Un important furnizor de soluții software din România, în vizorul ANSPDCP. Amenda uriașă primită în urma unui atac cibernetic

NTT Data România, furnizor de soluții software și parte a grupului japonez NTT DATA, a fost amendată cu 25.000 de euro de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), după ce un atac cibernetic a dus la accesarea neautorizată a datelor personale ale unui număr semnificativ de persoane.

Incidentul a avut loc în vara anului 2024, dar compania nu a notificat autoritățile în termenul legal de 72 de ore, ceea ce a dus la o încălcare a reglementărilor GDPR.

Ce s-a întâmplat, de fapt. Atacul cibernetic care a încurcat lucrurile

Atacul cibernetic a afectat infrastructura informatică a NTT Data România și a permis hackerilor să extragă o serie de date sensibile.

Printre informațiile compromise se numără nume, prenume, semnătura, adresa, numărul de telefon, adresa de e-mail, dar și informații mai detaliate precum copii de pe acte de identitate, certificate de căsătorie, pașapoarte, certificate de naștere, informații despre locul de muncă, documente financiare (facturi, contracte, planuri de buget) și informații educaționale (CV-uri, diplome de studii, participări la cursuri de formare).

Elev găsit inconștient în toaleta școlii. Ce au descoperit profesorii lângă adolescent, a fost dus de urgență la spital

Sămânță românească sau hibridă? Cum alegi cel mai bun soi de castraveți pentru grădina ta

Mai mult, au fost accesate date sensibile legate de sănătatea angajaților, ceea ce a sporit gravitatea incidentului.

Investigația a fost demarată de autorități după ce NTT Data România a notificat incidentul, dar cu întârziere, încălcând articolul 33 din Regulamentul UE 2016/679, care prevede că notificarea unei breșe de securitate trebuie făcută în termen de 72 de ore de la constatarea incidentului.

În urma evaluării, autoritatea a constatat că firma nu a implementat măsuri tehnice și organizatorice adecvate pentru protejarea datelor personale, neefectuând evaluări periodice ale securității datelor și ale eficienței măsurilor aplicate.

Ce se va întâmpla pe viitor

Reprezentanții NTT Data România au explicat că, imediat după detectarea atacului cibernetic, accesul la sistemul compromis a fost restricționat rapid, iar măsurile de securitate au fost întărite pentru a limita daunele, potrivit HotNews.

Aceștia au adăugat că, datorită acțiunilor rapide ale echipelor de securitate cibernetică, impactul asupra datelor a fost minimizat, iar amenințarea nu s-a extins către alte zone ale infrastructurii. De asemenea, compania a anunțat că a implementat măsuri suplimentare pentru a preveni atacuri similare pe viitor.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a concluzionat că NTT Data România a încălcat prevederile GDPR, care stipulează obligațiile operatorilor de date în ceea ce privește protecția acestora și notificarea promptă a breșelor de securitate.

În urma anchetei, compania a plătit amenda contravențională menționată și a promis, conform sursei citate, să întărească măsurile de protecție a datelor personale gestionate.