Πρόστιμο 98.000 βρετανικών λιρών (περίπου 116.500 ευρώ) επέβαλε η αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου (ICO) σε δικηγορική εταιρεία για παραβίαση δεδομένων που έλαβε χώρα έπειτα από επίθεση ransomware.
Σύμφωνα με το ιστορικό της υπόθεσης, τον Αύγουστο 2020, η εν λόγω δικηγορική εταιρεία ανακάλυψε ότι είχε γίνει στόχος επίθεσης ransomware.
Με μεταγενέστερη έρευνα διαπιστώθηκε ότι είχαν κρυπτογραφηθεί συνολικά 972.191 αρχεία, εκ των οποίων 24.712 δικαστικά αρχεία.
Εξήντα από αυτά τα αρχεία αφαιρέθηκαν επίσης από τους επιτιθέμενεου και στη συνέχεια δημοσιεύθηκαν σε φόρουμ – παράνομες αγορές δεδομένων.
Τα αρχεία περιείχαν τόσο απλά προσωπικά δεδομένα όσο και ειδικές κατηγορίες προσωπικών δεδομένων, ενώ διέρρευσαν και εμπιστευτικές πληροφορίες μεταξύ πελατών και της εταιρείας.
Ειδικότερα, τα αρχεία περιελάμβαναν ένα ολοκληρωμένο σύνολο προσωπικών δεδομένων, συμπεριλαμβανομένων ιατρικών φακέλων, καταθέσεων μαρτύρων, στοιχεία ανηλίκων, ονομάτων και διευθύνσεων μαρτύρων και θυμάτων σε εγκλήματα υπό διερεύνηση, ακόμα και σε ιδιαίτερα ευαίσθητες υποθέσεις όπως βιασμός και ανθρωποκτονία.
Μεταξύ άλλων, η βρετανική αρχή επεσήμανε ότι τα τεχνικά και οργανωτικά μέτρα για την ασφάλεια εκ μέρους της εταιρείας, όπως για παράδειγμα ο έλεγχος εισόδου και η κρυπτογράφηση, ήταν ανεπαρκή, καθιστώντας εφικτή την επίθεση.
Στο πλαίσιο αυτό, η ICO έκρινε ότι κατά την επίμαχη περίοδο η εταιρεία παραβίασε το άρθρο 5 παρ. 1στ του Γενικού Κανονισμού Προστασίας Δεδομένων, καθώς απέτυχε να υποβάλει τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλειά τους, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Η απόφαση είναι διαθέσιμη στην ιστοσελίδα της ICO.
Πηγή: lawspot.gr