Prawie 1,5 mln złotych kary dla AHoP po ataku hakerskim

Żądali 3 mln dolarów okupu

Jak wskazano w opublikowanym 13 sierpnia na stronie internetowej UODO komunikacie, spółka datkowo w pandemii nie przestrzegała własnej polityki dotyczącej bezpieczeństwa danych. W efekcie nieuprawnione osoby uzyskały dostęp do danych pacjentów i pracowników spółki. Zdarzenie objęło szeroki zakres danych, tj.: nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.

O wycieku danych spółka dowiedziała się od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie Prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem.

Prezes UODO przeprowadził w tej sprawie czynności wyjaśniające i kontrolne, a w ich następstwie wszczął wobec spółki postępowanie administracyjne.

Ustalenia UODO:

• spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych, a ponadto nie była w stanie ustalić przyczyny wycieku;
• spółka nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych, tzn. informacje o wynikach testów na COVID klientów przechowywała na dyskach sieciowych, podczas gdy dane medyczne powinny być przechowywane w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia;
• platforma chmurowa, wykorzystywana przez spółkę, była zbyt słabo zabezpieczona. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 r.). Oprogramowanie na serwerach spółki nie zostało zaktualizowane przez niedopatrzenie informatyków, dlatego w systemie informatycznym powstała luka, która mogła przyczynić się do przejęcia urządzeń przez hakerów;
• spółka niewłaściwie chroniła się przed atakami „phishingowymi”, polegającymi na podszywaniu się osoby atakującej system pod inny podmiot (osobę). Według ustaleń Prezesa UODO, z dużym prawdopodobieństwem właśnie w taki sposób hakerzy dostali się do systemu informatycznego.

Jak zabezpieczyć sektor zdrowia przed cyberatakami?Ataki cyfrowe na placówki ochrony zdrowia zdarzają się coraz częściej, także w Polsce. Ransomware w Instytucie Centrum Zdrowia Matki Polki w Łodzi czy atak na sieć laboratoriów ALAB pokazują, że nasza infrastruktura jest coraz częściej punktem zainteresowania cyberprzestępców. Jak przed tym się chronić?

Sami sobie ustalili poziom bezpieczeństwa danych

Spółka założyła, że poziom bezpieczeństwa przetwarzanych przez nią danych jest właściwy, tylko na podstawie przeprowadzonego w niej wewnętrznego audytu, którego celem było przedłużenie ważności certyfikatu ISO/IEC 27001:2013. Założenie to było jednak błędne.

Brak prawidłowo przeprowadzonej analizy ryzyka, kluczowej dla ochrony danych, doprowadził do niewdrożenia przez spółkę właściwych środków organizacyjnych i technicznych służących ochronie przetwarzanych danych. Mogło to mieć realny wpływ na wystąpienie naruszenia ochrony danych osobowych.

Ponadto, spółka nie testowała regularnie skuteczności zabezpieczeń systemów informatycznych. W taki sposób pozbawiła się istotnego środka służącego do miarodajnej oceny poziomu ryzyka przy przetwarzaniu danych. Co więcej, działała w błędnym przeświadczeniu, że ww. ryzyka są na poziomie jedynie małym lub, co najwyżej, średnim.

Kara pieniężna w wysokości 1 440 549 zł

W rezultacie powyższych ustaleń, Prezes UODO wydał decyzję administracyjną, w której stwierdził nieprawidłowości w przestrzeganiu przez spółkę przepisów o ochronie danych osobowych i nałożył na nią karę pieniężną w wysokości 1 440 549 zł.

Nakazał spółce poprawienie sposobu przetwarzania danych i wyznaczył jej termin 30 dni na przeprowadzenie prawidłowej analizy ryzyka dla procesów przetwarzania przez nią danych i na wdrożenie na tej podstawie właściwych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Prezes UODO zobowiązał też spółkę do wdrożenia zasad regularnego sprawdzania skuteczności przyjętych środków.

NIS2 to wyższy poziom technologicznego bezpieczeństwa Co oznacza w praktyce dla sektora ochrony zdrowia unijna dyrektywa NIS2, ilu podmiotów będą dotyczyć jej przepisy, co zakładają najważniejsze regulacje, jakie wymagania stawiają sektorowi ochrony zdrowia, od kiedy będą obowiązywać? Między innymi na te pytania odpowiada Michał Zdunowski, założyciel firmy IS Consulting, specjalizującej się w tworzeniu spersonalizowanych strategii cyberbezpieczeństwa.  

W decyzji Prezes UODO wskazał, że analiza ryzyka powinna uwzględniać realne zagrożenia dla przetwarzania danych oraz właściwie szacować ich poziom. Analiza ryzyka nie może być pozorną czynnością wykonywaną jedynie dla spełnienia wymogów formalnych przepisów o ochronie danych osobowych, ponieważ wówczas nie działa ona jako skuteczny sposób minimalizowania zagrożeń.

Prezes UODO zaznaczył, że „nawet jeżeli wśród czynników ryzyka w opracowanej przez spółkę analizie uwzględniono czynniki, które mogły spowodować naruszenia ochrony danych osobowych, nastąpiło to bez możliwości należytego oszacowania poziomów ww. ryzyk. Tym samym analiza ryzyka pozbawiona została kluczowych informacji pozwalających na świadome i planowe zminimalizowanie ryzyk związanych z przetwarzaniem danych oraz na uniknięcie lub ograniczenie wystąpienia naruszeń ochrony danych w przyszłości”.