ODO Szkolenia

Nielegalny monitoring na oddziale neonatologii – surowa kara dla Centrum Medycznego

Nielegalny monitoring na oddziale neonatologii.

Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, nałożył wysoką karę na Centrum Medyczne Ujastek Sp. z o.o. w Krakowie. Placówka ukarano grzywną w wysokości 1 145 891,25 zł za niezgodne z prawem działania związane z monitoringiem wizyjnym na oddziale neonatologii.

Od 1 do 23 lipca 2023 roku Centrum Medyczne wprowadziło nielegalny monitoring na dwóch salach. Kamery rejestrowały obraz noworodków i ich matek i obejmowały sceny związane z karmieniem i pielęgnacją dzieci. Co istotne, pacjenci i personel nie byli świadomi rejestracji, co stanowiło naruszenie ich prywatności.

Dzieci nie wymagały intensywnej terapii, a ich stan zdrowia nie był zagrożony. Prezes UODO uznał, że monitoring był prowadzony bezprawnie i na placówkę nałożył karę w wysokości 687 534,75 zł.

Brak odpowiednich środków bezpieczeństwa

Kolejnym naruszeniem było zagubienie lub kradzież niezaszyfrowanych kart pamięci z nagraniami z monitoringu. Ponadto urządzenia rejestrujące nie spełniały wymaganych standardów bezpieczeństwa. Analiza ryzyka przeprowadzona przez placówkę nie uwzględniała możliwości utraty danych, co dodatkowo zwiększało zagrożenie dla poufności informacji.

W konsekwencji Prezes UODO nałożył drugą karę w wysokości 458 356,50 zł za brak wdrożenia odpowiednich środków organizacyjnych i technicznych.

Wnioski i konsekwencje

Łączna kwota kary, czyli ponad 1,1 mln zł stanowi jasny sygnał, że ochrona danych osobowych i prywatności pacjentów jest kluczowym elementem działania placówek medycznych. Placówki stosujące monitoring wizyjny mają obowiązek przestrzegania zasad wynikających z RODO. Muszą one jasno informować pacjentów o stosowaniu kamer, określić cel przetwarzania danych oraz ograniczyć zakres nagrywania do absolutnego minimum. Dodatkowo, nagrania powinny być odpowiednio zabezpieczone przed nieautoryzowanym dostępem. Należy przeprowadzać regularne analizy ryzyka oraz wdrażać skuteczne środki techniczne i organizacyjne zapobiegające naruszeniom.

Jeśli potrzebujesz wsparcia w prawidłowym wdrożeniu monitoringu w swojej firmie, zapraszamy do KONTAKTU.

Źródło: www.uodo.gov.pl

Zagrożenia związane z ransomware w 2025 roku: jak chronić organizację przed atakami?

Ataki ransomware stały się jednym z najpoważniejszych zagrożeń w cyberprzestrzeni, a ich rosnąca liczba w ciągu ostatnich kilku lat stanowi realne wyzwanie dla firm, instytucji i użytkowników indywidualnych. W 2025 roku ransomware nie tylko nie traci na znaczeniu, ale wręcz staje się coraz bardziej złożone i niebezpieczne. W tym artykule przeanalizujemy, jakie zagrożenia mogą występować w najbliższym czasie oraz jak organizacje mogą się przed nimi chronić.

Czym jest ransomware?

To złośliwe oprogramowanie, które szyfruje dane na urządzeniu ofiary, a następnie żąda okupu w zamian za ich odszyfrowanie. Cyberprzestępcy, którzy wykorzystują tego typu ataki, mogą żądać pieniędzy w tradycyjnej walucie lub kryptowalutach, zapewniając sobie anonimowość. W ostatnich latach wzrosła liczba ataków skierowanych na organizacje, a nie tylko indywidualnych użytkowników, co sprawia, że skutki takich ataków mogą być katastrofalne.

Rosnąca liczba ataków

W 2025 roku ataki te wciąż będą stanowiły poważne zagrożenie. Zjawisko to rozwija się na kilku frontach:

  1. Skrupulatnie dopasowane ataki – W przeszłości ataki ransomware były często „wielką siecią” skierowaną na jak największą liczbę ofiar. Współcześnie ataki stają się bardziej wyrafinowane i ukierunkowane. Cyberprzestępcy analizują organizacje i ich zasoby, aby precyzyjnie dobrać metodę infekcji i wysokość żądanego okupu. Organizacje z branż takich jak opieka zdrowotna, edukacja czy usługi publiczne są szczególnie narażone na ataki, ponieważ utrata danych w tych sektorach może powodować poważne konsekwencje.
  2. Ransomware-as-a-Service (RaaS) – Model RaaS pozwala nawet mniej doświadczonym cyberprzestępcom na przeprowadzanie zaawansowanych ataków. Usługi te oferują narzędzia, oprogramowanie i instrukcje, dzięki którym nie trzeba być specjalistą od cyberbezpieczeństwa, aby przeprowadzić skuteczny atak. W 2025 roku możemy spodziewać się dalszego rozwoju tego typu usług, co z kolei zwiększy liczbę ataków.
  3. Ataki na chmurowe i rozproszone systemy – Większość organizacji w 2025 roku będzie korzystać z rozwiązań chmurowych do przechowywania danych. Niestety, cyberprzestępcy dostrzegają te same możliwości i coraz częściej będą kierować swoje ataki na infrastrukturę chmurową, aby zainfekować dane w całych organizacjach. Ponadto ataki na rozwiązania typu multi-cloud będą stwarzać nowe wyzwania w zakresie ochrony danych.
  4. Złośliwe oprogramowanie oparte na sztucznej inteligencji – Sztuczna inteligencja będzie wykorzystywana zarówno przez cyberprzestępców, jak i specjalistów ds. cyberbezpieczeństwa. Ataki ransomware w 2025 roku mogą stać się jeszcze bardziej inteligentne, wykrywając luki w zabezpieczeniach i dostosowując metody infekcji do systemów ofiar. Będzie to wymagało wprowadzenia nowych strategii ochrony i monitorowania systemów.

Jak chronić organizację przed atakami?

Ochrona przed atakami wymaga zastosowania szeregu nowoczesnych metod i narzędzi. Oto kluczowe kroki, które organizacje powinny podjąć, aby zmniejszyć ryzyko infekcji:

  1. Regularne tworzenie kopii zapasowych danych
    Jest to podstawowy element strategii obrony przed cyberatakami. Regularne tworzenie i przechowywanie kopii zapasowych na osobnych, izolowanych nośnikach (najlepiej w chmurze) pozwala na szybkie przywrócenie danych w przypadku ataku. Ważne jest, aby te kopie były zaszyfrowane i oddzielone od głównych systemów operacyjnych, co uniemożliwi ransomware ich szyfrowanie.
  2. Edukacja pracowników
    Pracownicy są często najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa. Należy regularnie przeprowadzać szkolenia z zakresu rozpoznawania phishingu, unikania otwierania podejrzanych załączników i linków oraz przestrzegania zasad bezpieczeństwa w internecie. Zwiększona świadomość pracowników zmniejsza ryzyko ataków poprzez błąd ludzki – zapytaj o szkolenie dedykowane Twojej firmie. Przygotujemy ofertę dopasowaną do Twoich potrzeb – SKONTAKTUJ się z nami.
  3. Implementacja rozwiązań ochrony przed złośliwym oprogramowaniem
    Nowoczesne oprogramowanie antywirusowe, firewalle i systemy wykrywania intruzów (IDS) są niezbędne w ochronie przed ransomware. Warto zainwestować w rozwiązania, które oferują ochronę przed nowoczesnymi zagrożeniami, bazujące na analizie behawioralnej i sztucznej inteligencji. Takie systemy mogą wykrywać podejrzaną aktywność w czasie rzeczywistym, blokując złośliwe oprogramowanie zanim zdąży zainfekować system.
  4. Zastosowanie polityki Zero Trust
    Zero Trust to podejście zakładające, że żaden użytkownik, urządzenie ani system nie jest zaufany, nawet jeśli znajduje się wewnątrz sieci organizacji. W ramach tej polityki każdy dostęp do zasobów jest skrupulatnie kontrolowany i wymaga odpowiedniej weryfikacji. Zastosowanie modelu Zero Trust może znacząco zmniejszyć ryzyko rozprzestrzeniania się ransomware w organizacji.
  5. Ochrona chmurowych zasobów i danych
    Z uwagi na rosnące wykorzystanie chmury przez organizacje, ważne jest, aby odpowiednio zabezpieczyć dane przechowywane w chmurze. Należy skorzystać z rozwiązań oferujących szyfrowanie danych w czasie przesyłania oraz na poziomie magazynów danych. Ponadto, regularne audyty bezpieczeństwa i monitorowanie dostępu do zasobów w chmurze pomogą wykryć potencjalne nieprawidłowości.
  6. Ransomware Detection and Response (RDR)
    Nowoczesne narzędzia RDR umożliwiają wykrycie ataku ransomware w jego wczesnej fazie, zanim zdąży on się rozprzestrzenić. Te systemy automatycznie reagują na podejrzane aktywności, izolując zainfekowane urządzenia i zapobiegając dalszym infekcjom. Warto zainwestować w takie technologie, które pozwolą na szybszą identyfikację zagrożeń.

Materiały prasowe dotyczące ostatnich ataków

  1. Eurocert ofiarą ataku
  2. Niecodzienne ataki nowej grupy hakerskiej
  3. Duża hurtownia farmaceutyczna w Niemczech zhackowana

Podsumowanie

Ransomware to jedno z najgroźniejszych zagrożeń cyberbezpieczeństwa w 2025 roku, a cyberprzestępcy stają się coraz bardziej wyrafinowani. Organizacje muszą działać prewencyjnie, stosując wielowarstwowe zabezpieczenia, edukując pracowników oraz implementując nowoczesne technologie wykrywania zagrożeń. Zabezpieczenie danych i systemów przed ratakami to inwestycja, która może uratować firmę przed katastrofalnymi stratami finansowymi i reputacyjnymi. Kluczowym elementem jest także szybką reakcja – im szybciej organizacja zauważy atak, tym łatwiej będzie zminimalizować jego skutki.

Minister wyjawił dane sygnalistki – naruszenie prawa i etyki?

W ostatnim czasie opinia publiczna została poruszona informacją o wyjawieniu danych osobowych sygnalistki. Gabriela Fostiak, przewodnicząca związku zawodowego na Uniwersytecie Szczecińskim, prosiła o zachowanie anonimowości i zgłosiła nieprawidłowości na uczelni, w której pracowała. Liczyła na ochronę przewidzianą przepisami prawa. Niestety, jej dane zostały ujawnione przez ministra nauki i szkolnictwa wyższego Dariusza Wieczorka. Wywołało to szeroką debatę na temat odpowiedzialności urzędników państwowych, praw sygnalistów oraz konsekwencji takich działań. Kilka dni po ujawnieniu sprawy minister złożył rezygnację, a wobec niego toczy się postępowanie w prokuraturze.

Kim są sygnaliści i jak prawo ich chroni?

Sygnaliści (whistleblowers) to osoby, które zgłaszają naruszenia prawa, korupcję, nieprawidłowości finansowe czy inne działania szkodliwe dla interesu publicznego. W Polsce ich ochrona wynika zarówno z prawa krajowego, jak i unijnego, w szczególności z dyrektywy Parlamentu Europejskiego i Rady UE 2019/1937, dotyczącej ochrony osób zgłaszających naruszenia prawa Unii.

Przepisy te zobowiązują pracodawców i instytucje do zapewnienia poufności danych sygnalistów. Ma to na celu ochronę ich przed represjami, utratą pracy czy ostracyzmem społecznym.

Czego dotyczyło ujawnienie?

Według doniesień medialnych, minister nauki i szkolnictwa wyższego, Dariusz Wieczorek miał wyjawić tożsamość sygnalistki przekazując jej pisma rektorowi, mimo że obowiązywała go tajemnica związana z ochroną zgłaszających naruszenia. Minister tłumaczył, że nie uważał kobiety za sygnalistkę, ponieważ działała jako przewodnicząca związku zawodowego, a ustawa o sygnalistach nie weszła jeszcze w życie.

Kobieta obecnie jest szykanowana, a uczelnia powiadomiła prokuraturę.

Takie działanie budzi pytania o znajomość przepisów prawa przez przedstawicieli władzy oraz o kulturę ochrony sygnalistów w Polsce.

Konsekwencje ujawnienia danych

Ujawnienie tożsamości sygnalistki niesie za sobą poważne skutki:

  1. Reputacyjne: Sygnalistka może doświadczyć presji społecznej, utraty zaufania ze strony współpracowników czy nawet groźby wykluczenia zawodowego. Co miało miejsce w tym przypadku.
  2. Prawne: Minister, który dopuścił się ujawnienia danych, może ponieść odpowiedzialność karną i cywilną. Prawo przewiduje sankcje za naruszenie zasad ochrony danych osobowych i tajemnicy służbowej. Obecnie już toczy się postępowanie prokuratorskie wobec ministra, który 19.12 złożył rezygnację ze stanowiska.
  3. Systemowe: Taki incydent może zniechęcić inne osoby do zgłaszania nieprawidłowości, co osłabi walkę z korupcją i innymi nadużyciami.

Czy polski system ochrony sygnalistów jest wystarczający?

Choć w teorii przepisy zapewniają sygnalistom odpowiedni poziom ochrony, praktyka pokazuje, że ich wdrożenie pozostawia wiele do życzenia. Incydenty takie jak ten podważają zaufanie do instytucji publicznych i ich zdolności do przestrzegania standardów etycznych.

Co należy zrobić, aby poprawić sytuację?

  1. Edukacja i szkolenia: Zarówno przedstawiciele rządu, jak i instytucji publicznych powinni być regularnie szkoleni z zakresu ochrony danych i praw sygnalistów. Zapraszamy do KONTAKTU. Firma ODO oferuje zarówno wdrożenie dyrektywy o Sygnalistach, jak również szkolenia pracowników w tym zakresie.
  2. Surowsze egzekwowanie przepisów: Osoby odpowiedzialne za ujawnienie danych powinny ponosić konsekwencje swoich działań, co będzie działać prewencyjnie.
  3. Kampanie społeczne: Zwiększenie świadomości społecznej na temat roli sygnalistów w walce z korupcją i ich prawa do ochrony.
  4. Stworzenie niezależnych organów nadzorczych — Instytucje te powinny monitorować przestrzeganie prawa i reagować na naruszenia.

Podsumowanie

Wyjawienie danych sygnalistki przez ministra to nie tylko naruszenie prawa, ale również poważny problem etyczny. Ochrona osób zgłaszających naruszenia to fundament transparentności i odpowiedzialności instytucji publicznych. Każde odstępstwo od tych zasad osłabia zaufanie społeczne i podważa skuteczność systemu prawnego.

Warto, aby ta sprawa stała się impulsem do wprowadzenia bardziej skutecznych mechanizmów ochrony sygnalistów oraz rozliczania osób, które lekceważą obowiązujące przepisy.

Praca zdalna i hybrydowa a RODO

Praca zdalna i hybrydowa stały się nową normą w wielu firmach, niosąc za sobą liczne korzyści, ale także wyzwania – zwłaszcza w obszarze ochrony danych osobowych. W dobie cyfryzacji pracownicy coraz częściej przetwarzają wrażliwe informacje poza biurem, co zwiększa ryzyko naruszeń danych. W tym artykule przedstawiamy, na co zwrócić uwagę i jakie działania podjąć, aby skutecznie chronić dane osobowe w środowisku zdalnym.

1. Najczęstsze zagrożenia

Podczas pracy zdalnej i hybrydowej dane osobowe są narażone na różne zagrożenia, takie jak:

  • Nieodpowiednie zabezpieczenie sieci domowej – wiele osób korzysta z niezabezpieczonych lub słabo zabezpieczonych sieci Wi-Fi.
  • Utrata urządzeń – laptopy, tablety czy smartfony mogą zostać zgubione lub skradzione, co prowadzi do ryzyka wycieku danych.
  • Korzystanie z publicznych sieci Wi-Fi – brak szyfrowania sprawia, że dane przesyłane przez te sieci mogą zostać przechwycone przez cyberprzestępców.
  • Brak świadomości pracowników – nieprzestrzeganie zasad bezpieczeństwa (np. przechowywanie danych na prywatnych nośnikach lub używanie słabych haseł) to częsty problem.

2. Najlepsze praktyki ochrony danych osobowych w pracy zdalnej i hybrydowej

a) Zabezpieczenie urządzeń

Każde urządzenie używane do pracy powinno być odpowiednio chronione:

  • Stosuj mocne, unikalne hasła i regularnie je zmieniaj.
  • Korzystaj z dwuskładnikowego uwierzytelniania (2FA).
  • Upewnij się, że wszystkie urządzenia mają zainstalowane i aktualizowane oprogramowanie antywirusowe.

b) Bezpieczne łączenie się z siecią

  • Pracownicy powinni korzystać z VPN (Virtual Private Network), co zapewnia szyfrowanie połączenia.
  • Sieć domowa powinna być zabezpieczona silnym hasłem i używać nowoczesnych standardów szyfrowania, takich jak WPA3.
  • Należy unikać logowania się do służbowych systemów w publicznych sieciach Wi-Fi.

c) Przechowywanie i przesyłanie danych

  • Pracownicy powinni korzystać wyłącznie z firmowych narzędzi do przesyłania i przechowywania danych (np. zaszyfrowanych chmur lub dedykowanych platform).
  • Ważne dokumenty powinny być zabezpieczone hasłami lub szyfrowane przed wysyłką.

d) Edukacja i szkolenia

Regularne szkolenia dla pracowników są kluczowe. Powinny obejmować:

  • Rozpoznawanie zagrożeń, takich jak phishing czy oszustwa socjotechniczne.
  • Dobre praktyki w zakresie ochrony danych osobowych i przestrzegania polityk firmy.

Zapytaj nas o szkolenia dla Twoich pracowników – KONTAKT.

3. Wymagania RODO w kontekście pracy zdalnej

Praca zdalna nie zwalnia firm z obowiązku przestrzegania RODO. Wręcz przeciwnie – konieczne jest zapewnienie, że przetwarzanie danych odbywa się zgodnie z zasadami bezpieczeństwa, poufności i integralności.

  • Administrator danych powinien wdrożyć odpowiednie środki techniczne i organizacyjne (np. ograniczenie dostępu do danych tylko do uprawnionych osób).
  • Ważne jest prowadzenie rejestru czynności przetwarzania, który obejmuje także procesy zdalne.
  • Firmy powinny regularnie przeprowadzać audyty bezpieczeństwa, aby upewnić się, że stosowane środki są skuteczne.

4. Technologie wspierające ochronę danych

Istnieje wiele narzędzi, które pomagają w ochronie danych w środowisku zdalnym:

  • Menedżery haseł – umożliwiają tworzenie silnych haseł i bezpieczne ich przechowywanie.
  • Programy do szyfrowania danych – chronią poufne informacje przed nieautoryzowanym dostępem.
  • Systemy DLP (Data Loss Prevention) – monitorują przepływ danych w firmie i zapobiegają ich wyciekom.
  • Narzędzia do zarządzania urządzeniami mobilnymi (MDM) – umożliwiają zdalne zarządzanie i zabezpieczanie urządzeń pracowników.

Podsumowanie

Ochrona danych osobowych w pracy zdalnej i hybrydowej to wyzwanie, które wymaga zaangażowania zarówno pracodawców, jak i pracowników. Wdrożenie odpowiednich środków technicznych i organizacyjnych, edukacja zespołu oraz przestrzeganie wymagań RODO pozwolą zminimalizować ryzyko naruszeń. Pamiętajmy, że bezpieczeństwo danych to nie tylko kwestia technologii, ale także dobrych nawyków i świadomości.

Czy RODO nadąża za rozwojem AI?

Sztuczna inteligencja zmienia świat w sposób, który jeszcze kilka lat temu wydawał się science fiction. Wpływa na nasze życie codzienne, od personalizowanych rekomendacji w mediach społecznościowych po zaawansowane systemy diagnostyki medycznej. Jednak dynamiczny rozwój tej technologii rodzi pytanie: czy obowiązujące przepisy ochrony danych osobowych, w tym RODO , są w stanie nadążyć za tym postępem?


Jak AI zmienia krajobraz ochrony danych osobowych?

Sztuczna inteligencja opiera się na danych. Im więcej ich posiada, tym bardziej efektywne są jej działania. Algorytmy AI analizują dane, uczą się na ich podstawie i podejmują decyzje, co otwiera niespotykane wcześniej możliwości. Jednak to właśnie sposób, w jaki dane są zbierane i przetwarzane, staje się powodem do niepokoju.

Kluczowe wyzwania AI w kontekście danych osobowych:

  1. Nieprzejrzystość algorytmów: Systemy AI często działają jak „czarna skrzynka”. Trudno określić, jak i dlaczego dochodzą do określonych wyników. Użytkownik może nie być świadomy, jakie dane zostały użyte i w jakim celu.
  2. Profilowanie: AI jest niezwykle skuteczna w tworzeniu szczegółowych profili użytkowników na podstawie danych z różnych źródeł, co może prowadzić do naruszeń prywatności i dyskryminacji.
  3. Przetwarzanie danych w tle: Aplikacje oparte na AI często działają w sposób niewidoczny dla użytkownika, gromadząc dane bez jego pełnej wiedzy czy zgody.

Co mówi RODO o AI?

RODO, które weszło w życie w 2018 roku, zostało zaprojektowane jako odpowiedź na wyzwania związane z cyfrowym przetwarzaniem danych. Choć stanowi ważny krok w ochronie prywatności, jego przepisy nie zawsze nadążają za rozwojem AI.

Kluczowe aspekty RODO związane z AI:

  • Prawo do informacji: Użytkownik ma prawo wiedzieć, jakie dane są zbierane i w jakim celu. Przy skomplikowanych algorytmach AI wyjaśnienie tego może być trudne.
  • Prawo do bycia zapomnianym: Użytkownik może żądać usunięcia swoich danych, co w systemach AI, gdzie dane są głęboko zintegrowane z procesem uczenia maszynowego, może być skomplikowane.
  • Zakaz profilowania: Automatyczne podejmowanie decyzji mających istotny wpływ na użytkownika (np. odrzucenie kredytu) wymaga zgody użytkownika lub szczególnych przesłanek prawnych.

Chociaż RODO daje solidne narzędzia do ochrony danych, nie uwzględnia w pełni specyfiki działania AI, takich jak dynamiczne przetwarzanie danych czy trudności w wyjaśnieniu algorytmów.


Czy nowe regulacje są potrzebne?

Aby lepiej chronić dane osobowe w erze AI, konieczne są zmiany i uzupełnienia w obowiązujących przepisach. W Unii Europejskiej trwają już prace nad AI Act, który ma uzupełnić luki prawne w zakresie stosowania sztucznej inteligencji. Ma on wprowadzić m.in.:

  • Klasyfikację ryzyka AI – od niskiego do wysokiego, w zależności od potencjalnych zagrożeń dla praw i wolności obywateli.
  • Wymogi przejrzystości – firmy będą zobowiązane do ujawniania, jak działają ich systemy i jakie dane są przetwarzane.
  • Normy etyczne – AI ma działać zgodnie z zasadami niedyskryminacji i ochrony prywatności.

Jak możemy chronić dane osobowe w dobie AI?

  1. Edukacja użytkowników i pracowników: Każdy powinien znać swoje prawa w zakresie ochrony danych i być świadomy, jakie informacje udostępnia systemom AI i jak poprawnie przetwarzać dane korzystając z AI w swojej firmie – zapraszamy na najbliższe szkolenie stacjonarne!
  2. Transparentność technologii: Firmy rozwijające AI muszą dążyć do większej przejrzystości, zarówno w zakresie działania algorytmów, jak i sposobów przetwarzania danych.
  3. Rozwój technologii ochrony danych: Nowe rozwiązania technologiczne, takie jak anonimizacja danych czy systemy umożliwiające wycofanie zgody, mogą zwiększyć bezpieczeństwo.
  4. Współpraca z ekspertami – wsparcie we wprowadzeniu odpowiednich regulacji dostosowanie systemów, polityk i działań zgodnych z ochroną danych osobowych. Zapraszamy do kontaktu.

Podsumowanie

Rozwój sztucznej inteligencji jest nieunikniony, ale nie może odbywać się kosztem naszej prywatności. RODO daje solidne podstawy ochrony danych osobowych, jednak wymaga dostosowania do specyfiki AI. Kluczowe będą nowe regulacje, takie jak AI Act, ale także odpowiedzialność firm i świadomość użytkowników.

Atak hakerski na Super-Pharm

Atak hakerski na serwis Super-Pharm: Jakie kroki podjęto w celu ochrony danych klientów?

W październiku 2024 r. serwis internetowy Super-Pharm, oferujący sprzedaż produktów drogeryjnych i aptecznych, padł ofiarą ataku hakerskiego, który skutkował naruszeniem ochrony danych osobowych klientów. Poniżej przedstawiamy szczegóły incydentu, działania naprawcze oraz wskazówki dla użytkowników, jak zadbać o swoje bezpieczeństwo.

Jak doszło do incydentu?

Atak wykorzystał lukę w systemie Adobe Commerce (znanym też jako Magento), który obsługuje sklep internetowy Super-Pharm. Błąd ten umożliwił osobom nieuprawnionym dostęp do danych zamówień i rezerwacji klientów, w tym imion, nazwisk, adresów e-mail, numerów telefonów i adresów dostawy. Firma podkreśla, że naruszenie nie dotyczyło danych logowania ani uczestnictwa w Klubie Super-Pharm czy aplikacji mobilnej.

Jakie kroki podjęto w odpowiedzi?

W reakcji na incydent Super-Pharm natychmiast wdrożył działania naprawcze, współpracując z zewnętrznym dostawcą systemu. Główne kroki obejmują:

  1. Zablokowanie dostępu dla atakującego – dostęp do systemu został natychmiast zablokowany.
  2. Naprawa luki i dodatkowe zabezpieczenia – dostawca usunął wykrytą lukę, a także wdrożył dodatkowe narzędzia ochrony danych.
  3. Powiadomienie odpowiednich organów – incydent został zgłoszony do Urzędu Ochrony Danych Osobowych, policji oraz CERT Polska, co ma na celu szybszą reakcję i prewencję kolejnych naruszeń.
  4. Dodatkowy audyt bezpieczeństwa – firma przeprowadziła szczegółowy audyt, aby zidentyfikować przyczyny naruszenia i wzmocnić środki ochronne.
  5. Monitorowanie sieci – stale monitorowane są zasoby sieci, aby wykryć wszelkie próby nieuprawnionego ujawnienia danych.

Potencjalne konsekwencje dla użytkowników

Dane, które mogły zostać przechwycone, obejmują informacje kontaktowe (np. e-mail, telefon) oraz dane dotyczące zamówień. To może prowadzić do:

  • Spamowania – użytkownicy mogą otrzymywać niechciane wiadomości reklamowe.
  • Phishingu – istnieje ryzyko prób wyłudzenia danych przez fałszywe wiadomości od rzekomo „zaufanych” instytucji.
  • Nieautoryzowanego użycia e-maila – adresy e-mail mogą zostać użyte do rejestracji kont bez zgody właścicieli.

Jak chronić swoje dane?

Aby zminimalizować ryzyko wykorzystania danych w celach przestępczych, Super-Pharm zaleca:

  • Ostrożność w sprawdzaniu nadawców wiadomości, w tym unikanie klikania w podejrzane linki.
  • Ignorowanie próśb o podanie danych osobowych w odpowiedzi na podejrzane e-maile.
  • Nieklikanie w linki i załączniki z nieznanych źródeł.
  • Zgłaszanie wszelkich podejrzanych aktywności odpowiednim organom, w tym policji i Urzędowi Ochrony Danych Osobowych.

Podsumowanie

Atak na Super-Pharm stanowi przypomnienie o tym, jak ważna jest ochrona danych w czasach rosnących zagrożeń cybernetycznych. Firma szybko podjęła działania w celu zabezpieczenia danych klientów, jednak użytkownicy powinni również zadbać o swoje bezpieczeństwo, stosując się do powyższych wskazówek.

Ochrona danych to proces ciągły, który wymaga stałego monitorowania i wdrażania odpowiednich środków, zarówno przez firmy, jak i przez użytkowników, aby zapobiec podobnym naruszeniom w przyszłości.

Kara dla Polski za brak wdrożonej dyrektywy o Sygnalistach

W związku z tym, że nie zostały podjęte niezbędne działania, w celu wprowadzenia dyrektywy o ochronie sygnalistów, do krajowego prawa TSUE nałożył karę finansową na Polskę. 

Mimo że projekt ustawy już trafił do Sejmu, to Polska będzie zobowiązana do zapłacenia kary finansowej oraz ryczałtu za niedochowanie terminu wdrożenia, która wynosi 40 tysięcy euro dziennie (od dnia ogłoszenia wyroku do dni wdrożenia dyrektywy) oraz ryczałt w wysokości 7 milionów euro.

Przybliżamy podstawowe założenia dyrektywy. 

Sygnaliści to osoby, które zgłaszają nieprawidłowości lub nielegalne działania w miejscu pracy lub społeczeństwie. Aby zapewnić im odpowiednią ochronę i zachęcić do ujawniania nieprawidłowości, Unia Europejska przyjęła Dyrektywę dotyczącą ochrony sygnalistów. Przyjrzyjmy się bliżej temu zagadnieniu.

1. Co to jest dyrektywa o sygnalistach?

Dyrektywa Unii Europejskiej w sprawie ochrony sygnalistów jest prawem, które ma na celu zapewnienie ochrony sygnalistom, aby mogli bezpiecznie zgłaszać nieprawidłowości, nadużycia, korupcję lub nielegalne działania. Dyrektywa obejmuje różne sektory, takie jak sektor publiczny, finanse, ochrona środowiska, zdrowie i wiele innych.

2. Główne cele dyrektywy:

– Zapewnienie bezpiecznego i poufnego zgłaszania nieprawidłowości.

– Ochrona sygnalistów przed represjami, takimi jak zwolnienie z pracy, szykanowanie lub dyskryminacja.

– Ustanowienie mechanizmów, które umożliwiają składanie raportów i dochodzenie w sprawach zgłoszonych przez sygnalistów.

– Zwiększenie transparentności i odpowiedzialności w miejscu pracy oraz społeczeństwie jako całości.

3. Obowiązki pracodawców:

Dyrektywa nakłada na pracodawców obowiązek stworzenia odpowiednich mechanizmów ochrony sygnalistów. Pracodawcy powinni zapewnić, że sygnaliści mogą zgłaszać nieprawidłowości w sposób poufny i bezpieczny. Ponadto, pracodawcy są zobowiązani do przeprowadzania dochodzeń w sprawach zgłoszonych przez sygnalistów i podjęcia odpowiednich działań w celu rozwiązania problemów.

4. Korzyści dla społeczeństwa:

Dyrektywa o sygnalistach przynosi liczne korzyści dla społeczeństwa jako całości. Dzięki możliwości zgłaszania nieprawidłowości, sygnaliści przyczyniają się do odkrywania i zapobiegania nadużyciom, korupcji i innym nielegalnym działaniom. To z kolei prowadzi do zwiększenia transparentności, poprawy zarządzania i wzrostu zaufania społecznego.

Dyrektywa Unii Europejskiej w sprawie ochrony sygnalistów jest ważnym krokiem w zapewnianiu bezpieczeństwa i ochrony dla tych, którzy odważają się zgłaszać nieprawidłowości. Dzięki niej sygnaliści mają teraz narzędzia i ochronę, które pozwalają im działać w interesie społeczeństwa. Ochrona sygnalistów przyczynia się do budowania lepszej i bardziej transparentnej Europy.

Atak DDOS

Dzisiaj pochylimy się nad jednym z najczęściej występujących ataków hakerskich, które atakują sieć, komputery czy systemy, a ich celem jest uniemożliwienie z ich korzystania. Mowa oczywiście o ataku DDOS.

Na czym on polega? Jest to atak przeprowadzony z wielu urządzeń (telefon lub komputer) jednocześnie. Ważne jest by nośniki te były podłączone do Internetu, dzięki czemu hakerzy przejmują nad nimi kontrolę. Ofiarami najczęściej padają urządzenia, które nie mają wcześniej zainstalowanego programu antywirusowego, a ich posiadacze często nie mają świadomości o przejęciu ich sprzętu. Kiedy więc hakerzy przejmą już dane urządzenie rozpoczynają jednoczesną próbę wejścia na daną stronę www lub system/sieć, którą chcą zaatakować. Oczywiście atak ten nie musi dotyczyć jedynie próby wywołania strony, ale również innych żądań, np. Jednoczesna próba kupna w sklepie Internetowym i osłabienie/wyłączenie działania serwerów. Działania te prowadzą do przerwy w działaniu danego zasobu, a co za tym idzie strat finansowych, czy tez wizerunkowych.

Jak więc uniknąć ataku? Jednym ze sposobów, który wydaje się być najbardziej skutecznym jest oddanie witryny/sieci w ręce profesjonalistów, którzy ustawiając odpowiednie zabezpieczenia strony i pozwolą uniknąć ataku. Zabezpieczenia te pozwolą wcześniej (systemowo) przyjrzeć się każdej próbie wejścia na stronę i odrzucą ta najbardziej niewiarygodne.

Przykłady ataków DDOS, które naraziły na szwank wizerunek firm:

Atak na Netię

TOP 5 ataków DDOS

Hakerzy zajęli strony GPW

Co oznacza brak współpracy z UODO

Często podczas szkoleń, wdrożeń, czy audytów RODO powtarzamy, jak ważna jest współpraca z organem nadzorczym. Również UODO cyklicznie w swoich komunikatorach przypomina o tym ważnym obowiązku prezentując kary, które co jakiś czas nakłada na administratorów w związku z brakiem współpracy z UODO.

W ramach stosowania rozporządzenia o ochronie danych, administrator ma obowiązek przekazać organowi nadzorczemu dostęp do wszelkich danych osobowych, które w ramach działalności administratora są przetwarzane (w tym do pomieszczeń, czy sprzętów).

Dlaczego sprawne podjęcie współpracy jest tak ważne? Otóż korzystanie z wyżej wymienionych uprawnień znacznie usprawnia wykonywanie obowiązków przez UODO w ramach prowadzonych działań i postępowań wyjaśniających. Często jednak administratorzy nie stosują się do wynikających z dyrektywy zasad, co wymusza na organie nadzorczym nakładanie kar administracyjnych.

Kiedy organ nadzorczy może nałożyć karę administracyjną?

ODO Szkolenia w ramach swojej działalności przeprowadza sprawnie proces wdrożenia RODO w firmach i instytucjach publicznych. Częścią wdrożenia są również rozmowy / szkolenia pracowników, podczas których wyjaśniamy również jakie dane i w jaki sposób można prezentować np. podczas audytów firm zewnętrznych. Ponadto skupiamy się również na samym podejściu do organu nadzorczego uczulając pracowników/administratorów na to, jak odpowiednio zachować się podczas kontroli organu nadzorczego, czy poprawnie odpowiedzieć na pisma wzywające do wyjaśnień.

Zainteresowany szkoleniem RODO w Twojej firmie? Skontaktuj się z nami

5 urodziny RODO

25 maja 2023 roku minęło 5 lat odkąd zaczęło obowiązywać unijne ogólne rozporządzenie o ochronie danych osobowych!
5 lat to dobry czas na podsumowania, czy ocenę. Trudno jednak jednoznacznie określić co w RODO się udało, a co mogłoby pójść lepiej.
Początki wdrażania RODO to czas wielu absurdów… chociażby niewywoływanie po imieniu pacjentów w przychodniach i określanie ich nazwami zwierząt/miast, itp. o czym wielokrotnie mogliśmy czytać w rozchodzących się viralowo postach w mediach społecznościowych, czy prasie.
Do tej pory niestety z tymi absurdami się mierzymy, z pewną nadinterpretacją, która wynika z nieznajomości przepisów lub niepewności w ich stosowaniu przez administratorów, co spowodowane jest strachem przed wysokimi karami finansowymi.
RODO wykształciło w nas niezwykle ważne cechy: świadomość i czujność!
Świadomość dotyczącą ochrony danych osobowych i wzmożoną czujność w przypadku ich nadmiernego (w naszej opinii) przetwarzania – na pewno zwracamy obecnie większą uwagę na to dlaczego to akurat do nas co rusz dzwoni telefon z ofertą fotowoltaiki lub też otrzymujemy kolejny raz tego samego maila z ofertą – zaczynamy drążyć, czytać, zwracamy większą uwagę na zapisy w politykach prywatności lub też na wyrażane przez nas zgody marketingowe.


Eksperci Odo Szkolenia czują się poniekąd odpowiedzialni za budowanie tej świadomości – chociażby poprzez organizowane w ramach Akademii RODO bezpłatne webinary i szkolenia. Sporo mówimy właśnie o naruszeniach, o „ludzkim” podejściu do tematów wdrożenia RODO, analizujemy aktualne trendy rynkowe, ale przede wszystkim odpowiadamy na Wasze pytania i wątpliwości! O Akademii RODO.

0
    Twój koszyk
    Twój koszyk jest postyPowrót do sklepu