40 tys. złotych kary dla SPZOZ w Pajęcznie. W tle atak hakerów
SPZOZ w Pajęcznie (woj. łódzkie) został ukarany przez prezesa UODO karą w wysokości 40 tys. zł. W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników, ale - zdaniem urzędu - działania naprawcze podjęto dopiero po fakcie.
Do ataku hakerskiego doszło w lutym 2022 r., kiedy złośliwe oprogramowanie typu "ransomware" zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników placówki. Samodzielny Publiczny Zespół Opieki Zdrowotnej w Pajęcznie powiadomił o tym Urząd Ochrony Danych Osobowych (UODO) i policję. "Uznał jednak, że atak nie był poważny, bo dane nie wyciekły - stały się tylko niedostępne" - przekazał w komunikacie Urząd.
Hakerzy zaatakowali placówkę w Łódzkiem. 40 tys. zł kary
Jak dodano, zewnętrzny ekspert wskazał, że danych nie da się odszyfrować, ponieważ atakujący uzależnili to od zapłacenia okupu w kryptowalucie. Prezes UODO ustalił jednak w postępowaniu, że sprawa była istotna. Jak poinformowano, na zagrożenie dla danych osobowych placówka zareagowała dopiero po ataku.
ZOBACZ: Oszustwo na mObywatel. Hakerzy próbują wyłudzić nasze dane
"Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych" - czytamy.
Ponadto placówka nie miała dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych, których bezpieczeństwo "powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych".
Jest komunikat UODO. "Nie zauważył problemu"
"Nie mając analizy ryzyka, ZOZ popełnił błędy także po incydencie - zgłosił swój problem UODO i policji, ale nie zauważył problemu osób, których dane dotyczyły. Nie powiadomił ich, że stracił kontrolę nad danymi takimi, jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwa użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia" - wyjaśnił Urząd.
ZOBACZ: Atak hakerów na Polską Agencję Antydopingową. "Doszło do ujawnienia danych"
ZOZ uznał, powiadamiać zainteresowanych nie musi, bo dane nie zostały wykradzione, tylko nie ma do nich dostępu. Jak wskazuje UODO, z dokonanych ustaleń wynika jedynie, że nie ma śladu wycieku danych. Nie oznacza to jednak, że hakerzy tych danych sobie nie skopiowali.
Oprócz kary finansowej placówce zalecono wdrożenie odpowiednich środków bezpieczeństwa danych w systemach informatycznych. ZOZ musi też m.in. powiadomić o zdarzeniu osoby, których dane dotyczą, wytłumaczyć im co się stało, a także przedstawić możliwe konsekwencje.
Czytaj więcej