Do ataku na komputery ZOZ w Pajęcznie doszło w lutym 2022 r. Złośliwe oprogramowanie typu ransomware zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. Hakerzy uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie. ZOZ uznał, że atak nie był poważny, bo dane nie wyciekły, a jedynie stały się niedostępne – zewnętrzny ekspert stwierdził, że nie da się ich odszyfrować. Ale oczywiście powiadomił o wszystkim Prezesa Urzędu Ochrony Danych Osobowych i policję.
Lecznica w ogóle nie analizowała ryzyka dla danych
Jednak Prezes UODO uznał, że sprawa nie jest błaha. A to dlatego, że na zagrożenie dla danych osobowych lecznica zareagowała dopiero po ataku. To wtedy wezwała ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Dopiero wtedy odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych.
Kluczowym dla PUODO dowodem na lekceważenie powinności administratora danych było to, że ZOZ w Pajęcznie nie miał dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych.
- To jedna w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych. W efekcie, przyjęte w ZOZ procedury nie były adekwatne do ryzyk dla danych osobowych. Wykazał to przeprowadzony już po ataku audyt – twierdzi PUODO.
Czytaj więcej
Prezes Urzędu Ochrony Danych Osobowych nałożył na Spółkę American Heart of Poland SA karę w wysokości niemal 1,5 mln zł. Ma to związek z atakiem ha...
Hakerzy dostali nazwiska, adresy, pesele i hasła
Nie mając analizy ryzyka ZOZ popełnił błędy także po incydencie – zgłosił swój problem UODO i policji, ale nie zauważył problemu osób, których dane dotyczyły. Nie powiadomił ich, że stracił kontrolę nad danymi takimi jak: imię i nazwisko, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.
- ZOZ uważał, że powiadamiać zainteresowanych nie musi, bo dane nie zostały wykradzione, tylko nie ma do nich dostępu. Tyle, że z dokonanych ustaleń wynika jedynie, że nie ma śladu wycieku danych. Nie jest to jednak jednoznaczne z tym, że hakerzy tych danych sobie nie skopiowali – zauważył PUODO.
Problemem jest zresztą tylko wyciek danych z lecznicy, ale i to, że pacjenci stracili dostęp do swoich danych dotyczących zdrowia. Organ nadzorczy podkreśla, że takiego ryzyka nie można oceniać jako niskie.
Oprócz kary finansowej Prezes UODO zalecił, by terminie 30 dni w placówce wdrożyć odpowiednie środkitechniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych w systemach informatycznych. Nakazał też powiadomić o zdarzeniu osoby, których dane dotyczą, wytłumaczyć im co się stało, przedstawić możliwe konsekwencje zdarzenia i wskazać, kto może udzielić w ZOZ więcej informacji na ten temat.
