123RF

Prawie 1,5 mln złotych kary dla AHoP po ataku hakerskim

Udostępnij:

Infrastruktura informatyczna Spółki American Heart of Poland SA została zaatakowana przez hakerów, którzy uzyskali dostęp do danych osobowych około 21 tys. osób. Zdaniem prezesa UODO przyczyną było źle szacowane ryzyko dla przechowwywanych przez spółkę danych. Zdarzenie miało miejsce w 2021 roku.

Żądali 3 mln dolarów okupu
Jak wskazano w opublikowanym 13 sierpnia na stronie internetowej UODO komunikacie, spółka datkowo w pandemii nie przestrzegała własnej polityki dotyczącej bezpieczeństwa danych. W efekcie nieuprawnione osoby uzyskały dostęp do danych pacjentów i pracowników spółki. Zdarzenie objęło szeroki zakres danych, tj.: nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.

O wycieku danych spółka dowiedziała się od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie Prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem.

Prezes UODO przeprowadził w tej sprawie czynności wyjaśniające i kontrolne, a w ich następstwie wszczął wobec spółki postępowanie administracyjne.

Ustalenia UODO:

  • spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych, a ponadto nie była w stanie ustalić przyczyny wycieku;
  • spółka nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych, tzn. informacje o wynikach testów na COVID klientów przechowywała na dyskach sieciowych, podczas gdy dane medyczne powinny być przechowywane w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia;
  • platforma chmurowa, wykorzystywana przez spółkę, była zbyt słabo zabezpieczona. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 r.). Oprogramowanie na serwerach spółki nie zostało zaktualizowane przez niedopatrzenie informatyków, dlatego w systemie informatycznym powstała luka, która mogła przyczynić się do przejęcia urządzeń przez hakerów;
  • spółka niewłaściwie chroniła się przed atakami „phishingowymi”, polegającymi na podszywaniu się osoby atakującej system pod inny podmiot (osobę). Według ustaleń Prezesa UODO, z dużym prawdopodobieństwem właśnie w taki sposób hakerzy dostali się do systemu informatycznego.

Sami sobie ustalili poziom bezpieczeństwa danych
Spółka założyła, że poziom bezpieczeństwa przetwarzanych przez nią danych jest właściwy, tylko na podstawie przeprowadzonego w niej wewnętrznego audytu, którego celem było przedłużenie ważności certyfikatu ISO/IEC 27001:2013. Założenie to było jednak błędne.

Brak prawidłowo przeprowadzonej analizy ryzyka, kluczowej dla ochrony danych, doprowadził do niewdrożenia przez spółkę właściwych środków organizacyjnych i technicznych służących ochronie przetwarzanych danych. Mogło to mieć realny wpływ na wystąpienie naruszenia ochrony danych osobowych.

Ponadto, spółka nie testowała regularnie skuteczności zabezpieczeń systemów informatycznych. W taki sposób pozbawiła się istotnego środka służącego do miarodajnej oceny poziomu ryzyka przy przetwarzaniu danych. Co więcej, działała w błędnym przeświadczeniu, że ww. ryzyka są na poziomie jedynie małym lub, co najwyżej, średnim.

Kara pieniężna w wysokości 1 440 549 zł
W rezultacie powyższych ustaleń, Prezes UODO wydał decyzję administracyjną, w której stwierdził nieprawidłowości w przestrzeganiu przez spółkę przepisów o ochronie danych osobowych i nałożył na nią karę pieniężną w wysokości 1 440 549 zł.

Nakazał spółce poprawienie sposobu przetwarzania danych i wyznaczył jej termin 30 dni na przeprowadzenie prawidłowej analizy ryzyka dla procesów przetwarzania przez nią danych i na wdrożenie na tej podstawie właściwych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Prezes UODO zobowiązał też spółkę do wdrożenia zasad regularnego sprawdzania skuteczności przyjętych środków.

W decyzji Prezes UODO wskazał, że analiza ryzyka powinna uwzględniać realne zagrożenia dla przetwarzania danych oraz właściwie szacować ich poziom. Analiza ryzyka nie może być pozorną czynnością wykonywaną jedynie dla spełnienia wymogów formalnych przepisów o ochronie danych osobowych, ponieważ wówczas nie działa ona jako skuteczny sposób minimalizowania zagrożeń.

Prezes UODO zaznaczył, że „nawet jeżeli wśród czynników ryzyka w opracowanej przez spółkę analizie uwzględniono czynniki, które mogły spowodować naruszenia ochrony danych osobowych, nastąpiło to bez możliwości należytego oszacowania poziomów ww. ryzyk. Tym samym analiza ryzyka pozbawiona została kluczowych informacji pozwalających na świadome i planowe zminimalizowanie ryzyk związanych z przetwarzaniem danych oraz na uniknięcie lub ograniczenie wystąpienia naruszeń ochrony danych w przyszłości”.

Jak poinformowała „Menedżera Zdrowia”, Spółka American Heart of Poland, obecnie firma jest na etapie postępowania przed Wojewódzkim Sądem Administracyjnym. Decyzja prezesa Urzędu Ochrony Danych Osobowych została przez spółkę zaskarżona. Spółka wniosła o uchylenie zaskarżonej decyzji w całości.

Menedzer Zdrowia twitter

 
© 2024 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.