Pixabay/ SPZOZ w Pajęcznie
Prezes Urzędu Ochrony Danych Osobowych nałożył na Samodzielny Publiczny ZOZ w Pajęcznie karę 40 tys. złotych. W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników. Działania naprawcze podjęła dopiero po fakcie. Wcześniej nie przeprowadziła analizy ryzyka dla danych osobowych. Nie mogła więc skutecznie chronić danych osobowych – stąd kara - argumentuje UODO w komunikacie.
Sprawa sięga lutego 2022 roku, to właśnie wtedy doszło do ataku hakerskiego. Złośliwe oprogramowanie typu „ransomware" zaszyfrowało dane osobowe ponad tysiąca pracowników i 30 tys. pacjentów.
Pracownicy pajęczańskiego ZOZ zawiadomili o tym ataku zarówno Urząd Ochrony Danych Osobowych jak i policję. Uznano jednak, że atak nie był poważny, bo dane nie wyciekły - stały się tylko niedostępne. Jak dodaje UODO: zewnętrzny ekspert wskazał jednak, że danych nie da się odszyfrować – atakujący uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie.
Prezes UODO ustalił jednak w postępowaniu, że sprawa była istotna. Po pierwsze wskazuje, że na zagrożenie dla danych osobowych ZOZ zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych.
- ZOZ nie miał jednak – co jest kluczowe – dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych.W efekcie, przyjęte w ZOZ procedury nie były adekwatne do ryzyk dla danych osobowych. Wykazał to przeprowadzony już po ataku audyt - przekazuje w komunikacie Urząd Ochrony Danych Osobowych.
Jak dalej przekazuje Urząd, nie mając analizy ryzyka ZOZ popełnił błędy także po incydencie – zgłosił swój problem UODO i Policji, ale nie zauważył problemu osób, których dane dotyczyły. Nie powiadomił ich, że stracił kontrolę nad danymi takimi jak: imię i nazwisko, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.
- ZOZ uważał, że powiadamiać zainteresowanych nie musi, bo dane nie zostały wykradzione, tylko nie ma do nich dostępu. Tyle, że z dokonanych ustaleń wynika jedynie, że nie ma śladu wycieku danych. Nie jest to jednak jednoznaczne z tym, że hakerzy tych danych sobie nie skopiowali. Poza tym, gdyby ZOZ sporządził rzetelną analizę ryzyka dla danych, wiedziałby, że problemem jest nie tylko wyciek danych, ale i to, że pacjenci tracą dostęp do swoich danych dotyczących zdrowia. Takiego ryzyka nie można oceniać jako niskie. A inna kwalifikacja ryzyka skłoniłaby ZOZ do wprowadzenia lepszych zabezpieczeń - wyjaśnił UODO.
Oprócz kary finansowej Prezes Urzędu zalecił wdrożenie w terminie 30 dni odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych. Nakazał też powiadomić o zdarzeniu osoby, których dane dotyczą, wytłumaczyć im co się stało, przedstawić możliwe konsekwencje zdarzenia i wskazać, kto może udzielić w ZOZ więcej informacji na ten temat.
Taki dokument został opublikowany na stronie placówki na początku lipca tego roku, poniżej pełna jego treść:
Szanowna Pani/ Szanowny Panie,
W imieniu SPZOZ w Pajęcznie – Administratora Pani/Pana danych osobowych - z przykrością zawiadamiamy, że w wyniku ataku hackerskiego ujawnionego w dniu 10 lutego 2022r. nastąpiło naruszenie danych osobowych, w tym również Pani/Pana danych osobowych.
Naruszenie ochrony danych osobowych polegało na utracie dostępu do nich poprzez zaszyfrowanie danych. Naruszeniu podlegały Pani/Pana dane osobowe przetwarzane elektronicznie przez SPZOZ w Pajęcznie, w zależności od udostępnionych SPZOZ w Pajęcznie przez Panią/Pana danych mogły to być w szczególności: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwa użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.
Do naruszenia ochrony danych osobowych doszło w wyniku włamania się do naszych systemów informatycznych i ich zaszyfrowania przez nieznane osoby. Niezwłocznie po stwierdzeniu przez nas naruszenia ochrony danych osobowych, zostały podjęte środki w celu zminimalizowania jego ewentualnych skutków poprzez przebudowę systemów informatycznych. Ponadto Administrator danych osobowych zgłosił naruszenie właściwym służbom, a także do Prezesa Urzędu Ochrony Danych Osobowych.
Osoba nieupoważniona nie skopiowała Pani/Pana danych osobowych, jak również Pani/Pana dane osobowe nie zostały upublicznione lub wykorzystane w sposób niezgodny z przepisami prawa. Nie mniej z ostrożności informujemy, że konsekwencją niniejszego naruszenia może być otrzymywanie niechcianej komunikacji lub próba podszycia się pod pracownika innej instytucji w celu wyłudzenia innych danych, dlatego też w celu zminimalizowania niebezpieczeństwa prosimy zachować szczególną ostrożność przy podawaniu przez Panią/Pana danych osobowych innym, nieznanym osobom (w szczególności podczas rozmowy telefonicznej lub za pośrednictwem poczty elektronicznej).
W przypadku jakichkolwiek pytań, lub jeżeli chciałaby Pani/chciałby Pan uzyskać dodatkowe informacje lub chciałaby Pani/chciałby Pan przekazać dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o bezpośredni kontakt z Inspektorem Ochrony Danych OsobowychZbigniewem Derek, adres e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..
