Kara dla SPZOZ w Pajęcznie po zaszyfrowaniu danych 30 tys. pacjentów

termedia.pl 3 tygodni temu

Zdjęcie: 123RF

26 sierpnia poinformowano na stronie Urzędu Ochrony Danych Osobowych, iż jego prezes nałożył na Samodzielny Publiczny ZOZ w Pajęcznie karę 40 tys. złotych. W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników a działania naprawcze podjęte zostały dopiero po fakcie.

Zaszyfrowano dane osobowe 30 tys. pacjentów

Do ataku hakerskiego doszło w lutym 2022 r. Złośliwe oprogramowanie typu ransomware zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. ZOZ zawiadomił o tym UODO i policję. Uznał jednak, iż atak nie był poważny, bo dane nie wyciekły – stały się tylko niedostępne (zewnętrzny ekspert wskazał, iż danych nie da się odszyfrować – atakujący uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie). Prezes UODO ustalił jednak w postępowaniu, iż sprawa była istotna.

Wcześniej placówka nie przeprowadziła analizy ryzyka dla danych osobowych. Nie mogła więc skutecznie chronić danych osobowych – stąd kara.

Na zagrożenie dla danych osobowych ZOZ zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych.

ZOZ nie miał jednak – co jest kluczowe – dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych.

W efekcie przyjęte w ZOZ procedury nie były adekwatne do ryzyk dla danych osobowych. Wykazał to przeprowadzony już po ataku audyt.