VB: 3,68 milijona EUR za software ponudnika
Podjetje Advanced Computer Software Group Ltd je bilo kaznovano, ker niso izvajalo ustreznih varnostnih ukrepov. Med napadom z izsiljevalsko programsko opremo je bilo ogroženih 79.404 oseb.
Odločitev je bila objavljena 1.4.2025
Advanced Computer Software Group Ltd. (obdelovalec) je podjetje za razvoj programske opreme, ki zagotavlja IT storitve in programsko opremo več organizacijam, vključno z NHS v Angliji (upravljavec).
Avgusta 2022 je prišlo do kibernetskega napada, s katerim je povzročitelj pridobil dostop do notranjih sistemov podjetja. To je bilo mogoče z vpisom pravilnega uporabniškega imena in gesla prek računa stranke, napadalec pa je nato lahko onemogočil protivirusne ukrepe in pridobil skrbniške pravice v domeni. Napadalcu je uspelo pridobiti dostop do 19 GB podatkov, napad pa je povzročil obsežne motnje v storitvah NHS. Organizacija je morala več sistemov povsem izključiti in jih vzpostaviti na novo, nekateri sistemi so bili v celoti delujoči šele maja 2023.
Ogroženi so bili osebni podatki skupno 79.404 posameznikov, od tega pri kar 41.196 posameznikih tudi posebne vrste osebnih podatkov. Prišlo je do nepooblaščenega dostopa do demografskih in kontaktnih podatkov, podrobnostih o zaposlitvi, zdravstvenih podatkov ter drugih posebnih vrst osebnih podatkov, vključno z rasnim ali etničnim poreklom ter verskimi ali filozofskimi prepričanji. Zaradi motenj v storitvah, o katerih je NHS poročal nadzornemu organu, je slednji uvedel preiskavo.
Odločitev nadzornega organa
Nadzorni organ je ugotovil, da obdelovalec ni imel vzpostavljenega sistema za izvajanje rednega preverjanja ranljivosti v ogroženih sistemih. Ta praksa je v popolnem nasprotju s smernicami Nacionalnega centra za kibernetsko varnost (NCSC). Obdelovalec je kršil obveznost sprejetja ustreznih tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1)(b) GDPR Združenega kraljestva, ker v svojih sistemih ni izvajal celovitega in rednega preverjanja ranljivosti.
Preiskava je tudi pokazala, da je bilo pridobitev skrbniških pravic mogoče razložiti z izkoriščanjem ranljivosti »ZeroLogon«, ki je bila odkrita in javno objavljena približno dve leti pred incidentom. Čeprav je bilo opravljeno nekaj dela za odpravo te ranljivosti, je nadzorni organ ugotovil, da je bilo to izvedeno brez da bi bila implementacija dokumentirana, obdelovalec pa ni mogel potrditi, ali je bilo to izvedeno pred kršitvijo varnosti. Ker obdelovalec ni v celoti implementiral ustreznih popravkov, je kršil člen 32(1)(b) GDPR Združenega kraljestva.
Med preiskavo je bilo ugotovljeno tudi, da strežnik, na katerem je prišlo do vdora, ni imel omogočene večfaktorske avtentikacije, kar bi lahko preprečilo kršitev varnosti podatkov. Nadzorni organ je izpostavil velik promet obdelovalca in obseg osebnih podatkov, ki jih obdelujejo v svojih sistemih (med 25 in 30 milijoni posameznikov). Pomanjkanje večfaktorske avtentikacije v sistemu, ki je bil ogrožen, pomeni kršitev člena 32(1)(b) GDPR Združenega kraljestva.
Nadzorni organ je kršitev glede na naravo in obseg kategoriziral kot zelo resno. Avgusta 2022 so podjetju izrekli začetno kazen v višini 7,28 milijona evrov, vendar je bila kazen znižana na 3,68 milijona evrov, ker se je obdelovalec strinjal z odločitvijo in plačilom kazni.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
