Dziś, 27 sierpnia, prezes Urzędu Ochrony Danych Osobowych (UODO) zdecydował o nałożeniu grzywny w wysokości 40 tysięcy złotych na Samodzielny Publiczny Zespół Opieki Zdrowotnej w Pajęcznie. Decyzja ta zapadła po tym, jak placówka padła ofiarą ataku hakerskiego, w wyniku którego doszło do utraty dostępu do danych osobowych pacjentów i pracowników. W ocenie UODO, szpital nie zapewnił odpowiedniego zabezpieczenia tych informacji.
Cyberatak na szpital w Pajęcznie
Do incydentu doszło w lutym 2022 roku, kiedy to hakerzy za pomocą oprogramowania ransomware zaszyfrowali dane dotyczące 30 tysięcy pacjentów oraz ponad tysiąca pracowników placówki. Atakujący zażądali okupu w formie kryptowaluty, jednak mimo tego danych nie udało się odzyskać. Szpital zgłosił incydent UODO oraz policji, uznając, że skoro dane nie wyciekły, lecz jedynie stały się niedostępne, sytuacja nie była poważna. Prezes UODO był jednak innego zdania i podczas postępowania stwierdził, że incydent miał poważne konsekwencje.
Brak odpowiednich zabezpieczeń
Jak informuje UODO, dopiero po ataku zarządzający szpitalem zwrócili się o pomoc do ekspertów, którzy wskazali luki w zabezpieczeniach i zaproponowali wdrożenie niezbędnych zmian w zakresie ochrony danych osobowych. Zorganizowano także szkolenia dla personelu z zakresu bezpieczeństwa informatycznego. Dochodzenie ujawniło jednak, że placówka nie posiadała dokumentacji potwierdzającej przeprowadzanie i aktualizowanie analizy ryzyka dotyczącej przetwarzania danych osobowych. Bezpieczeństwo danych powierzono jednemu informatykowi, który miał monitorować potencjalne zagrożenia i rekomendować środki ochronne, co zdaniem UODO było niewystarczające do zapewnienia pełnej kontroli nad bezpieczeństwem danych.
Niewłaściwe działania po ataku
Przeprowadzony po incydencie audyt wykazał, że procedury przyjęte przez szpital były nieskuteczne. Brak analizy ryzyka przyczynił się do popełnienia błędów także po ataku — mimo zgłoszenia sprawy do UODO i policji, placówka nie poinformowała o incydencie osób, których dane zostały utracone.. Dotyczyło to tak wrażliwych informacji, jak imiona i nazwiska, daty urodzenia, numery PESEL, adresy, dane bankowe, informacje dotyczące zarobków, czy dane zdrowotne.
UODO nakłada karę i zaleca zmiany
Poza nałożeniem kary finansowej w wysokości 40 tysięcy złotych, prezes UODO nakazał placówce wdrożenie w ciągu 30 dni zmian mających na celu zwiększenie bezpieczeństwa przetwarzania danych osobowych. Szpital został również zobowiązany do poinformowania osób poszkodowanych o incydencie i podjętych działaniach mających na celu ochronę ich danych.