Atak ransomware doprowadził do utraty dostępu do danych osobowych pacjentów i pracowników. W ocenie Prezesa UODO przyczyną wycieku były zaniedbania w zakresie analizy ryzyka RODO i zabezpieczenia danych osobowych. W konsekwencji na placówkę medyczną nałożono karę pieniężną w wysokości 40 tys. zł. Szczegóły w artykule.
Opracowanie: Michał Kowalski
Szpital doznał ataku hakerskiego w lutym 2022 r. Był to typowy atak typu ransomware polegający na zaszyfrowaniu danych osobowych 30 tys. pacjentów i ponad 1 tys. pracowników a w efekcie utracie dostępu do tych danych.
Problemem była – ocenie Prezesa Urzędu Ochrony Danych Osobowych – niewłaściwa ocena naruszenia przez placówkę. Administrator uznał bowiem, że atak nie był poważny, ponieważ dane osobowe nie uległy wyciekowi, a jedynie utracono do nich dostęp (placówka otrzymała żądanie zapłacenia okupu). Administrator nie wykazał jednak, że nie doszło np. do skopiowania danych przez hakerów przed ich zaszyfrowaniem.
W wyniku ataku ransomware zaszyfrowano takie dane jak:
imię i nazwisko,
imiona rodziców,
data urodzenia,
numer rachunku bankowego,
adres zamieszkania lub pobytu,
nr PESEL,
nazwa użytkownika i/lub hasło,
dane dotyczące zarobków lub posiadanego majątku,
nazwisko rodowe matki,
serię i numer dowodu osobistego,
numer telefonu,
dane dotyczące zdrowia.
Poza tym szpital zaniechał przeprowadzenia analizy ryzyka RODO. Placówka nie przedstawiła dokumentów potwierdzających sporządzenie i aktualizację takiej analizy. Jak ustalono, za bezpieczeństwo danych w placówce odpowiadał informatyk, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. W ocenie Prezesa UODO praktyka taka była niewystarczająca a przyjęte środki bezpieczeństwa – nieadekwatne do poziomu ryzyka wiążącego się z przetwarzaniem danych.
Organ nadzorczy zwrócił także uwagę na spóźnioną reakcję placówki na cyberatak. Poza jego niewłaściwą oceną jako naruszenia ochrony danych szpital zareagował na incydent dopiero po jego wystąpieniu, wzywając zewnętrznych ekspertów, którzy wskazali luki w zabezpieczeniach i przedstawili rekomendacje zmian. Po incydencie zorganizowano także szkolenia dla personelu placówki dotyczące bezpieczeństwa danych osobowych w systemach IT.
Kolejny zarzut dotyczył także niewłaściwej reakcji na naruszenie. O ile bowiem szpital zgłosił naruszenie do Prezesa UODO i zawiadomił organa ścigana o uzasadnionym podejrzeniu popełnienia przestępstwa, o tyle nie poinformował o zdarzeniu osób, do których danych utracił dostęp. W ocenie Prezesa UODO ryzyko naruszenia praw i wolności osób fizycznych w związku ze zdarzeniem było zaś wysokie.
W konsekwencji Prezes UODO nałożył na placówkę administracyjną karę pieniężną w wysokości 40 tys. zł i zalecił w terminie 30 dni wdrożenie adekwatnych środków bezpieczeństwa danych oraz zawiadomienie podmiotów danych o naruszeniu.
decyzja Prezesa UODO DKN.5131.57.2022
uodo.gov.pl
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
