Szpital dziecięcy w Białymstoku został zhakowany. Zapłaci karę
Autor. Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku/Facebook
Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku padł ofiarą cyberataku. Sprawcom udało się przełamać zabezpieczenia i zainfekować infrastrukturę oprogramowaniem ransomware. Incydent pokazał zaniedbania po stronie placówki.
W cyberataku efekcie zablokowano dostęp do systemów białostockiego szpitala dziecięcego. Doszło również do naruszenia poufności danych osobowych ok. 2 tys. pracowników. Sprawie przyjrzał się Mirosław Wróblewski, Prezes Urzędu Ochrony Danych Osobowych.
Czytaj też
Wadliwa procedura szpitala
W jego ocenie placówka w sposób nieprawidłowy przeprowadziła analizę ryzyka, co stanowi złamanie przepisów RODO.
„Analiza przeprowadzona została na podstawie wadliwej procedury, zgodnie z którą, szacowanie ryzyka możliwych zagrożeń przeprowadzono z perspektywy Szpitala, jako organizacji, a nie z perspektywy ochrony osób, których dane dotyczą” – czytamy w komunikacie UODO.
Czytaj też
Inne błędy szpitala
Organ punktuje także inne błędy. Zwraca uwagę, że szpital nie wskazał, jakie procesy przetwarzania poddawał analizie. Dodatkowo, nie powiązał ich z rozpoznanymi zagrożeniami, podatnościami oraz ostateczną oceną ryzyka.
„Przyjęte przez Szpital dokumenty, mające świadczyć o przeprowadzonej analizie ryzyka są niespójne, pełne niejasności, i nie zawierają konkretnych rozwiązań organizacyjnych i technicznych skorelowanych (…) z odpowiednio skonkretyzowanymi zagrożeniami” – podkreśla Urząd.
Czytaj też
Cyberbezpieczeństwo a ochrona danych to dwie różne sprawy
Ważnym punktem argumentacji UODO jest kwestia cyberbezpieczeństwa. Organ zaznacza, że kwestia ta „to nie to samo co ochrona danych osobowych”.
Białostocki szpital przeprowadził audyt pod katem zgodności z ustawą o krajowym systemie cyberbezpieczeństwa (KSC). Należy jednak mieć na uwadze, że regulacja dotyczy „zapewnienia bezpiecznego i niezakłóconego systemu świadczenia usług”, a nie skupia się na ochronie praw i wolności osób fizycznych.
Czytaj też
UODO punktuje białostocki szpital. Jest kara
Jak wskazuje Urząd, placówka nie wdrożyła też odpowiedniej procedury w zakresie wykonywania i dokumentowania testów odtworzeniowych. Błędem było również brak właściwego zabezpieczenia kopii zapasowych.
Ponadto, szpital nie prowadził regularnych testów, pomiarów oraz oceny „skuteczności technicznych i organizacyjnych środków bezpieczeństwa danych osobowych”.
W związku z błędami i brakiem wielu środków technicznych i organizacyjnych Prezes UODO nałożył na placówkę karę w wysokości 66,5 tys. zł.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
SK@NER: Jak przestępcy czyszczą nasze konta?