Správa INPS o narušení ochrany údajov orgánu pre ochranu údajov

(Dr. Giuseppe Gorga) Národný inštitút sociálneho zabezpečenia (INPS) 14. mája 2020 niekoľkokrát porušil protokoly o kybernetickej bezpečnosti na svojich serveroch. Incident bol nahlásený Garantovi na ochranu osobných údajov, ako to vyžaduje čl. 33 GDPR, ktorý stanovuje témy a spôsoby podávania správ.

Porušenie osobných údajov na úkor spoločnosti INPS malo za následok neoprávnený prístup používateľov na hlavnú stránku (www.inps.it) s relatívnym zobrazením osobných údajov tretích strán.

K tomuto „tresku“ došlo z dôvodu veľkého dopytu talianskych občanov o poskytnutie bonusu za nákup služieb stráženia detí (tzv. „Bonus za stráženie detí“) a žiadosť o služby na podporu príjmu , súvisiace s mimoriadnou situáciou z COVID19, ustanovenou legislatívnym výnosom 18/2020.

V tejto súvislosti sa inštitút rozhodol, že na zabezpečenie adekvátnej úrovne použiteľnosti služieb a ochrany pred akýmikoľvek útokmi DDOS použije službu CDN (Content Delivery Network), považovanú za „vhodnú na správu tohto model poskytovania služieb.

Spoločnosť Leonardo je tiež zapojená a poskytuje systémovú podporu vytvorením „technickej tabuľky“ medzi spoločnosťami INPS, Microsoft a Microsoft.

Okrem toho bude inštitút využívať technologickú ponuku spoločnosti Microsoft, pokiaľ ide o distribúciu obsahu, založenú na technológii Akamai. Všetky tieto protiopatrenia sa však ukážu ako neadekvátne na zvládnutie toku žiadostí.

Tvárou v tvár vypuknutiu núdzovej situácie sa spoločnosť INSP drasticky rozhodla pre dočasné zatvorenie svojich webových stránok. Toto rozhodnutie bolo nevyhnutné na optimalizáciu portálu www.inps.it a na obmedzenie prenosu sprostredkovateľov a občanov.

Ďalším ochranným opatrením pre inštitút, ktorého cieľom bolo obmedziť šírenie osobných údajov, bolo vytvorenie osobitného poľa violazlinedatiGDPR@inps.it, ktoré vám umožní zasielať správy a dôkazy týkajúce sa porušenia ochrany údajov.

Z rôznych správ sme pochopili, že údaje zobrazené tretími stranami sa týkali predovšetkým osobných údajov, bydliska a elektronických kontaktov, ktoré zistil počet subjektov nepresahujúcich 819 osôb. 

V tejto súvislosti INPS uviedla, že „s prihliadnutím na typ zobrazovaných údajov a s prihliadnutím na to, že možnosť prezerania prebiehala úplne náhodne a obmedzene v priebehu času subjektmi, ktoré s nimi zjavne nesúvisia a nemajú záujem. […] sa domnieva, že porušenie nemôže predstavovať vysoké riziko pre práva a slobody jednotlivcov “.

Nezanedbateľné sú ďalšie anomálie, ktoré z tejto analýzy vyplynuli, aj keď nie sú priamo spojené s portálom ústavu, ako napríklad neoprávnený prístup k osobným údajom, ku ktorému došlo už 31. marca 2020, a anomálie zistené v kontexte postupu. Odškodnenie COVID-19.

Na záver možno povedať, že záruku ochrany osobných údajov podľa čl. 58, ods. 2, písm. e) Nariadenia nariaďuje INPS, aby bezodkladne oznámila porušenia dotknutých osobných údajov všetkým zúčastneným stranám. Ďalej sa požaduje, aby INPS oznámila, aké iniciatívy boli podniknuté s cieľom vyriešiť problém, a aby poskytla primerane zdokumentovanú spätnú väzbu podľa čl. 157 kódexu, do 20 dní odo dňa prijatia ustanovenia.

To nás musí prinútiť zamyslieť sa nad tým, ako sú naše údaje vždy potenciálne ohrozené, ak v predvolenom nastavení nezvýrazníme všetky možné kritické problémy.

Porušenie osobných údajov voči INPS

| NOVINKY " |