Spis treści:
Z zamieszczonych we wtorek na stronie UODO informacji wynika, że hakerzy zaatakowali infrastrukturę informatyczną spółki medycznej American Heart of Poland. W ten sposób uzyskano dostęp do szczegółowych danych osobowych niemal 21 tys. osób.
Ze strony grupy dowiadujemy się, że zapewnia ona opiekę medyczną w ramach kontraktu z Narodowym Funduszem Zdrowia. Placówki medyczne specjalizują się w diagnostyce, leczeniu oraz rehabilitacji chorób cywilizacyjnych.
Hakerzy uzyskali dostęp do danych tysięcy pacjentów. Prezes UODO wydał decyzję
Spółka medyczna dowiedziała się o wycieku danych od hakerów, którzy zażądali 3 mln dolarów (ponad 11,5 mln zł) okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem.
Nieuprawnione osoby uzyskały dostęp nie tylko do danych pacjentów, lecz również pracowników spółki, takich jak imię i nazwisko, imiona rodziców, nazwisko rodowe matki, data urodzenia czy dane dotyczące zarobków oraz posiadanego majątku.
W posiadaniu przestępców znalazły się również informacje dotyczące zdrowia, a nawet numer rachunku bankowego, numer PESEL, seria i numer dowodu osobistego.
Kontrole wykazały liczne nieprawidłowości, w tym m.in. brak aktualnego wsparcia technicznego
Wszczęte wobec spółki postępowanie administracyjne zostało poprzedzone przeprowadzonymi przez prezesa UODO czynnościami wyjaśniającymi i kontrolnymi. Prezes UODO ustalił, że do ataku hakerskiego doszło, bo spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych oraz nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych. Niektóre informacje dotyczące klientów nie powinny być przechowywane na dyskach sieciowych, a w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia.
Co więcej, platforma chmurowa, z której korzystała spółka, była zbyt słabo zabezpieczona. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta - zakończyło się ono na początku 2020 r. Dodano, że spółka nie testowała regularnie skuteczności zabezpieczeń systemów informatycznych i niewłaściwie chroniła się przed tzw. atakami phishingowymi.
Czy spółka zapłaci prawie 1,5 mln zł kary? Sprawą zajmuje się sąd
Prezes UODO wydał decyzję, w której stwierdził nieprawidłowości w przestrzeganiu przez spółkę przepisów o ochronie danych osobowych i nałożył na nią karę pieniężną w wysokości 1 440 549 zł. Zobowiązał spółkę do poprawienia sposobu przetwarzania danych i wyznaczył jej termin 30 dni na przeprowadzenie prawidłowej analizy ryzyka dla procesów przetwarzania przez nią danych i na wdrożenie na tej podstawie właściwych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Spółka musi również wdrożyć zasady regularnego sprawdzania skuteczności przyjętych środków.
Jak się okazuje, spółka zaskarżyła już decyzję prezesa UODO. - Spółka wniosła o uchylenie w całości zaskarżonej decyzji. W związku z trwającym postępowaniem na tym etapie nie odnosimy się do dalszych szczegółów sprawy - powiedział w rozmowie z serwisem Rynek Zdrowia Mariusz Polakowski, koordynator ds. Komunikacji i PR w American Heart of Poland. Dodał, że sprawą zajmie się Wojewódzki Sąd Administracyjny w Warszawie.
