O firmă din România a fost amendată cu aproape 100.000 de lei (echivalentul a 20.000 de euro) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în urma unui incident de securitate cibernetică ce a dus la compromiterea datelor personale ale clienților săi.

Investigația autorității a scos la iveală deficiențe majore în modul de protejare a datelor cu caracter personal, printre care lipsa unor măsuri tehnice și organizatorice adecvate și absența unui sistem eficient de evaluare și testare a riscurilor de securitate.

Totul a pornit de la o notificare de încălcare a securității datelor, care a condus la deschiderea unei anchete oficiale. În cadrul acesteia, s-a descoperit că atacatorii au reușit să pătrundă ilegal în sistemul IT al companiei, accesând baza de date care conținea informații sensibile ale clienților. Datele expuse includ: numele și prenumele, CNP-ul, adresa, numărul de telefon, e-mailul și chiar date bancare.

Ancheta a arătat că firma nu a implementat măsuri suficiente pentru a garanta confidențialitatea, integritatea și disponibilitatea datelor. De asemenea, nu au fost testate periodic măsurile de securitate existente, iar lipsa unui mecanism de audit intern a contribuit la vulnerabilitatea sistemului.

În urma constatărilor, ANSPDCP a solicitat companiei să implementeze un sistem de jurnalizare a accesărilor și încercărilor nereușite de acces la infrastructura sa IT, cu păstrarea acestor fișiere timp de cel puțin 30 de zile și efectuarea de backup periodic asupra acestora.

Acest caz evidențiază importanța critică a unei strategii solide de securitate cibernetică, mai ales în contextul în care orice breșă de securitate poate avea consecințe legale și reputaționale semnificative.