Hakerzy uzyskali dostęp do danych osobowych tysięcy pacjentów. Jest kara dla spółki medycznej
Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył niemal 1,5 mln zł kary na spółkę medyczną American Heart of Poland. Ma ona związek z atakiem hakerskim, w wyniku którego cyberprzestępcy uzyskali dostęp do szczegółowych danych osobowych tysięcy pacjentów i pracowników. Spółka, która - zdaniem prezesa UODO - źle szacowała ryzyko ochrony danych, wniosła odwołanie do Wojewódzkiego Sądu Administracyjnego.
Z zamieszczonych we wtorek na stronie UODO informacji wynika, że hakerzy zaatakowali infrastrukturę informatyczną spółki medycznej American Heart of Poland. W ten sposób uzyskano dostęp do szczegółowych danych osobowych niemal 21 tys. osób.
Ze strony grupy dowiadujemy się, że zapewnia ona opiekę medyczną w ramach kontraktu z Narodowym Funduszem Zdrowia. Placówki medyczne specjalizują się w diagnostyce, leczeniu oraz rehabilitacji chorób cywilizacyjnych.
Spółka medyczna dowiedziała się o wycieku danych od hakerów, którzy zażądali 3 mln dolarów (ponad 11,5 mln zł) okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem.
Nieuprawnione osoby uzyskały dostęp nie tylko do danych pacjentów, lecz również pracowników spółki, takich jak imię i nazwisko, imiona rodziców, nazwisko rodowe matki, data urodzenia czy dane dotyczące zarobków oraz posiadanego majątku.
W posiadaniu przestępców znalazły się również informacje dotyczące zdrowia, a nawet numer rachunku bankowego, numer PESEL, seria i numer dowodu osobistego.
Wszczęte wobec spółki postępowanie administracyjne zostało poprzedzone przeprowadzonymi przez prezesa UODO czynnościami wyjaśniającymi i kontrolnymi. Prezes UODO ustalił, że do ataku hakerskiego doszło, bo spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych oraz nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych. Niektóre informacje dotyczące klientów nie powinny być przechowywane na dyskach sieciowych, a w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia.
Co więcej, platforma chmurowa, z której korzystała spółka, była zbyt słabo zabezpieczona. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta - zakończyło się ono na początku 2020 r. Dodano, że spółka nie testowała regularnie skuteczności zabezpieczeń systemów informatycznych i niewłaściwie chroniła się przed tzw. atakami phishingowymi.
Prezes UODO wydał decyzję, w której stwierdził nieprawidłowości w przestrzeganiu przez spółkę przepisów o ochronie danych osobowych i nałożył na nią karę pieniężną w wysokości 1 440 549 zł. Zobowiązał spółkę do poprawienia sposobu przetwarzania danych i wyznaczył jej termin 30 dni na przeprowadzenie prawidłowej analizy ryzyka dla procesów przetwarzania przez nią danych i na wdrożenie na tej podstawie właściwych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Spółka musi również wdrożyć zasady regularnego sprawdzania skuteczności przyjętych środków.
Jak się okazuje, spółka zaskarżyła już decyzję prezesa UODO. - Spółka wniosła o uchylenie w całości zaskarżonej decyzji. W związku z trwającym postępowaniem na tym etapie nie odnosimy się do dalszych szczegółów sprawy - powiedział w rozmowie z serwisem Rynek Zdrowia Mariusz Polakowski, koordynator ds. Komunikacji i PR w American Heart of Poland. Dodał, że sprawą zajmie się Wojewódzki Sąd Administracyjny w Warszawie.
