NORWEGIA. Norweski organ ochrony danych nałożył na gminę grzywnę w wysokości 409 768 EUR (4 000 000 NOK) za naruszenie art. 5 ust. 1 lit. f) GDPR, art. 24 GDPR i art. 32 GDPR po tym, jak poważny atak ransomware doprowadził do nieodwracalnej utraty bardzo wrażliwych danych osobowych i ich sprzedaży w ciemnej sieci.

Na początku 2021 roku, norweska gmina (Østre Toten kommune) zdała sobie sprawę, że została narażona na poważny atak ransomware, który zablokował pracownikom dostęp do kluczowych systemów IT. Dane zostały zaszyfrowane, a kopie zapasowe usunięte. Naruszenie dotyczyło około 30 000 dokumentów, w tym informacji o pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności do związków zawodowych, życiu seksualnym/orientacji seksualnej, stanie zdrowia, diagnozie pedagogicznej, numerze urodzenia, elektronicznym dokumencie tożsamości i rachunku bankowym. Około 2 tys. dokumentów zostało później odkrytych i wystawionych na sprzedaż w DarkNecie. W sumie wyciągnięto około 160 GB danych, a duża ilość danych została nieodwracalnie utracona.

Śledztwo techniczne wykazało, że gmina miała poważne braki w swoich systemach i procesach informatycznych, w tym niezabezpieczone kopie zapasowe, brak dwuskładnikowego uwierzytelniania i właściwego zarządzania dziennikami. Przestępcy prawdopodobnie uzyskali dostęp do infrastruktury za pomocą rozwiązań zdalnego dostępu w połączeniu ze skradzionymi danymi uwierzytelniającymi do logowania, które prawdopodobnie zostały uzyskane w wyniku oszustw phishingowych skierowanych do pracowników gminy (w trakcie dochodzenia odkryto około dziesięciu adresów e-mail i haseł należących do pracowników).

Gmina powiadomiła organ ochrony danych o naruszeniu i na bieżąco informowała swoich mieszkańców. Rozpoczęły również kompleksowe prace mające na celu ustanowienie procedur przetwarzania danych osobowych oraz zarządzania przypadkami naruszenia ochrony danych.

Jakich uchybień dopatrzył się Norweski Inspektor Ochrony Danych?  Datatilsynet stwierdził, że gmina nie chroniła danych osobowych w wystarczającym stopniu ani nie stosowała odpowiednich kontroli wewnętrznych, co stanowiło naruszenie art. 5 ust. 1 lit. f), art. 24 i 32, por. art. 26 ust. 1 ustawy o danych osobowych.

W związku z tym norweski organ ochrony danych nałożył na gminę grzywnę w wysokości 409 768 EUR (4 000 000 NOK). Ponadto, organ ochrony danych nakazał gminie ustanowienie i wdrożenie odpowiedniego systemu zarządzania bezpieczeństwem informacji oraz przeprowadzenie (i udokumentowanie) oceny ryzyka dla wszystkich kluczowych systemów w jej infrastrukturze w celu określenia potrzeby zastosowania środków zmniejszających ryzyko.

źródło: strona internetowa GDPRhub [https://gdprhub.eu]