Do ataku na komputery ZOZ w Pajęcznie doszło w lutym 2022 r. Złośliwe oprogramowanie typu ransomware zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. Hakerzy uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie. ZOZ uznał, że atak nie był poważny, bo dane nie wyciekły, a jedynie stały się niedostępne – zewnętrzny ekspert stwierdził, że nie da się ich odszyfrować. Ale oczywiście powiadomił o wszystkim Prezesa Urzędu Ochrony Danych Osobowych i policję.
Lecznica w ogóle nie analizowała ryzyka dla danych
Jednak Prezes UODO uznał, że sprawa nie jest błaha. A to dlatego, że na zagrożenie dla danych osobowych lecznica zareagowała dopiero po ataku. To wtedy wezwała ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Dopiero wtedy odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych.
Kluczowym dla PUODO dowodem na lekceważenie powinności administratora danych było to, że ZOZ w Pajęcznie nie miał dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych.
- To jedna w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych. W efekcie, przyjęte w ZOZ procedury nie były adekwatne do ryzyk dla danych osobowych. Wykazał to przeprowadzony już po ataku audyt – twierdzi PUODO.
Czytaj więcej
Prezes Urzędu Ochrony Danych Osobowych nałożył na Spółkę American Heart of Poland SA karę w wysokości niemal 1,5 mln zł. Ma to związek z atakiem hakerskim, którego ofiarą padły dane pacjentów i pracowników spółki. Spółka zaskarżyła decyzję Prezesa UODO do WSA.
