Ataki na miasta w Stanach Zjednoczonych

Cały czas pojawiają się nowe informacje o atakach ransomwarowych na miasta w USA. W piątek przestały pracować systemy miejskie w Nowym Orleanie. To drugi cyberatak w ciągu kilku dni: kolejny został zgłoszony w mieście Pensacola na Florydzie w zeszłym tygodniu. W połowie listopada ofiarą ransomware padło Biuro ds. Pojazdów Samochodowych w Luizjanie.

W sobotę Urzędnicy Nowego Orleanu poinformowali, że nie było żądań dotyczących okupu i że operacja odzyskiwania danych już się rozpoczyna. Kim LaGrue, dyrektor ds. Informacji, przemawiający na konferencji prasowej z burmistrzem LaToyą Cantrella, powiedział, że miasto nie otrzymało wiadomości od hakerów ani nie otrzymało innych żądań.

NOLA.com poinformowało, że LaGrue określił cyberatak jako „minimalny” i że urzędnicy oczekują szybkiego przejścia do pełnego przywrócenia komputerów do trybu online. NOLA.com donosi, że dokładny charakter i zasięg ataku jest niejasny. Dodał, że około 4000 komputerów będzie musiało zostać oczyszczonych jako środek ostrożności i że dotyczy to również 400 serwerów. Urzędnicy podkreślili, że kopie danych finansowych miasta są archiwizowane w systemie chmurowym.


Rekordowe kary GDPR/RODO

Niemiecki federalny komisarz ds. Ochrony danych i wolności informacji (BfDI) uderzył w dostawcę usług telefonii komórkowej 1&1 Telecommunications, nakładając wysoką grzywnę za naruszenie RODO. Grzywna w wysokości 9,55 mln EUR (10,65 mln USD) jest jedną z największych do tej pory związaną z RODO i wynika z faktu, że BfDI stwierdził, że firma nie egzekwowała art. 32 prawodawstwa europejskiego, który wymaga od przedsiębiorstw podjęcia odpowiednich środków technicznych i organizacyjnych, aby chronić przetwarzanie danych osobowych.

Zgodnie z ustaleniami BfDI osoby dzwoniące do centrów telefonicznych 1&1 Telecommunications mogą odkryć dane osobowe klientów, podając po prostu imię i datę urodzenia, co oznacza, że dane osobowe nie były odpowiednio chronione. Federalny komisarz Ulrich Kelber uznał grzywnę za „wyraźny znak”, że RODO będzie skutecznie egzekwowane w Niemczech.

1&1 Telecommunications jest jednym z największych w Niemczech dostawców usług DSL i usług mobilnych. Jest spółką zależną od dostawcy sieci 1&1 Drillisch, który ma 14 milionów klientów. BfDI pochwalił 1&1 za przejrzystość i współpracę. Od czasu dochodzenia w sprawie braku ochrony danych dostawca dodał dodatkowy krok w celu uwierzytelnienia osoby dzwoniącej przed uzyskaniem informacji o kliencie. BfDI powiedział jednak „pomimo tych środków nałożenie grzywny było konieczne”.

W tym samym dniu, w którym BfDI wydało grzywnę w stosunku do 1&1, niemiecki komisarz ogłosił również, że nakłada karę na dostawcę usług internetowych Rapidata w wysokości 10 000 EUR (11 110 USD) w osobnej sprawie za brak zapewnienia inspektora ochrony danych, zgodnie z wymogami RODO.

Największa do tej pory grzywna orzeczona została w Wielkiej Brytanii. Biuro Komisarza ds. Informacji (ICO) nałożyło na British Airways rekordową grzywnę w wysokości 183 mln GBP (240 mln USD) za „słabe ustalenia w zakresie bezpieczeństwa”, które doprowadziły do kradzieży danych osobowych pół miliona klientów przez hakerów w cyberataku ujawnionym 20-tego września br.


Kary RODO w Polsce

W Niemczech rekordowa kara, a tymczasem w Polsce Wojewódzki Sąd Administracyjny w Warszawie uchylił grzywnę dla Bisnode Polska. Była to pierwsza i jednocześnie najwyższa do tej pory kara nałożona w związku z ochroną danych osobowych.

Póki co nie mamy dostępu do uzasadnienia wyroku, a więc nie będziemy się na ten temat wypowiadać. W sumie mamy w Polsce 5 kar RODO. W kolejce do unieważnienia są kontrowersyjne orzeczenia dla Morele i ClickQuickNow. Oczywiście będzie decydować sąd, ale może się okazać, że mecz skończy się hokejowym wynikiem: UODO-zero, Ukarani a uniewinnieni-pięć.