Infrastruktura informatyczna Spółki American Heart of Poland SA została zaatakowana przez hakerów, którzy uzyskali dostęp do danych osobowych około 21 tys. osób. Zdaniem prezesa UODO przyczyną było źle szacowane ryzyko dla przechowwywanych przez spółkę danych.
Żądali 3 mln dolarów okupu
Jak wskazano w opublikowanym 13 sierpnia na stronie internetowej UODO komunikacie, spółka datkowo w pandemii nie przestrzegała własnej polityki dotyczącej bezpieczeństwa danych. W efekcie nieuprawnione osoby uzyskały dostęp do danych pacjentów i pracowników spółki. Zdarzenie objęło szeroki zakres danych, tj.: nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.
O wycieku danych spółka dowiedziała się od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie Prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem.
Prezes UODO przeprowadził w tej sprawie czynności wyjaśniające i kontrolne, a w ich następstwie wszczął wobec spółki postępowanie administracyjne.
Ustalenia UODO:
- spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych, a ponadto nie była w stanie ustalić przyczyny wycieku;
- spółka nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych, tzn. informacje o wynikach testów na COVID klientów przechowywała na dyskach sieciowych, podczas gdy dane medyczne powinny być przechowywane w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia;
- platforma chmurowa, wykorzystywana przez spółkę, była zbyt słabo zabezpieczona. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 r.). Oprogramowanie na serwerach spółki nie zostało zaktualizowane przez niedopatrzenie informatyków, dlatego w systemie informatycznym powstała luka, która mogła przyczynić się do przejęcia urządzeń przez hakerów;
- spółka niewłaściwie chroniła się przed atakami „phishingowymi”, polegającymi na podszywaniu się osoby atakującej system pod inny podmiot (osobę). Według ustaleń Prezesa UODO, z dużym prawdopodobieństwem właśnie w taki sposób hakerzy dostali się do systemu informatycznego.