Furnizorul de software NTT DATA România a fost sancționat cu 25.000 de euro pentru o încălcare a securității datelor. O investigație a constatat că, în urma unui atac cibernetic, au fost accesate ilegal informații personale ale unui număr important de persoane. Autoritatea pentru protecția datelor a criticat lipsa măsurilor de siguranță și necomunicarea incidentului în termenul legal.

ACTUALIZARE (14:17) NTT Data România a declarat, într-un răspuns transmis, că a implementat măsuri îmbunătățite de securitate după atacul cibernetic din vara anului 2024.

• „În legătură cu incidentul petrecut acum nouă luni, precizăm că accesul la sistemul compromis a fost blocat rapid de experții noștri în securitate cibernetică. Această acțiune promptă a limitat considerabil volumul de date compromise, comparativ cu totalitatea datelor disponibile în sistem. ”
• „Izolarea sistemului afectat a prevenit extinderea amenințării către alte zone. Angajamentul NTT DATA România de a proteja datele gestionate este susținut de un set de măsuri tehnologice implementate pentru a spori rezistența la orice potențială acțiune ostilă,” au precizat reprezentanții NTT Data România.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în februarie 2025, o investigație și a constatat încălcări ale Regulamentului UE privind protecția datelor (GDPR), în special legate de măsurile de securitate și notificarea incidentului.

Ancheta a început după ce NTT Data România a notificat autoritatea despre incidentul de securitate, însă notificarea nu a fost făcută în termenul impus de lege.

Care date au fost compromise în atacul cibernetic

S-a constatat că, în urma atacului cibernetic, infrastructura informatică a companiei a fost accesată neautorizat, rezultând extragerea ilegală a datelor personale.

• „În acest context, precizăm că atacul a condus la accesul neautorizat la date personale ale unui număr semnificativ de persoane afectate, inclusiv: nume, prenume, semnătură, adresă, număr de telefon, adresă de e-mail, sex, naționalitate, copii de pe documente de identitate, acte de căsătorie, pașapoarte, certificate de naștere, informații despre activități profesionale, date financiare: facturi, contracte, bugete, informații educaționale (înregistrări de cursuri, CV-uri, diplome) și date sensibile referitoare la sănătatea angajaților,” se arată în comunicat.

Autoritatea a considerat că NTT Data România „nu a implementat măsuri tehnice și organizatorice adecvate pentru protecția datelor, nu a evaluat eficiența acestora și nu a asigurat confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor informatice.”

Compania a achitat amenda aplicată.