• admin@kibc
• 27 sierpnia 2024
• Brak komentarzy

W wyniku ataku typu ransomware doszło do zaszyfrowania danych 30 tys. pacjentów i ponad tysiąca pracowników. Placówka straciła dostęp do danych, zgłosiła sprawę na policję i do UODO, ale nie poinformowała o fakcie samych zainteresowanych – czyli osób, do których danych straciła dostęp. W wyniku audytu przeprowadzonego już po ataku zakład uznał, że samo zdarzenie nie było poważne, ponieważ nie doszło do wycieku, a jedynie zablokowania dostępu do danych. Jak podaje UODO w swojej decyzji, zewnętrzny ekspert wskazał, że danych nie da się odszyfrować, ponieważ atakujący uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie.

Odmiennego zdania był prezes UODO, który miał kilka zarzutów wobec placówki. Po pierwsze, dotyczyły one braku analizy ryzyka dla danych osobowych i głównie ten zarzut był powodem, dla którego Prezes UODO zdecydował o nałożeniu administracyjnej kary pieniężnej. Placówka nie posiadała analizy ryzyka dla danych osobowych, więc nie miała możliwości jej aktualizacji i zdiagnozowania problemu, które być może pozwoliłoby uniknąć incydentu. Brak analizy skutkował także błędami w działaniach już po incydencie – mowa o braku poinformowania o zdarzeniu osób, których dane zostały zaszyfrowane.

Placówka wyszła z założenia, że nie doszło do wycieku danych, a jedynie ich zaszyfrowania, nie biorąc pod uwagę faktu, że brak śladu wycieku danych nie jest jednoznaczne z tym, że hakerzy mogli te dane skopiować.

Kara finansowa to nie jedyne konsekwencje dla ZOZ-u. Placówka w ciągu 30 dni musi wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewniają bezpieczeństwo przetwarzania danych w systemach informatycznych. Poszkodowani w wyniku incydentu mają także zostać poinformowani o zdarzeniu, jak również uzyskać informacje na temat tego, kto w placówce udziela więcej informacji na ten temat.