Un atac informatic de tip ransomware a expus datele personale ale angajaților, familiilor acestora și ale clienților unui mare jucător din industria alimentară din România. Firma Agricola International SA a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 5.000 de euro pentru lipsa unor măsuri adecvate de securitate. Incidentul scoate în evidență vulnerabilități serioase în zona de protecție a datelor și pune presiune suplimentară pe companiile din toate sectoarele economice.
Ce date au fost expuse și de ce este grav
Conform comunicatului emis de ANSPDCP, atacul cibernetic asupra Agricola International SA a dus la compromiterea unui volum imens de informații personale. Printre datele afectate se numără numele, prenumele, CNP-ul, adresa, numărul de telefon, actele de identitate scanate, detalii despre starea civilă, soț/soție, părinți, date bancare și istoricul profesional. Gravitatea este accentuată de faptul că nu doar angajații au fost vizați, ci și membrii familiilor acestora și clienții companiei.
Atacul a fost catalogat ca fiind de tip ransomware, ceea ce presupune că datele au fost criptate de către hackeri, care ulterior pot cere recompense în schimbul decriptării sau pur și simplu le pot vinde pe piața neagră. Potrivit Directoratului Național pentru Securitate Cibernetică (DNSC), astfel de atacuri sunt în creștere în România, iar sectorul agroalimentar este tot mai des vizat din cauza infrastructurii digitale adesea învechite.
Lipsa măsurilor de securitate: un exemplu de „așa nu”
Agricola International SA nu a avut implementate măsuri tehnice și organizatorice conforme cu cerințele Regulamentului General privind Protecția Datelor (GDPR). Printre deficiențele constatate se numără lipsa unui sistem de operare cu suport activ, lipsa actualizărilor software, lipsa soluțiilor antivirus moderne și a unui sistem de control al accesului securizat la infrastructura IT (de tip VPN, autentificare multifactorială – MFA, restricționare IP etc.).
ANSPDCP a subliniat că firma nu avea un proces de testare, evaluare și actualizare a eficienței sistemelor de protecție implementate. Cu alte cuvinte, datele personale erau stocate pe servere nesecurizate sau în sisteme care nu beneficiau de protecția minimă necesară în 2025. În contextul în care compania operează într-un sector esențial pentru aprovizionarea populației, astfel de neglijențe devin nu doar o problemă de imagine, ci și una de securitate națională.
Conform legii, companiile au obligația să implementeze măsuri „corespunzătoare riscului” pentru datele prelucrate. În cazul Agricola, s-a dovedit că riscul a fost mare, dar protecția – aproape inexistentă.
hacke
Pe lângă plata amenzii de 5.000 de euro (echivalentul a 25.226 lei), Agricola va trebui să implementeze de urgență o serie de măsuri tehnice și organizatorice impuse de ANSPDCP. Printre acestea:
- instalarea de sisteme de operare actualizate, cu suport activ de la dezvoltatori;
- utilizarea de soluții antivirus complete, configurate și monitorizate pe toate terminalele (PC-uri, laptopuri, servere);
- securizarea accesului la infrastructura internă (VPN, autentificare multifactorială, restricții IP);
- definirea unui proces clar de audit, testare și revizuire periodică a eficienței sistemelor de securitate;
- formarea angajaților în privința bunelor practici privind protecția datelor.
De asemenea, compania ar trebui să notifice individual toate persoanele afectate de incident, explicându-le ce s-a întâmplat, ce date au fost expuse și cum pot limita eventualele pagube.
GDPR-ul este clar: lipsa măsurilor minime de protecție poate duce nu doar la sancțiuni financiare, ci și la daune reputaționale și pierderea încrederii clienților și partenerilor de afaceri. Într-o piață competitivă și digitalizată, un atac informatic poate fi mai periculos decât o criză economică.
Incidentul de la Agricola International SA nu este un caz izolat, ci o dovadă că neglijența în era digitală se plătește. Atât la propriu, cât și la figurat. Dacă lucrezi într-o companie sau ai propriul business, nu aștepta să vină ANSPDCP-ul. Investește în securitate digitală și tratează datele personale cu seriozitate. Altfel, următorul titlu de presă s-ar putea să te includă pe tine.