Atak hakerski. Gigantyczna kara dla spółki medycznej

O wycieku danych spółka dowiedziała się od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych. Powiadomiła o incydencie Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała o zagrożeniu osoby, których dane wyciekły.

Atak hakerski objął informacje pacjentów oraz pracowników spółki takie jak m.in. nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.

Bezpieczeństwo danych

Czynności wyjaśniające i kontrolne przeprowadził w tej sprawie Prezes UODO, wszczynając postępowanie administracyjne. Jak ustalił Urząd, spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych, nie była też w stanie ustalić przyczyny wycieku.

Co istotne, w American Heart of Poland nie przestrzegano własnych zaleceń dotyczących bezpieczeństwa danych, tzn. informacje o wynikach testów na COVID klientów przechowywano na dyskach sieciowych (a dane medyczne powinny być przechowywane w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia). Z kolei platforma chmurowa, wykorzystywana przez spółkę, była zbyt słabo zabezpieczona.

To jednak nie koniec zarzutów. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 roku!). Co więcej, oprogramowanie na serwerach spółki nie zostało zaktualizowane przez niedopatrzenie informatyków, dlatego w systemie powstała luka, która mogła przyczynić się do przejęcia urządzeń przez hakerów.

Spółka niewłaściwie chroniła się przed atakami phishingowymi, a wedle ustaleń PUODO - z dużym prawdopodobieństwem - hakerzy w taki sposób mogli dostać się do jej systemu informatycznego.

„Firma założyła, że poziom bezpieczeństwa przetwarzanych przez nią danych jest właściwy, tylko na podstawie przeprowadzonego w niej wewnętrznego audytu, którego celem było przedłużenie ważności certyfikatu ISO/IEC 27001:2013. Założenie to było jednak błędne. Brak prawidłowo przeprowadzonej analizy ryzyka, kluczowej dla ochrony danych, doprowadził do niewdrożenia przez spółkę właściwych środków organizacyjnych i technicznych służących ochronie przetwarzanych danych. Mogło to mieć realny wpływ na wystąpienie naruszenia ochrony danych osobowych” - czytamy w komunikacie PUODO.

Co więcej, nie testowano regularnie zabezpieczeń systemów informatycznych i „działano w błędnym przeświadczeniu, że wskazane ryzyka są na poziomie jedynie małym lub - co najwyżej - średnim”.

Gigatyczna kara PUODO

Wobec powyższych zarzutów, Prezes UODO wydał decyzję administracyjną nieprzestrzegania przez spółkę przepisów o ochronie danych osobowych i nałożył na nią karę pieniężną w wysokości 1,44 mln zł.

Teraz American Heart of Poland ma 30 dni na przeprowadzenie prawidłowej analizy ryzyka dot. przetwarzania danych i wdrożenie właściwych środków technicznych.

Zdaniem PUODO, analiza ryzyka nie może być pozorną czynnością wykonywaną jedynie dla spełnienia wymogów formalnych przepisów o ochronie danych osobowych, ponieważ wówczas nie działa ona jako skuteczny sposób minimalizowania zagrożeń.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].