Reklama

Cyberbezpieczeństwo

Placówka zdrowotna uznała, że "atak nie jest poważny". Skończyła z karą od PUODO

Placówka zdrowotna nie poinformowała pacjentów o ryzyku naruszenia danych
Placówka zdrowotna nie poinformowała pacjentów o ryzyku naruszenia danych
Autor. Marcelo Leal/ Unsplash

Prezes UODO nałożył na Samodzielny Publiczny Zakład Opieki Zdrowotnej w Pajęcznie karę 40 tys. złotych. Po ataku hakerskim placówka straciła dostęp do danych pacjentów i pracowników, a działania podjęła dopiero po fakcie. Wcześniej nie przeanalizowała ryzyka naruszenia danych osobowych. „Nie mogła więc skutecznie chronić danych osobowych – stąd kara” - uzasadnia urząd.

ZOZ w Pajęcznie miał do czynienia z cyberatakiem typu ransomware w lutym 2022 roku. Złośliwe oprogramowanie zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. Placówka zawiadomiła Urząd Ochrony Danych Osobowych i policję.

Co istotne, uznano jednak, że „atak nie był poważny, bo dane nie wyciekły”, a stały się tylko niedostępne (zewnętrzny ekspert wskazał, że danych nie da się odszyfrować – atakujący uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie) - podaje w komunikacie UODO.

Czytaj też

Reklama

Ustalenia UODO

Prezes UODO wszczął postępowanie w tej sprawie i ustalił, że sprawa była jednak istotna.

„Na zagrożenie dla danych osobowych ZOZ (zakład opieki zdrowotnej) zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych. ZOZ nie miał jednak – co jest kluczowe – dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych” - wskazuje UODO.

Przeprowadzony po ataku audyt wykazał, że procedury w placówce nie były adekwatne do ryzyka naruszenia danych osobowych.

Popełniono także błędy po incydencie: zgłoszono problem UODO i policji, ale nie poinformowano o incydencie osoby, których danych dotyczył. Nie otrzymali informacji, że ZOZ utracił kontrolę nad danymi takimi jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwa użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.

Reklama

Placówka w błędzie

”ZOZ uważał, że powiadamiać zainteresowanych nie musi, bo dane nie zostały wykradzione, tylko nie ma do nich dostępu. Tyle, że z dokonanych ustaleń wynika jedynie, że nie ma śladu wycieku danych. Nie jest to jednak jednoznaczne z tym, że hakerzy tych danych sobie nie skopiowali” - zwraca uwagę UODO.

Jak dodano, ZOZ powinien wiedzieć, że problemem jest nie tylko wyciek danych, ale i to, że pacjenci tracą dostęp do swoich danych dotyczących zdrowia.

Poza grzywną w wysokości 40 tys. złotych, UODO w terminie 30 dni zalecił wdrożenie środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych w systemie informatycznym. Nakaz dotyczy też powiadomienia osób, których dotyczył incydent i przedstwienie im możliwych konsekwencji zdarzenia.

Czytaj też

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama
Reklama

Komentarze