Sierpień przynosi nam informacje o kolejnej karze pieniężnej nałożonej przez prezesa UODO – tym razem na Samodzielny Publiczny Zakład Opieki Zdrowotnej w Pajęcznie. Decyzja jest efektem ataku ransomware, do którego doszło w placówce w lutym 2022 roku.
W wyniku ataku typu ransomware doszło do zaszyfrowania danych 30 tys. pacjentów i ponad tysiąca pracowników. Placówka straciła dostęp do danych, zgłosiła sprawę na policję i do UODO, ale nie poinformowała o fakcie samych zainteresowanych – czyli osób, do których danych straciła dostęp. W wyniku audytu przeprowadzonego już po ataku zakład uznał, że samo zdarzenie nie było poważne, ponieważ nie doszło do wycieku, a jedynie zablokowania dostępu do danych. Jak podaje UODO w swojej decyzji, zewnętrzny ekspert wskazał, że danych nie da się odszyfrować, ponieważ atakujący uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie.
Odmiennego zdania był prezes UODO, który miał kilka zarzutów wobec placówki. Po pierwsze, dotyczyły one braku analizy ryzyka dla danych osobowych i głównie ten zarzut był powodem, dla którego Prezes UODO zdecydował o nałożeniu administracyjnej kary pieniężnej. Placówka nie posiadała analizy ryzyka dla danych osobowych, więc nie miała możliwości jej aktualizacji i zdiagnozowania problemu, które być może pozwoliłoby uniknąć incydentu. Brak analizy skutkował także błędami w działaniach już po incydencie – mowa o braku poinformowania o zdarzeniu osób, których dane zostały zaszyfrowane.
Placówka wyszła z założenia, że nie doszło do wycieku danych, a jedynie ich zaszyfrowania, nie biorąc pod uwagę faktu, że brak śladu wycieku danych nie jest jednoznaczne z tym, że hakerzy mogli te dane skopiować.
Kara finansowa to nie jedyne konsekwencje dla ZOZ-u. Placówka w ciągu 30 dni musi wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewniają bezpieczeństwo przetwarzania danych w systemach informatycznych. Poszkodowani w wyniku incydentu mają także zostać poinformowani o zdarzeniu, jak również uzyskać informacje na temat tego, kto w placówce udziela więcej informacji na ten temat.
Najnowsze komentarze