Duży wyciek danych i wysoka kara UODO w efekcie niewłaściwej analizy ryzyka
Wyciek danych osobowych wskutek ataku hakerskiego doprowadził do ukarania jednej ze spółek działających w branży medycznej. Kara wymierzona w wysokości 1,5 mln zł przez Prezesa Urzędu Ochrona Danych osobowych była wynikiem niewłaściwie przeprowadzonej analizy ryzyka RODO i nieprzestrzegania reguł przyjętych w wewnętrznej dokumentacji ochrony danych. Szczegóły w artykule.
Opracowanie: Michał Kowalski
Duży wyciek danych osobowych pacjentów w wyniku phishingu
W wyniku ataku hakerskiego doszło do wycieku danych osobowych i pracowników działającej w branży medycznej spółce American Heart of Poland S.A. Hakerzy najprawdopodobniej w wyniku ataku phishingowego uzyskali dostęp do danych ok. 21 tys. osób takich jak nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail. Skala wycieku była więc bardzo duża.
Spółka dowiedziała się o wycieku danych, gdy otrzymała od hakerów żądanie 3 mln dolarów okupu za nieujawnienie wykradzionych danych. Zawiadomiła wówczas o incydencie Prezesa Urzędu Ochrony Danych, a także osoby, których wykradzione dane wyciekły.
Niewłaściwe środki bezpieczeństwa danych
W toku postępowania Prezes UODO stwierdził nieprawidłowości w postępowaniu spółki. Okazało się, że spółka nie wdrożyła adekwatnych środków bezpieczeństwa danych osboowych i nie była w stanie ustalić przyczyny wycieku. Nadto nie przestrzegała przyjętych przez siebie w dokumentacji ochrony danych środków bezpieczeństwa.
Spółka przechowywała informacje o wynikach testów na COVID na niezabezpieczonych dyskach sieciowych.
Brak zabezpieczenia danych w chmurze
Zarzuty dotyczyły także niewystarczającego zabezpieczenia platformy chmurowej wykorzystywanej do przechowywania danych osobowych. Część serwerów nie miało zapewnionego aktualnego wsparcia technicznego producenta, nadto oprogramowanie nie zostało w pełni zaktualizowane. To w ocenie Prezesa UODO mogło przyczynić się do powodzenia ataku hakerskiego.
Niewłaściwie przeprowadzona analiza ryzyka RODO
Spółka argumentowała, że dokonała oceny poziomu bezpieczeństwa danych osobowych w wewnętrznym audycie, którego celem było przedłużenie ważności certyfikatu ISO/IEC 27001:2013. Okazało się jednak, ze ocena ta (będąca w istocie analizą ryzyka) była błędna. Spółka oceniła bowiem, że ryzyko jest co najwyżej średnie. Tymczasem analiza ryzyka, jak podkreślił Prezes UODO, nie może być pozorna, lecz powinna uwzględniać realne zagrożenia dla przetwarzanych danych. W efekcie spółka nie wdrożyła adekwatnych do poziomu ryzyka środków bezpieczeństwa danych osobowych. Nie przeprowadzała też regularnych testów skuteczności zabezpieczeń systemów informatycznych.
Jak wskazał organ nadzorczy: „nawet jeżeli wśród czynników ryzyka w opracowanej przez spółkę analizie uwzględniono czynniki, które mogły spowodować naruszenia ochrony danych osobowych, nastąpiło to bez możliwości należytego oszacowania poziomów ww. ryzyk. Tym samym analiza ryzyka pozbawiona została kluczowych informacji pozwalających na świadome i planowe zminimalizowanie ryzyk związanych z przetwarzaniem danych oraz na uniknięcie lub ograniczenie wystąpienia naruszeń ochrony danych w przyszłości”.
Wysoka kara UODO nałożona na spółkę
Skala wycieku danych osobowych oraz waga stwierdzonych nieprawidłowości wpłynęła na wysokość administracyjnej kary pieniężnej – 1 440 549 zł. Co więcej, Prezes UODO nakazał spółce przeprowadzenie prawidłowej analizy ryzyka RODO i wdrożenie adekwatnych środków bezpieczeństwa danych. Zobowiązał ją także do poprawienia sposobu przetwarzania danych i wdrożenia zasad regularnego testowania środków bezpieczeństwa.
-
Decyzja Prezesa UODO z 20 maja 2024 r. DKN.5112.35.2021
- Jak zabezpieczyć infrastrukturę informatyczną w związku z powodzią – rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa
- Referencje w procesie zamówień publicznych - jaka jest podstawa przetwarzania danych osobowych wg RODO
- 1,5% podatku na OPP – co z danymi osobowymi darczyńców w zeznaniach podatkowych
- Czy inspektor ochrony danych może obsługiwać zgłoszenia naruszenia prawa od sygnalistów
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
- Ochrona sygnalistów - dane osobowe w zgłoszeniu naruszenia prawa
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
