Atak ransomware i kara UODO dla szpitala
Atak ransomware doprowadził do utraty dostępu do danych osobowych pacjentów i pracowników. W ocenie Prezesa UODO przyczyną wycieku były zaniedbania w zakresie analizy ryzyka RODO i zabezpieczenia danych osobowych. W konsekwencji na placówkę medyczną nałożono karę pieniężną w wysokości 40 tys. zł. Szczegóły w artykule.
Opracowanie: Michał Kowalski
Atak ransomware i utrata danych osobowych pacjentów i pracowników
Szpital doznał ataku hakerskiego w lutym 2022 r. Był to typowy atak typu ransomware polegający na zaszyfrowaniu danych osobowych 30 tys. pacjentów i ponad 1 tys. pracowników a w efekcie utracie dostępu do tych danych.
Ryzyko wycieku danych
Problemem była – ocenie Prezesa Urzędu Ochrony Danych Osobowych – niewłaściwa ocena naruszenia przez placówkę. Administrator uznał bowiem, że atak nie był poważny, ponieważ dane osobowe nie uległy wyciekowi, a jedynie utracono do nich dostęp (placówka otrzymała żądanie zapłacenia okupu). Administrator nie wykazał jednak, że nie doszło np. do skopiowania danych przez hakerów przed ich zaszyfrowaniem.
W wyniku ataku ransomware zaszyfrowano takie dane jak:
-
imię i nazwisko,
-
imiona rodziców,
-
data urodzenia,
-
numer rachunku bankowego,
-
adres zamieszkania lub pobytu,
-
nr PESEL,
-
nazwa użytkownika i/lub hasło,
-
dane dotyczące zarobków lub posiadanego majątku,
-
nazwisko rodowe matki,
-
serię i numer dowodu osobistego,
-
numer telefonu,
-
dane dotyczące zdrowia.
Placówka nie przeprowadziła należytej analizy ryzyka RODO
Poza tym szpital zaniechał przeprowadzenia analizy ryzyka RODO. Placówka nie przedstawiła dokumentów potwierdzających sporządzenie i aktualizację takiej analizy. Jak ustalono, za bezpieczeństwo danych w placówce odpowiadał informatyk, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. W ocenie Prezesa UODO praktyka taka była niewystarczająca a przyjęte środki bezpieczeństwa – nieadekwatne do poziomu ryzyka wiążącego się z przetwarzaniem danych.
Reakcja placówki medycznej na incydent była spóźniona
Organ nadzorczy zwrócił także uwagę na spóźnioną reakcję placówki na cyberatak. Poza jego niewłaściwą oceną jako naruszenia ochrony danych szpital zareagował na incydent dopiero po jego wystąpieniu, wzywając zewnętrznych ekspertów, którzy wskazali luki w zabezpieczeniach i przedstawili rekomendacje zmian. Po incydencie zorganizowano także szkolenia dla personelu placówki dotyczące bezpieczeństwa danych osobowych w systemach IT.
Błędna kwalifikacja naruszenia i brak zawiadomienia podmiotów danych
Kolejny zarzut dotyczył także niewłaściwej reakcji na naruszenie. O ile bowiem szpital zgłosił naruszenie do Prezesa UODO i zawiadomił organa ścigana o uzasadnionym podejrzeniu popełnienia przestępstwa, o tyle nie poinformował o zdarzeniu osób, do których danych utracił dostęp. W ocenie Prezesa UODO ryzyko naruszenia praw i wolności osób fizycznych w związku ze zdarzeniem było zaś wysokie.
W konsekwencji Prezes UODO nałożył na placówkę administracyjną karę pieniężną w wysokości 40 tys. zł i zalecił w terminie 30 dni wdrożenie adekwatnych środków bezpieczeństwa danych oraz zawiadomienie podmiotów danych o naruszeniu.
-
decyzja Prezesa UODO DKN.5131.57.2022
-
uodo.gov.pl
- 4 mln zł kary UODO dla mBanku za brak zawiadomienia podmiotów danych o naruszeniu
- Kara UODO dla Prokuratury Krajowej za naruszenie ochrony danych pokrzywdzonego
- Duży wyciek danych i wysoka kara UODO w efekcie niewłaściwej analizy ryzyka
- Konsekwencje bezprawnego rozpowszechniania wizerunku bez zgody (art. 81 ustawy o prawie autorskim i prawach pokrewnych)
- WSA w Warszawie podtrzymuje karę za brak współpracy z Prezesem Urzędu Ochrony Danych Osobowych
- Za nielegalne przetwarzanie danych osobowych wbrew przepisom RODO grozi odpowiedzialność karna
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
