- Blue Energy
-
- Blog
-
- Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO
Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO
13 sty 2022 
Jakub Wietrzyński 11 stycznia na stronie UODO pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych tym razem nałożoną na Politechnikę Warszawską. Co ciekawe kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.
A przynajmniej tyle wyczytamy z ogólnego komunikatu opublikowanego na stronie. Zachęcam jednak by dokładniej prześledzić decyzję Prezesa UODO (https://www.uodo.gov.pl/decyzje/DKN.5130.2559.2020%20).
Wyczytamy w niej między innymi, że naruszenie przepisów RODO polegało na:
- niezastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania
- braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym – w tym wprost wskazany brak wykonywania testów penetracyjnych aplikacji pozwalających na wykrycie podatności systemu na ataki z sieci publicznej,
- braku uwzględnienia ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci funkcji skrótu, która nie daje dostatecznej gwarancji bezpieczeństwa,
- zbyt krótkim przechowywanie logów dzienników systemowych i braku funkcjonowania w aplikacji szczegółowego dziennika zdarzeń.
Kto z Państwa w ramach przeprowadzanej analizy ryzyka bierze pod uwagę aspekty związane z jakością funkcji skrótu (hashu hasła), sposobu prowadzenia i zawartości dzienników administracyjnych i dzienników zdarzeń czy odporności systemów na ataki z sieci publicznej? Ilu z Administratorów bada faktyczne bezpieczeństwo, a ilu pozoruje proces analizy ryzyka wpisując w arkuszu Excel po jednej stronie tabeli „ryzyko naruszenia poufności danych osobowych” a po drugiej „poziom ryzyka niski”
W większości organizacji tak lekkie podejście do procesu analizy ryzyka wnika z braku właściwych kompetencji i doświadczenia. Przypominam więc, że istnieje możliwość zwrócenia się o pomoc do podmiotów zewnętrznych wyspecjalizowanych w zagadnieniach dotyczących ochrony danych osobowych i bezpieczeństwa informacji takich jak Blue Energy.
Zapraszamy do skorzystania z naszych usług w zakresie:
Zobacz także
W ostatnich latach coraz częściej podnoszona jest kwestia bezpieczeństwa przetwarzania danych osobowych w jednostkach samorządowych. W związku z doniesieniami o zaniedbaniach i nieprawidłowościach w tym obszarze, Najwyższa Izba Kontroli (NIK) podjęła się kontroli mającej na celu ocenę stanu ochrony danych osobowych przechowywanych w formie elektronicznej przez jednostki samorządowe.
Już ponad 3,8 miliona złotych kary dla morele.net – czym zasłużyła sobie Spółka? Prezes Urzędu Ochrony Danych Osobowych nie odpuszcza!
