Newsletter wydanie 21
Kolejna decyzja UODO
Firma sprzedająca m.in. drzwi antywłamaniowe została ukarana przez UODO karą ponad 350 tys. zł za niewłaściwe zabezpieczenie danych osobowych, które w wyniku ataku ransomware zostały utracone. Wspólnicy spółki cywilnej przetwarzającej dane zostali dodatkowo ukarani karą 9,8 tys. zł. Firma zgłosiła, że w wyniku ataku ransomware utraciła dostęp do danych klientów i pracowników, obejmujących m.in. numery PESEL, adresy oraz dane kontaktowe, co było możliwe z powodu wyłączenia programu antywirusowego przez pracownika. Administrator danych uznał, że celem ataku był szantaż, a nie zdobycie danych, jednak wadliwie poinformował poszkodowanych, ignorując uwagi UODO, co skutkowało nałożeniem kary.
Decyzja UODO ujawniła, że niedociągnięcia techniczne, brak analizy ryzyka oraz zaniechanie regularnych testów skuteczności zabezpieczeń czy szkoleń to nie tylko uchybienia proceduralne – to strategiczne słabości, które mogą prowadzić do poważnych konsekwencji. Warto zauważyć, że problemy te nie są odosobnione. Wiele organizacji traktuje zabezpieczenia jako zbiór wymogów regulacyjnych, a nie integralną część zarządzania ryzykiem.
To właśnie podejście wymaga zmiany. Nowoczesne zarządzanie bezpieczeństwem informacji nie kończy się na zgodności z przepisami. Chodzi o budowanie proaktywnych mechanizmów, które nie tylko chronią dane, ale także minimalizują ryzyko operacyjne i wzmacniają stabilność biznesową.
Bezpieczeństwo to nie wybór – to obowiązek
Decyzja (syg.DKN.5131.1.2021) podkreśla kluczową rolę technologii w ochronie danych. Jednak technologia sama w sobie nie rozwiązuje problemu – musi być odpowiednio dobrana, skonfigurowana i zarządzana. Dlatego organizacje coraz częściej sięgają po zaawansowane rozwiązania, które oferują coś więcej niż standardową ochronę.
Jednym z przykładów takich systemów jest SentinelOne, który łączy funkcje EDR i XDR, pozwalając na wykrywanie i neutralizację zagrożeń w czasie rzeczywistym. To narzędzie, które nie tylko reaguje na incydenty, ale aktywnie monitoruje środowisko IT, zapewniając pełną widoczność i automatyzację procesów ochrony. Dla organizacji chcących wyprzedzać zagrożenia, rozwiązania tego typu stają się nieodzownym elementem strategii.
Proaktywne zarządzanie zagrożeniami
Wnioski z decyzji UODO wykraczają jednak poza kwestie techniczne. Pokazują, że ochrona danych to również kultura organizacyjna i sposób myślenia o bezpieczeństwie na każdym poziomie struktury. Kluczowe jest tu podejście proaktywne: regularne audyty, szkolenia pracowników oraz wdrażanie odpowiednich rozwiązań.
Co więcej, konieczne jest spojrzenie na ochronę danych nie tylko jako na wymóg prawny, ale jako inwestycję w stabilność i rozwój biznesu. Trzeba bowiem pamiętać, że zaniedbania w tym obszarze nie kończą się tylko na karach finansowych – wpływają na reputację, stabilność operacyjną i relacje z klientami. Wdrażanie nowoczesnych rozwiązań, takich jak SentinelOne, oraz budowanie świadomej kultury bezpieczeństwa danych to nie tylko sposób na spełnienie wymogów regulacyjnych, ale przede wszystkim fundament długoterminowego sukcesu.
CERT Polska – milion zablokowanych oszustw
CERT Polska, działający w ramach NASK, ogłosił osiągnięcie imponującego kamienia milowego – milion zablokowanych prób oszustw komputerowych. Ponad 500 tysięcy obsłużonych zgłoszeń o cyberzagrożeniach, ponad 1 milion zablokowanych wiadomości od oszustów dzięki wzorcom SMS i aż 75 milionów prób wejścia na fałszywe strony skutecznie powstrzymanych – te liczby mówią same za siebie. CERT Polska, działający w ramach NASK, każdego dnia udowadnia, jak ogromne znaczenie ma ich praca w ochronie polskich internautów.
Blokowanie oszustw, phishingu czy fałszywych stron to efekt nie tylko technologicznej precyzji, ale przede wszystkim zaangażowania i profesjonalizmu całego zespołu CERT Polska. Ich działania nie tylko zmniejszają ryzyko dla użytkowników, ale także uczą społeczeństwo, zwiększając świadomość w zakresie cyberbezpieczeństwa.
Pamiętajmy jednak, że bezpieczeństwo w sieci to dobro wspólne. Choć wielu z nas może być świadomych taktyk stosowanych przez oszustów, nasi rodzice czy dziadkowie często nie są przygotowani na takie zagrożenia. Każde zgłoszenie do CERT Polska, każda blokada i każda edukacja to krok w stronę ochrony nie tylko nas samych, ale także tych najbardziej narażonych na cyberprzestępstwa. Wspierajmy inicjatywy podnoszące poziom bezpieczeństwa i dzielmy się wiedzą – to inwestycja w cyfrową przyszłość nas wszystkich.
Naruszenie w Wojewódzkim Szpitalu Specjalistycznym we Włocławku
Zgodnie z oświadczeniem na stronie internetowej Szpitala (https://www.szpital.wloclawek.pl) z dnia 20 listopada 2024 r. dowiadujemy się, że:
„W dniu 19.11.2024 r. ujawniono, że nieuprawniona osoba lub osoby przejęły dostęp do skrzynki mailowej sekretariatu ADO dokonując usunięcia zawartych na niej maili oraz wykorzystując niniejszą skrzynkę do rozsyłania korespondencji mailowej mającej na celu dalsze wyłudzanie loginów oraz haseł do maili. Nie można jednak wykluczyć również zaboru korespondencji mailowej.”.
Co poszło nie tak i co wynika z tego dla innych?
Włocławski incydent przypomina, że to właśnie proste wektory, takie jak poczta elektroniczna, najczęściej stają się celem cyberprzestępców. Atakujący, przejmując kontrolę nad skrzynką, nie tylko usunęli istniejącą korespondencję, ale także wykorzystali ją do rozsyłania wiadomości phishingowych. W takich sytuacjach ryzyko eskalacji jest ogromne – od uzyskania dostępu do dalszych systemów, po wyciek wrażliwych informacji, które mogą zostać wykorzystane w sposób przestępczy.
Incydenty tego rodzaju w sposób naturalny prowadzą do pytania: jak instytucje przetwarzające dane osobowe, szczególnie te o wysokiej wrażliwości, jak placówki medyczne, są przygotowane na takie sytuacje? Odpowiedź nie ogranicza się jedynie do wdrożenia zgodności z przepisami RODO. To prawda, że zgłoszenie incydentu do organów nadzoru oraz poinformowanie osób dotkniętych zdarzeniem są wymaganiami prawnymi, ale ochrona danych wymaga czegoś więcej – zdolności przewidywania i zapobiegania takim zdarzeniom. Bezpieczeństwo informacji to nie tylko reakcja na incydenty, ale kompleksowa strategia, obejmująca zarówno technologie, jak i kulturę organizacyjną.
Czy można zapobiec takim incydentom?
Oczywiście – kluczem jest nie tylko skuteczna analiza ryzyka i szkolenie personelu, ale także zastosowanie zaawansowanych rozwiązań technologicznych, które umożliwiają wykrywanie i neutralizowanie zagrożeń, zanim wyrządzą szkody. Rozwiązania klasy DLP (Data Loss Prevention), takie jak oferowane przez Forcepoint, pozwalają na monitorowanie przepływu danych w czasie rzeczywistym, identyfikując i blokując podejrzane działania. Systemy te nie tylko wykrywają zagrożenia, ale także automatycznie na nie reagują, zapobiegając eskalacji incydentów.
Technologie to jednak tylko jeden z elementów układanki. Incydent ujawnia również potrzebę edukacji pracowników. Większość ataków, w tym phishingowych, opiera się na błędach ludzkich, które mogą zostać zminimalizowane poprzez regularne szkolenia z zakresu cyberbezpieczeństwa. Świadomość zagrożeń wśród personelu, szczególnie w sektorze publicznym, gdzie informacje często są przechowywane w rozproszonych środowiskach, jest kluczowa dla skutecznego zarządzania bezpieczeństwem danych.
Za każdym razem podkreślamy, że ochrona danych osobowych i informacji nie jest już wyłącznie kwestią przestrzegania przepisów, ale stanowi fundament skutecznej strategii zarządzania ryzykiem. Wdrażanie nowoczesnych technologii, takich jak Forcepoint, w połączeniu z tworzeniem świadomej kultury bezpieczeństwa, to najlepszy sposób na minimalizowanie ryzyka i budowanie odporności organizacyjnej. Jeśli potrzebujesz porady w zakresie ochrony danych, analizy ryzyka lub chcesz przeprowadzić PoC rozwiązań technologicznych dla swojej organizacji, skontaktuj się z nami – wspólnie znajdziemy odpowiednie rozwiązanie dla Twoich potrzeb.
