photo
13.08.2024

Kara prawie 1,5 mln złotych dla spółki medycznej po ataku hakerskim

Infrastruktura informatyczna Spółki American Heart of Poland SA została zaatakowana przez hakerów, którzy uzyskali w ten sposób dostęp do szczegółowych danych osobowych około 21 tys. osób. Prezes UODO ustalił, że doszło do tego, ponieważ spółka źle szacowała ryzyko dla danych. Dodatkowo w pandemii nie przestrzegała swojej własnej polityki dotyczącej bezpieczeństwa danych.

Nieuprawnione osoby uzyskały dostęp do danych pacjentów i pracowników spółki. Zdarzenie objęło szeroki zakres danych, tj.: nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.

O wycieku danych spółka dowiedziała się od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie Prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem.

Prezes UODO przeprowadził w tej sprawie czynności wyjaśniające i kontrolne, a w ich następstwie wszczął wobec spółki postępowanie administracyjne. 

Ponadto, Prezes UODO w toku przeprowadzonych czynności ustalił, że:

  • spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych, a ponadto nie była w stanie ustalić przyczyny wycieku;
  • spółka nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych, tzn. informacje o wynikach testów na COVID klientów przechowywała na dyskach sieciowych, podczas gdy dane medyczne powinny być przechowywane w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia;
  • platforma chmurowa, wykorzystywana przez spółkę, była zbyt słabo zabezpieczona. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 r.). Oprogramowanie na serwerach spółki nie zostało zaktualizowane przez niedopatrzenie informatyków, dlatego w systemie informatycznym powstała luka, która mogła przyczynić się do przejęcia urządzeń przez hakerów;
    • spółka niewłaściwie chroniła się przed atakami „phishingowymi”, polegającymi na podszywaniu się osoby atakującej system pod inny podmiot (osobę). Według ustaleń Prezesa UODO, z dużym prawdopodobieństwem właśnie w taki sposób hakerzy dostali się do systemu informatycznego.

Spółka założyła, że poziom bezpieczeństwa przetwarzanych przez nią danych jest właściwy, tylko na podstawie przeprowadzonego w niej wewnętrznego audytu, którego celem było przedłużenie ważności certyfikatu ISO/IEC 27001:2013. Założenie to było jednak błędne. Brak prawidłowo przeprowadzonej analizy ryzyka, kluczowej dla ochrony danych, doprowadził do niewdrożenia przez spółkę właściwych środków organizacyjnych i technicznych służących ochronie przetwarzanych danych. Mogło to mieć realny wpływ na wystąpienie naruszenia ochrony danych osobowych.

Ponadto, spółka nie testowała regularnie skuteczności zabezpieczeń systemów informatycznych. W taki sposób pozbawiła się istotnego środka służącego do miarodajnej oceny poziomu ryzyka przy przetwarzaniu danych. Co więcej, działała w błędnym przeświadczeniu, że ww. ryzyka są na poziomie jedynie małym lub, co najwyżej, średnim.

W rezultacie powyższych ustaleń, Prezes UODO wydał decyzję administracyjną, w której stwierdził nieprawidłowości w przestrzeganiu przez spółkę przepisów o ochronie danych osobowych i nałożył na nią karę pieniężną w wysokości 1 440 549 zł. Nakazał spółce poprawienie sposobu przetwarzania danych i wyznaczył jej termin 30 dni na przeprowadzenie prawidłowej analizy ryzyka dla procesów przetwarzania przez nią danych i na wdrożenie na tej podstawie właściwych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Prezes UODO zobowiązał też spółkę do wdrożenia zasad regularnego sprawdzania skuteczności przyjętych środków.

W decyzji Prezes UODO wskazał, że analiza ryzyka powinna uwzględniać realne zagrożenia dla przetwarzania danych oraz właściwie szacować ich poziom. Analiza ryzyka nie może być pozorną czynnością wykonywaną jedynie dla spełnienia wymogów formalnych przepisów o ochronie danych osobowych, ponieważ wówczas nie działa ona jako skuteczny sposób minimalizowania zagrożeń. Prezes UODO zaznaczył, że „nawet jeżeli wśród czynników ryzyka w opracowanej przez spółkę analizie uwzględniono czynniki, które mogły spowodować naruszenia ochrony danych osobowych, nastąpiło to bez możliwości należytego oszacowania poziomów ww. ryzyk. Tym samym analiza ryzyka pozbawiona została kluczowych informacji pozwalających na świadome i planowe zminimalizowanie ryzyk związanych z przetwarzaniem danych oraz na uniknięcie lub ograniczenie wystąpienia naruszeń ochrony danych w przyszłości”.

Z pełną treścią decyzji Prezesa UODO, można zapoznać się pod poniższym linkiem:

DKN.5112.35.2021

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-08-13
Wprowadził informację:
user Agnieszka Kaczor
date 2024-08-13 08:08:23
Ostatnio modyfikował:
user Karolina Jastalska
date 2024-08-13 13:38:36