników administracyjnych i dzienników zdarzeń czy odporności systemów na ataki z sieci publicznej? Ilu z Administratorów bada faktyczne bezpieczeństwo, a ilu pozoruje proces analizy ryzyka wpisując w arkuszu Excel po jednej stronie tabeli „ryzyko naruszenia poufności danych osobowych” a po drugiej „poziom ryzyka niski”
W większości organizacji tak lekkie podejście do procesu analizy ryzyka wnika z braku właściwych kompetencji i doświadczenia. Przypominam więc, że istnieje możliwość zwrócenia się o pomoc do podmiotów zewnętrznych wyspecjalizowanych w zagadnieniach dotyczących ochrony danych osobowych i bezpieczeństwa informacji takich jak Blue Energy.
Zapraszamy do skorzystania z naszych usług w zakresie:
Zobacz także
AI Act i Trustworthy AI to najbardziej aktualne tematy w świecie regulacji. Komisja Europejska, w ramach strategii budowy odpowiedzialnego ekosystemu AI, postawiła jasne wymagania dotyczące tego, co musi spełniać rozwiązanie, by uznane było za godne zaufania.
Zgodność z Rozporządzeniem o Ochronie Danych Osobowych (RODO) to nie tylko obowiązek, ale również realna wartość biznesowa. Przeprowadzenie audytu RODO pozwala zidentyfikować ryzyka, uporządkować procesy i uniknąć kosztownych sankcji. Dowiedz się, czym jest audyt RODO, jak wygląda proces, jaka jest cena audytu RODO i dlaczego warto zlecić go ekspertom.
