Cyberatak na szpital, dane pacjentów utracone. UODO nałożył karę

40 tys. zł kary nałożył Prezes Urzędu Ochrony Danych Osobowych na Samodzielny Publiczny Zakład Opieki Zdrowotnej w Pajęcznie. Po ataku hakerskim placówka straciła dostęp do danych pacjentów i pracowników. UODO ocenił, że nie były one odpowiednio chronione. Szpital podjął działania naprawcze dopiero po fakcie.

Szpital utracił dane pacjentów. UODO nałożył karęSzpital utracił dane pacjentów. UODO nałożył karę
Źródło zdjęć: © Adobe Stock, Pexels
Paulina Antoniak
oprac.  Paulina Antoniak

Do ataku hakerskiego na szpital doszło w lutym 2022 r. Złośliwe oprogramowanie typu ransomware zaszyfrowało dane 30 tys. pacjentów i ponad tysiąca pracowników. Internetowi przestępcy domagali się okupu w kryptowalucie. Danych finalnie nie odzyskano.

Placówka powiadomiła o ataku UODO i policję. Uznano jednak, że atak nie był poważny, bo dane nie wyciekły, a stały się jedynie niedostępne. Prezes UODO ustalił jednak w postępowaniu, że sprawa była istotna.

Na zagrożenie dla danych osobowych ZOZ zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych. ZOZ nie miał jednak – co jest kluczowe – dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych - wyjaśnia UODO w komunikacie.

Dalsza część artykułu pod materiałem wideo

Miliardy dolarów strat oraz skradzionych kont

Szpital nie chronił odpowiednio danych pacjentów. Jest kara

UODO przekazał, że bezpieczeństwo danych powierzono informatykowi, a to nie mogło zagwarantować właściwej kontroli.

- Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych - zaznaczył UODO.

Czytaj także: Minister ostrzega przed cyberatakami. Polska na celowniku Rosjan

Przeprowadzony po ataku audyt wykazał, że przyjęte w ZOZ procedury nie były adekwatne do ryzyk dla danych osobowych.

Ponadto, nie mając analizy ryzyka ZOZ popełnił błędy także po incydencie – zgłosił swój problem UODO i Policji, ale nie zauważył problemu osób, których dane dotyczyły.

Czytaj także: Polska celem hakerów. Generał Molenda ujawnia, kto stoi za cyberatakami

Nie powiadomił ich, że stracił kontrolę nad danymi takimi jak: imię i nazwisko, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia - zaznaczył prezes UODO.

Na szpital została nałożona kara finansowa w wysokości 40 tys. złotych. Prezes UODO zalecił także placówce wdrożenie w terminie 30 dni zmian zapewniających bezpieczeństwo przetwarzania danych oraz nakazał poinformowanie o zdarzeniu osób, których dane utracono.

Czytaj także: Chińscy hakerzy latami kradli dane Volkswagena?

Źródło artykułu: o2pl
Wybrane dla Ciebie
Mieli zagrać mecz w Australii. Z tego powodu musieli go odwołać
Mieli zagrać mecz w Australii. Z tego powodu musieli go odwołać
Znieważyli starszą kobietę w autobusie. Jej syn wziął sprawy w swoje ręce
Znieważyli starszą kobietę w autobusie. Jej syn wziął sprawy w swoje ręce
Ukraiński wywiad publikuje nagranie. Desperacja rosyjskich żołnierzy
Ukraiński wywiad publikuje nagranie. Desperacja rosyjskich żołnierzy
Putin w błędzie? Fałszywe raporty docierają na Kreml
Putin w błędzie? Fałszywe raporty docierają na Kreml
Papież Leon XIV ma apel. Chodzi o nadużycia duchownych
Papież Leon XIV ma apel. Chodzi o nadużycia duchownych
Barki uziemione w kanale. Zapadlisko usunęło wodę
Barki uziemione w kanale. Zapadlisko usunęło wodę
Dwa dni przed Wigilią. Poszedł do lasu i wrócił z pełnym koszem
Dwa dni przed Wigilią. Poszedł do lasu i wrócił z pełnym koszem
Uczeń podstawówki miał dusić nauczycielkę. Policja poinformowana dwa dni później
Uczeń podstawówki miał dusić nauczycielkę. Policja poinformowana dwa dni później
Zapłacił za zakupy dziecka w Biedronce. Wytłumaczył, dlaczego
Zapłacił za zakupy dziecka w Biedronce. Wytłumaczył, dlaczego
Uciekł ze szpitala psychiatrycznego. Ranni strażnicy. Nowe informacje
Uciekł ze szpitala psychiatrycznego. Ranni strażnicy. Nowe informacje
Incydent z Ryanair. Samolot uderzył w cysternę
Incydent z Ryanair. Samolot uderzył w cysternę
Była w towarzystwie Kim Dzong Una. Może przejąć po nim władzę
Była w towarzystwie Kim Dzong Una. Może przejąć po nim władzę