Italiaanse psychologen beboet voor lekken gevoelige data bij ransomware-aanval
De Italiaanse privacytoezichthouder GPDP heeft de Orde van Psychologen van Lombardije een boete van 30.000 euro opgelegd wegens het lekken van gevoelige gegevens bij een ransomware-aanval vorig jaar. Daarbij werd allerlei data versleuteld en zo'n vijf gigabyte aan gegevens buitgemaakt met informatie van drieduizend personen. De informatie werd vervolgens op internet gepubliceerd.
Volgens de GPDP had de Orde de beveiliging niet op orde. Zo kregen de aanvallers via gestolen inloggegevens of een bruteforce-aanval toegang tot een server die via RDP toegankelijk was. Verder bleek de Orde geen multifactorauthenticatie (MFA) toe te passen en schoot de monitoring op verdachte activiteiten tekort. De gestolen data betrof gevoelige informatie van patiënten, waaronder ook minderjarigen, alsmede psychologen tegen wie tuchtprocedures waren gestart.
Concreet bestond de gelekte data uit bijzondere persoonsgegevens, waaronder geloofsovertuiging, vakbondslidmaatschap, seksuele geaardheid, gezondheidsinformatie en gegevens met betrekking tot criminele veroordelingen. De Orde besloot de aanvallers niet te betalen, waarop die alle gestolen gegevens op internet publiceerden.
Door het niet treffen van adequate technische en organisatorische maatregelen voor het beschermen van persoonsgegevens is de AVG overtreden, aldus de GPDP. Die besloot de Orde, mede vanwege de aard van de organisatie en het feit dat inmiddels wel allerlei maatregelen zijn getroffen, uiteindelijk een boete van 30.000 euro op te leggen.
(Wat vervolgens de vraag doet opdoemen of het wel hackers waren, in een land als Italië met zijn rijke geschiedenis aan vermenging criminaliteit en politiek,weet je het maar nooit)
Uit de machinevertaling van de rechterlijke uitspraak kan ik dit niet afleiden en had ik dit ook niet verwacht.
Uit de machinevertaling van de rechterlijke uitspraak kan ik dit niet afleiden en had ik dit ook niet verwacht.
Zit wat in, mijn Italiaans is ook wat roestig. Betere vertaalmachine, zou handig zijn.
Uit de machinevertaling van de rechterlijke uitspraak kan ik dit niet afleiden en had ik dit ook niet verwacht.
Dat gaal ik niet uit dit artikel. Wat ik uit dit artikel haal, is dat het de Orde kwalijk wordt genomen de beveiliging niet op orde te hebben gehad, waardoor überhaupt zo makkelijk de gegevens buitgemaakt konden worden.
Niet alleen dat, ook de namen van degene die deze gegevens ingevoerd hebben. In Italië heb je kerk en paus, italianen hoeven niet naar de psycholoog van de Orde, die snappen al hoe de wereld in elkaar zit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?