Sprawdzamy pogodę dla Ciebie...
oprac. Paulina Antoniak | 

Cyberatak na szpital, dane pacjentów utracone. UODO nałożył karę

12

40 tys. zł kary nałożył Prezes Urzędu Ochrony Danych Osobowych na Samodzielny Publiczny Zakład Opieki Zdrowotnej w Pajęcznie. Po ataku hakerskim placówka straciła dostęp do danych pacjentów i pracowników. UODO ocenił, że nie były one odpowiednio chronione. Szpital podjął działania naprawcze dopiero po fakcie.

Cyberatak na szpital, dane pacjentów utracone. UODO nałożył karę
Szpital utracił dane pacjentów. UODO nałożył karę (Adobe Stock, Pexels)

Do ataku hakerskiego na szpital doszło w lutym 2022 r. Złośliwe oprogramowanie typu ransomware zaszyfrowało dane 30 tys. pacjentów i ponad tysiąca pracowników. Internetowi przestępcy domagali się okupu w kryptowalucie. Danych finalnie nie odzyskano.

Placówka powiadomiła o ataku UODO i policję. Uznano jednak, że atak nie był poważny, bo dane nie wyciekły, a stały się jedynie niedostępne. Prezes UODO ustalił jednak w postępowaniu, że sprawa była istotna.

Na zagrożenie dla danych osobowych ZOZ zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych. ZOZ nie miał jednak – co jest kluczowe – dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych - wyjaśnia UODO w komunikacie.

Dalsza część artykułu pod materiałem wideo

Zobacz także: Miliardy dolarów strat oraz skradzionych kont

Szpital nie chronił odpowiednio danych pacjentów. Jest kara

UODO przekazał, że bezpieczeństwo danych powierzono informatykowi, a to nie mogło zagwarantować właściwej kontroli.

- Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych - zaznaczył UODO.

Przeprowadzony po ataku audyt wykazał, że przyjęte w ZOZ procedury nie były adekwatne do ryzyk dla danych osobowych.

Ponadto, nie mając analizy ryzyka ZOZ popełnił błędy także po incydencie – zgłosił swój problem UODO i Policji, ale nie zauważył problemu osób, których dane dotyczyły.

Nie powiadomił ich, że stracił kontrolę nad danymi takimi jak: imię i nazwisko, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia - zaznaczył prezes UODO.

Na szpital została nałożona kara finansowa w wysokości 40 tys. złotych. Prezes UODO zalecił także placówce wdrożenie w terminie 30 dni zmian zapewniających bezpieczeństwo przetwarzania danych oraz nakazał poinformowanie o zdarzeniu osób, których dane utracono.

Dziękujemy za Twoją ocenę!

Twoja opinia pozwala nam tworzyć lepsze treści.

Które z określeń najlepiej opisują artykuł:
Zobacz także:
Wróć na
Oferty dla Ciebie
Wystąpił problem z wyświetleniem strony Kliknij tutaj, aby wyświetlić