Nieuprawniony dostęp do danych pracowników
To czwarty artykuł z serii, w której poruszamy kwestię obowiązków administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym – wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanych przez Europejską Radę Ochrony Danych (EROD).
Przykład 4. Eksfiltracja poczty elektronicznej
Sieć hipermarketów wykryła trzy miesiące po konfiguracji, że niektóre konta poczty elektronicznej zostały zmienione i stworzono reguły, zgodnie z którymi każda wiadomość e-mail zawierająca określone wyrażenia (np. „faktura”, „płatność”, „przelew bankowy”, „uwierzytelnienie karty kredytowej”, „dane rachunku bankowego”) była przenoszona do nieużywanego folderu i przekazywana na zewnętrzny adres e-mail. Ponadto do tego czasu przeprowadzono już atak socjotechniczny, tzn. sprawca ataku, podając się za dostawcę, zmienił dane rachunku bankowego dostawcy na swoje własne. Ponadto wysłano już kilka fałszywych faktur zawierających nowe dane rachunku bankowego.
Czytaj dalej Nieuprawniony dostęp do danych pracowników