Kara prawie 1,5 mln złotych dla spółki medycznej po ataku hakerskim.

Infrastruktura informatyczna Spółki American Heart of Poland SA została zaatakowana przez hakerów, którzy uzyskali w ten sposób dostęp do szczegółowych danych osobowych około 21 tys. osób. Prezes UODO ustalił, że doszło do tego, ponieważ spółka źle szacowała ryzyko dla danych. Dodatkowo w pandemii nie przestrzegała swojej własnej polityki dotyczącej bezpieczeństwa danych.

Nieuprawnione osoby uzyskały dostęp do danych pacjentów i pracowników spółki. Zdarzenie objęło szeroki zakres danych, tj.: nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.

O wycieku danych spółka dowiedziała się od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie Prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem.

Prezes UODO przeprowadził w tej sprawie czynności wyjaśniające i kontrolne, a w ich następstwie wszczął wobec spółki postępowanie administracyjne.

Ponadto, Prezes UODO w toku przeprowadzonych czynności ustalił, że:

• spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych, a ponadto nie była w stanie ustalić przyczyny wycieku;
• spółka nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych, tzn. informacje o wynikach testów na COVID klientów przechowywała na dyskach sieciowych, podczas gdy dane medyczne powinny być przechowywane w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia;
• platforma chmurowa, wykorzystywana przez spółkę, była zbyt słabo zabezpieczona. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 r.). Oprogramowanie na serwerach spółki nie zostało zaktualizowane przez niedopatrzenie informatyków, dlatego w systemie informatycznym powstała luka, która mogła przyczynić się do przejęcia urządzeń przez hakerów;
  • spółka niewłaściwie chroniła się przed atakami „phishingowymi”, polegającymi na podszywaniu się osoby atakującej system pod inny podmiot (osobę). Według ustaleń Prezesa UODO, z dużym prawdopodobieństwem właśnie w taki sposób hakerzy dostali się do systemu informatycznego.

[..]

Żródło - https://uodo.gov.pl/pl/138/3273