skip to Main Content

Figyelmeztetés elavult szoftverek miatt bekövetkezett incidensért

A Lengyel Adatvédelmi Hatóság (UODO) 2021. február 17-én hozta nyilvánosságra, hogy figyelmeztetésben részesített egy élményfürdő üzemeltetésével foglalkozó céget, mivel az elavult biztonsági intézkedések miatt adatvédelmi incidens „áldozata lett”. Az elavult IT eszközök és szoftverek az egyik leggyakrabban használt támadási vektorai az adatvédelmi incidenseknek. Nem megfelelő mértékű odafigyelés miatt már a világ legnagyobb cégei is szenvedtek el hasonló támadásokat és az okozott károkon felül gyakran tetemes összegű bírságot is be kell fizetniük.

Az aktuális esetben is az történt, hogy az adatkezelő a személyes adatokat tároló IT rendszerét régóta nem tartotta karban, így, amikor egy zsarolóvírus bekerült a rendszerbe, nem volt hatásos módja azt kivédeni. Az UODO ezt követően kezdte meg vizsgálatát, melynek során feltárta, hogy cég elmulasztotta a szükséges biztonsági és szervezeti intézkedéseket meghozni, amelyek az adatkezelés biztonságához elengedhetetlenek lettek volna és megakadályozhatták volna az adatvédelmi incidenst.

A vizsgálat rámutatott, hogy az adatkezelő elavult operációs rendszert használt, illetve a rendszerek nem voltak alávetve megfelelő ellenőrzéseknek és frissítéseknek; a korlátozott és régen elvégzett tesztekben csak az egyes szoftverek működését és meghibásodások elleni védelmét tesztelték. Ennek következményeként történhetett meg, hogy mire a támadásról a cég tudomást szerzett, a személyes adatokat már titkosította a zsarolóvírus, azok visszaállításáért “váltságdíjat” követelve.

Az ügyben továbbá arra is fény derült, hogy az operációs rendszeren kívül a rendszeren futtatott egyéb szoftverek is problémásak voltak, mivel azokat a gyártók már nem támogatták, így biztonsági frissítéseket sem kaphattak.

A Hatóság figyelmeztetésében külön kiemeli, hogy minden adatkezelőnek kötelessége az általa használt rendszereket folyamatosan tesztelni, felülvizsgálni és azokon igény szerint folyamatos változtatásokat végrehajtani, hogy minden esetben szavatolható legyen a kezelt adatok biztonsága. Ebben a konkrét esetben az adatkezelő ezen kötelezettségének csak az incidens után tett eleget; új operációs rendszer használatára állt át és olyan új szoftvercsomagra váltott, melyhez elérhetők folyamatos biztonsági frissítések. Az elavult szoftverek használata esetén bekövetkező adatvédelmi incidensek számos esetben könnyedén elkerülhetőek lettek volna, ha az adatkezelő megfelelő figyelmet fordít a naprakész verziók használatára.

A cég és az érintettek szerencséjére a vizsgálat rámutatott, hogy a személyes adatok csupán titkosítva lettek, azokhoz más személy illetéktelenül nem fért hozzá. Ebből kifolyólag az UODO megállapította, hogy az incidens nem járt negatív következményekkel az érintett számára.

Emiatt döntött úgy a hatóság, hogy bírság helyett csak figyelmeztetésben részesíti a céget. Ebben nagy szerepet játszott, hogy az esetnek az érintettek között nincs kárvallottja, illetve, hogy az adatkezelő már a vizsgálat lefolytatása alatt szorosan együttműködött a Hatósággal.

Back To Top