Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancționat compania orădeană PGS Sofa&CO SRL cu o amendă de 40.663 de lei, echivalentul a 8.000 de euro, în urma unei breșe grave de securitate cauzate de un atac cibernetic. Incidentul a afectat datele personale ale unui număr semnificativ de angajați, clienți și colaboratori ai firmei.

Investigația a fost declanșată după ce compania a notificat autoritatea, conform obligațiilor legale prevăzute de art. 33 din Regulamentul GDPR. În timpul verificărilor, specialiștii ANSPDCP au constatat că hackerii au reușit să acceseze infrastructura informatică a operatorului și să blocheze accesul intern la sistemele proprii.

„În urma atacului cibernetic, a fost accesată și totodată restricționat accesul operatorului la infrastructura informatică proprie”, se arată în comunicatul oficial.

Printre datele compromise se numără informații de identificare, salariile angajaților, conturi bancare ale angajaților, dar și conturi bancare ale clienților și colaboratorilor—un set de date considerat extrem de sensibil, cu risc major de utilizare frauduloasă.

ANSPDCP a concluzionat că firma nu a implementat măsuri tehnice și organizatorice suficiente pentru protecția datelor, încălcând art. 32 din GDPR. Lipsa testării periodice a sistemelor, absența unor proceduri stricte de securitate și nivelul insuficient de protecție oferit datelor au dus la aplicarea sancțiunii financiare.

Pe lângă amendă, autoritatea a impus operatorului o măsură corectivă, obligându-l să implementeze urgent sisteme de securitate îmbunătățite. Printre acestea se numără introducerea autentificării multifactoriale pentru accesul la distanță în infrastructura IT și stabilirea unei politici stricte de complexitate a parolelor utilizate de administratori și utilizatori privilegiați.

Incidentul readuce în atenție vulnerabilitatea companiilor locale în fața atacurilor cibernetice și necesitatea investițiilor constante în securitatea datelor. Autoritatea reamintește operatorilor obligația de a proteja informațiile personale conform standardelor europene, precum și responsabilitatea de a evalua și actualiza permanent măsurile de securitate.