W czasach rosnącej liczby cyberataków i coraz bardziej restrykcyjnych przepisów dotyczących ochrony danych osobowych, incydent w Gminnym Ośrodku Pomocy Społecznej w Aleksandrowie to przestroga, którą powinny potraktować poważnie wszystkie instytucje publiczne i prywatne. Choć mówimy tu o ataku ransomware, w rzeczywistości źródłem problemu nie był sam atak, ale brak adekwatnych działań prewencyjnych – zarówno w zakresie analizy ryzyka, jak i wdrożenia procedur kontrolnych.
Co to ransomware?
Atak typu ransomware to rodzaj cyberataku, w którym złośliwe oprogramowanie szyfruje dane ofiary i blokuje do nich dostęp, żądając okupu (zwykle w kryptowalutach) w zamian za ich odszyfrowanie.
W kontekście RODO i ochrony danych osobowych, atak ransomware może być poważnym naruszeniem, szczególnie jeśli prowadzi do utraty poufności oraz dostępności danych – tak jak w opisywanym przypadku (trzy kluczowe kryteria bezpieczeństwa danych: poufność, integralność, dostępność).
Atak, którego można było uniknąć
W 2022 roku GOPS w Aleksandrowie padł ofiarą cyberataku, w wyniku którego tymczasowo utracono dostęp do danych osobowych około 1500 osób. Co istotne, dane te obejmowały wrażliwe i szczegółowe informacje, a więc ich ochrona powinna być priorytetem. Incydent został zgłoszony do Prezesa UODO, zgodnie z obowiązującymi przepisami, jednak z opóźnieniem i w sposób niepełny, co samo w sobie było uchybieniem proceduralnym.
Postępowanie przeprowadzone przez UODO wykazało, że zarówno administrator danych (GOPS), jak i podmiot przetwarzający (Wójt Gminy) nie wdrożyli wystarczających zabezpieczeń ani technicznych, ani organizacyjnych. Co więcej, analiza ryzyka, która powinna stanowić fundament całego systemu ochrony danych, została przeprowadzona w sposób powierzchowny i nieadekwatny do realnych zagrożeń.
Główne uchybienia? Brak prewencji, słabe zabezpieczenia i nieaktualny system
Choć w dokumentacji wskazano, że atak typu ransomware jest możliwym zagrożeniem, nie przełożyło się to na realne działania zabezpieczające. Krytycznym błędem było m.in. wykorzystywanie przestarzałego systemu operacyjnego, który utracił wsparcie techniczne dwa lata przed incydentem. Również sposób wykonywania kopii zapasowych okazał się niewystarczający – backupy zapisywano na dysku sieciowym, który także został zaszyfrowany w trakcie ataku.
W efekcie konieczne było zaangażowanie podmiotu zewnętrznego do odzyskania danych, co wiązało się z dodatkowymi kosztami i opóźnieniem w świadczeniu usług dla mieszkańców gminy.
Niewystarczający nadzór nad podmiotem przetwarzającym
Istotnym aspektem tej sprawy była także relacja pomiędzy administratorem danych a podmiotem przetwarzającym. Wójt, jako przetwarzający dane w imieniu GOPS, nie był objęty regularnym nadzorem w zakresie przestrzegania zasad bezpieczeństwa. Gdyby kontrola została przeprowadzona odpowiednio wcześniej, istnieje duże prawdopodobieństwo, że braki w zabezpieczeniach zostałyby wykryte i skorygowane.
Kary i koszty reputacyjne
Prezes UODO nałożył karę w wysokości 5 tys. zł na GOPS jako administratora danych oraz 10 tys. zł na Wójta Gminy – podkreślając tym samym współodpowiedzialność za incydent. Należy przypomnieć, że maksymalny wymiar kary w sektorze publicznym wynosi do 100 000 zł. Warto zauważyć, że choć kary finansowe nie są w tym przypadku bardzo wysokie, to konsekwencje wizerunkowe oraz koszty związane z odzyskiwaniem danych i zakłóceniem ciągłości działania mają znacznie większe znaczenie długoterminowe.
Wnioski dla organizacji – co robić, by nie powtórzyć tego błędu?
Ten przypadek jasno pokazuje, że sprawny system ochrony danych to podstawa dla każdej organizacji. Na co warto zwrócić uwagę?
- Rzetelna analiza ryzyka
Powinna być aktualna, szczegółowa i realistyczna – nie tylko zidentyfikować potencjalne zagrożenia, ale też przewidywać ich skutki i rekomendować adekwatne środki zaradcze.
- Zabezpieczenia techniczne muszą nadążać za zmianami
Używanie systemów bez wsparcia producenta to proszenie się o kłopoty. Regularne aktualizacje, testy zabezpieczeń i kopie zapasowe przechowywane offline to absolutne minimum.
- Monitorowanie relacji z procesorem
Administrator danych nie może ograniczać się do podpisania umowy powierzenia. Konieczne są regularne audyty i sprawdzenie, czy procesor faktycznie działa zgodnie z wymaganiami RODO.
Zaniedbania systemowe jako główne źródło problemów
Z punktu widzenia praktyki ochrony danych osobowych, ten incydent pokazuje, że skutecznej zgodności z RODO nie należy sprowadzać do formalnego wdrożenia dokumentacji. Musi być to proces ciągły, iteracyjny i oparty na aktualnych danych, realnej analizie ryzyka oraz sprawnym nadzorze nad podmiotami przetwarzającymi.
Organizacje publiczne i prywatne powinny potraktować ten przypadek jako impuls do wewnętrznego przeglądu wdrożeń RODO – nie tylko pod kątem zgodności proceduralnej, lecz przede wszystkim funkcjonalnej: czy system ochrony danych rzeczywiście działa, gdy dochodzi do realnego zagrożenia?
Jeśli masz pytania dotyczące RODO, napisz do nas: bok@asystahr.pl
