VB: 70.000 EUR za DPP Law Ltd
Nadzorni organ je odvetniško družbo kaznoval, ker niso izvajali ustreznih tehničnih in organizacijskih ukrepov, kar je privedlo do kibernetskega napada in javne objave podatkov.
Odločitev je bila objavljena 16. 4. 2025
Britanski nadzorni organ (ICO) je družbo DPP Law Ltd (DPP) kaznoval, ker niso uvedli ustreznih ukrepov za zagotovitev varnosti osebnih podatkov v elektronski obliki. Hekerji so pridobili dostop do omrežja in ukradli velike količine podatkov prek redko uporabljenega skrbniškega računa, ki ni imel večfaktorske avtentikacije (MFA).
DPP Law se specializira na področju prava v zvezi s kriminalom, vojsko, družinskimi goljufijami, spolnimi delikti in ukrepi proti policiji. Sama narava tega področja pomeni, da so odgovorni za zelo občutljive podatke in podatke posebne vrste, vključno s tajnimi informacijami. Ker so informacije, ki so jih ukradli napadalci, razkrile zasebne podrobnosti o določljivih posameznikih, je DPP v skladu z zakonom odgovoren, da zagotovi njihovo ustrezno zaščito.
Andy Curry, direktor za pregon in preiskave pri ICO, je dejal:
»Naša preiskava je razkrila pomanjkljivosti v varnostnih praksah DPP, zaradi katerih so bili podatki ranljivi za krajo. Z objavo napak, ki so privedle do tega kibernetskega napada, ponovno poudarjamo potrebo, da vse organizacije nenehno ocenjujejo svoje okvire kibernetske varnosti in ravnajo odgovorno pri uvajanju robustnih ukrepov za preprečevanje podobnih incidentov. Naša preiskava dokazuje, da bomo od organizacij zahtevali odgovornost za neizvedeno obveščanje, kjer je obstajala jasna obveznost, da to storijo, ko se incident zgodi. Varstvo podatkov ni opcijsko. To je zakonska obveznost in ta kazen bi morala služiti kot jasno sporočilo: neizpolnjevanje zaščite informacij, ki vam jih ljudje zaupajo, ima resne finančne posledice in posledice za ugled."
Podrobnosti o kibernetskem napadu
Junija 2022 je bil proti DPP sprožen kibernetski napad, ki je za več kot teden dni vplival na dostop do informacijskih sistemov podjetja. Zunanje svetovalno podjetje je ugotovilo, da so napadalci s tehniko napada z grobo silo (»brute force hacking«) pridobili dostop do skrbniškega računa, ki je bil uporabljen za dostop do sistema za upravljanje primerov. To je napadalcem omogočilo premikanje po DPP-jevi informacijski mreži in krajo 32 GB podatkov, kar je DPP odkril šele, ko jih je kontaktirala Nacionalna agencija za boj proti kriminalu in jih obvestila, da so bile informacije v zvezi z njihovimi strankami objavljene na temnem spletu. DPP je menil, da izguba dostopa do osebnih podatkov ne predstavlja kršitve varnosti osebnih podatkov, zato je o dogodek ICO obvestil šele 43 dni po tem, ko je zanj izvedel.
Celotna odločitev je dostopna tukaj
Vir: ICO
Naslovna slika: RawPixel
