Amendă uriașă ANSPDCP: Furnizor român de software, vizat de atac cibernetic
Compania NTT Data România, un furnizor de soluții software, a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 25.000 de euro.
Sancțiunea a urmat unui incident informatic din vara lui 2024, în care atacatorii au accesat ilegal date personale ale unui număr considerabil de utilizatori. Compania nu și-a respectat obligația legală de notificare imediată a incidentului.
Incidentul cibernetic la NTT Data România
Atacul cibernetic a compromis infrastructura informatică a NTT Data România, permițând accesul neautorizat la date sensibile ale utilizatorilor.
Informațiile compromise cuprindeau date personale, precum nume, prenume, adrese, numere de telefon, adrese de email, dar și documente mai complexe – copii de acte de identitate, certificate de căsătorie, pașapoarte, certificate de naștere, informații despre angajare, documente financiare (facturi, contracte), informații educaționale (CV-uri, diplome).
De asemenea, au fost accesate informații legate de starea de sănătate a angajaților, majorând astfel gravitatea incidentului.
Autoritatea de supraveghere a investigat incidentul, după ce compania a raportat întârzierea incidentului, încălcând termenul legal de 72 de ore pentru notificare, stabilit de Regulamentul UE 2016/679.
Evaluarea a arătat că NTT Data România nu a implementat măsurile necesare pentru protejarea datelor personale și nu a efectuat evaluări periodice ale securității și eficienței măsurilor de protecție.
Măsuri viitoare și consecințe
Compania a restricționat imediat accesul la sistemul afectat și a implementat măsuri suplimentare de securitate pentru a limita riscul unor noi atacuri.
Acțiunile rapide au redus impactul evenimentului și au prevenit extinderea atacului la alte părți ale infrastructurii. Însă, compamia a recunoscut că nu a respectat prevederile legale de raportare privind protecția datelor personale.
În urma anchetei, NTT Data România a acceptat sancțiunea financiară și s-a angajat să consolideze măsurile de protecție a datelor cu caracter personal.
