Generalny Inspektor Danych Osobowych wszczął postępowanie w sprawie jednego z największych w tym roku incydentów naruszenia bazy danych. Z firmy InPost wyciekły rekordy ponad 57 tys. osób – są to pracownicy i współpracownicy firmy, użytkownicy systemów informatycznych wraz z ich hasłami dostępowymi oraz lista około 140 klientów firmy. Dane osobowe wraz z numerami PESEL, dowodami tożsamości i informacjami o zatrudnieniu opublikowano w jednym z serwisów sieci Tor. O sprawie poinformował portal zaufanatrzeciastrona.pl. Wśród nielegalnie przechwyconych i opublikowanych plików były także opisy nieruchomości spółki wraz z ich zabezpieczeniami oraz kontakty InPostu ze służbami, takimi jak prokuratura i policja.

Opublikowane dane osobowe najprawdopodobniej pochodzą m.in. z aplikacji wspierającej zarządzanie ochroną takich informacji w firmie. Sposób przeprowadzenia ataku na razie nie jest znany.

„Większa część organizacji w Polsce do tej pory nie wdrożyła mechanizmów, które pozwalają na monitorowanie swojego bezpieczeństwa oraz szybkie reagowanie w przypadku incydentów.” – komentuje Marcin Lisiecki, menedżer działu cyberbezpieczeństwa w Deloitte.

Zauważa, że zgodnie w wymogami RODO – rozporządzenia o ochronie danych osobowych, które zacznie obowiązywać w maju 2018 r., wycieki trzeba będzie zgłaszać GIODO w ciągu 72 godz. Jednak obecnie w organizacjach czas od złamania zabezpieczeń do wykrycia, że do niego doszło, liczony jest w dniach lub miesiącach.

„Luki w aplikacjach, brak realnych testów bezpieczeństwa, poleganie wyłącznie na formalnych procedurach i nagminne przechowywanie haseł w postaci nieszyfrowanej, ułatwiają przestępcom działanie. Nie pomaga również niska świadomość oraz brak inwestycji w cyberbezpieczeństwo przy jednocześnie rosnącej zależności firm od technologii. Przewidujemy, że ilość i skala wycieków danych będzie się zwiększać” –  mówi ekspert.