Szpital w Pajęcznie utracił dane pacjentów i pracowników po ataku hakerów. Zapłaci za to 40 tys. zł

Samodzielny Publiczny ZOZ w Pajęcznie ma zapłacić 40 tys. zł kary. Nałożył ją na szpital prezes Urzędu Ochrony Danych Osobowych. W wyniku ataku hakerskiego placówka utraciła bowiem dostęp do danych pacjentów i pracowników. W ocenie prezesa dane te nie były odpowiednio chronione.

O sprawie tej UODO poinformował na swojej stronie internetowej w poniedziałek 26 sierpnia. Czytamy tam:

„ W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników. Działania naprawcze podjęła dopiero po fakcie. Wcześniej nie przeprowadziła analizy ryzyka dla danych osobowych. Nie mogła więc skutecznie chronić danych osobowych – stąd kara”.

Hakerzy zaatakowali szpital w lutym 2022 r. Złośliwe oprogramowanie typu ransomware zaszyfrowało dane osobowe 30 tysięcy pacjentów i ponad tysiąca pracowników. Lecznica powiadomiła o tym UODO i policję.

- Uznała jednak, że atak nie był poważny, bo dane nie wyciekły - stały się tylko niedostępne – czytamy w komunikacie na stronie urzędu.

Aby ZOZ uzyskał możliwość odszyfrowania utraconych danych, hakerzy zażądali okupu w kryptowalucie.

Prezes UODO w swoim postępowaniu ustalił, że sprawa była bardzo poważna. Zarzucił szpitalowi, że na bezpieczeństwo danych osobowych zareagował dopiero po ataku. Wezwani wówczas eksperci wychwycili luki w zabezpieczeniach danych i wskazali zmiany. Wtedy też odbyły się szkolenia pracowników w zakresie bezpieczeństwa danych.

W swoim komunikacie, UODO przekazał również że szpital „nie miał dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m. in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych”.

UODO zwrócił również uwagę, że pajęczańska lecznica nie powiadomiła osób, których dane stały się obiektem ataku, że straciła kontrolę nad takimi danymi jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, PESEL, nazwa użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.

UODO wskazał też na to, że w wyniku ataku, dostęp do danych dotyczących swojego zdrowia utracili pacjenci.

Oprócz zapłacenia 40 tys. zł kary, szpital powinien również w terminie 30 dni wdrożyć zmiany zapewniające bezpieczeństwo przetwarzania danych oraz musi poinformować o ataku i związanych z nim konsekwencjami osoby, których dane dotyczą.

W opisywanej sprawie próbowaliśmy skontaktować się z Krzysztofem Leszczykiem, dyrektorem Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Pajęcznie. Dowiedzieliśmy się tylko, że obecnie przebywa na urlopie.