Ühendkuningriigi andmekaitse järelevalveasutus ICO määras 24.10.2022 töötajate andmete kaitseta jätmise eest trahvi 5,1 miljonit eurot ehitusfirmale Interserv Group Ltd., kuivõrd ettevõte jättis rakendamata tehnilised ja organisatoorsed meetmed, mis lihtsustas küberrünnaku läbiviimist.
Rikkumine sai alguse sellest, et ehitusfirma töötaja avas pahavara sisaldava õngitsuskirja. Ettevõtte poolt kasutatud viirusetõrjeprogramm tõrjus küll osa pahavara, kuid häkker pääses siiski töötaja arvutisse ning nakatas mõned serverid ja süsteemid. Juurdepääsu kasutas häkker viirusetõrje desinstallimiseks ning 113 000 töötaja isikuandmete enda kontrolli alla saamiseks. Ründaja krüpteeris isikuandmed ning ettevõte neile enam ligi ei pääsenud. Rünnatud isikuandmete hulgas leidus ka tundlikke ning eriliigilisi andmeid.
Järelevalveasutus leidis, et ettevõte oli jätnud täitmata GDPR artiklis 5(1)(f) ja artiklis 32 sätestatud kohustuse kaitsta isikuandmeid asjakohaste tehniliste ja organisatoorsete meetmete abil. Tegematajätmine muutis isikuandmete vastutava töötleja haavatavaks ning seadis ohtu 113 000 töötaja isikuandmed.
Uurimise käigus avastas järelevalveasutus, et ettevõte kasutas isikuandmete töötlemiseks ilma uuendusteta infosüsteemi. Süsteemi kasutamise riske ei hinnatud, asjakohast lõppseadmeturvet ei rakendatud, nõrkuseotsinguid ei tehtud, läbistustestimisi läbi ei viidud. Töötajatele ei olnud korraldatud asjakohaseid infoturbekoolitusi. Muuhulgas selgus, et üks kahest õngitsuskirja saanud töötajast ei olnud mitte kunagi osalenud isikuandmete kaitse teemalisel koolitusel.
Kokkuvõttes leidis järelevalveasutus, et kõik ülaltoodud eksimused eraldivõetuna ei kujutaks endast artikli 5(1)(f) rikkumist ning ei oleks tõenäoliselt nii tõsiste tagajärgedega. Kuid antud juhtumil suurendas paljude tegematajätmiste kumulatiivne mõju rünnakuriski ning selle tagajärgede negatiivset mõju, mida tuleb hinnata kõnealuse artikli tõsiseks rikkumiseks.
Järelevalveasutus asus seisukohale, et a) ajakohastamata operatsioonisüsteemide ja protokollide kasutamine, vähese lõppseadmeturbe võimaldamine ning töötajate infoturbekoolituse läbi viimata jätmine on vastuolus GDPR artikliga 32(1)(b) ning b) ettevõte jättis täitmata oma kohustuse tagada andmete pidev konfidentsiaalsus, terviklus, kättesaadavus ning töötlemiseks kasutatavate süsteemide ja teenuste taastevõime.
Trahvi määramisel võttis järelevalveasutus arvesse mõjutatu isikuandmete hulka ning asjaolu, et nende hulgas oli ka eriliigilisi andmeid. Isikuandmete hulk ning olemus nõudnuks läbimõeldud turvameetmeid koos asjakohase kontrolli ning järelevalvega. Järelevalveasutuse hinnangul seab ettevõtte suurus ning töödeldavate isikuandmete hulk isikuandmete kaitsele kõrgendatud ootused.
Artikli kirjutamisel kasutatud allikas:
