bg
Chcę wiedzieć o...
Strona główna
Warto wiedzieć
Niemal 1,5 mln złotych kary dla spółki medycznej po ataku hakerskim

Niemal 1,5 mln złotych kary dla spółki medycznej po ataku hakerskim

Dodano: 2024-09-23

Spółka American Heart of Poland SA została ukarana prawie 1,5 mln złotych po ataku hakerskim, który ujawnił szczegółowe dane osobowe około 21 tys. osób. Hakerzy uzyskali dostęp do danych pacjentów i pracowników, takich jak imię, nazwisko, PESEL, dane dotyczące zdrowia, zarobków, konta bankowego, a także adresy, numery telefonów i wyniki testów na COVID. Spółka dowiedziała się o wycieku od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych.

Prezes Urzędu Ochrony Danych Osobowych (UODO) stwierdził, że wyciek był wynikiem błędnej oceny ryzyka oraz niedostatecznych zabezpieczeń stosowanych przez firmę. Okazało się, że spółka w czasie pandemii nie przestrzegała swoich własnych polityk ochrony danych, m.in. przechowując dane medyczne na ogólnodostępnych dyskach sieciowych zamiast w specjalnych systemach. Ponadto, infrastruktura IT była słabo zabezpieczona – trzy serwery nie posiadały aktualnego wsparcia technicznego od stycznia 2020 roku, co stworzyło lukę wykorzystywaną przez hakerów. Dodatkowo, systemy firmy nie były odpowiednio chronione przed atakami phishingowymi, a sama spółka nie była w stanie ustalić, jak doszło do naruszenia.

Kontrola UODO wykazała także, że spółka opierała swoje oceny bezpieczeństwa danych na wewnętrznym audycie, który miał jedynie na celu przedłużenie certyfikatu ISO/IEC 27001:2013. Brakowało jednak prawidłowo przeprowadzonej analizy ryzyka, co doprowadziło do zlekceważenia zagrożeń. Co więcej, spółka nie testowała regularnie skuteczności swoich zabezpieczeń, co wpłynęło na brak realnej oceny poziomu ryzyka.

Prezes UODO nałożył na spółkę karę w wysokości 1 440 549 złotych, nakazał przeprowadzenie prawidłowej analizy ryzyka w ciągu 30 dni oraz wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych. Prezes UODO zaznaczył, że analiza ryzyka musi uwzględniać rzeczywiste zagrożenia, a nie być jedynie formalnością. Podkreślił również, że analiza powinna pozwalać na świadome minimalizowanie ryzyk związanych z przetwarzaniem danych, aby uniknąć podobnych incydentów w przyszłości.

Artykuły powiązane

ZUS odzyskał ponad 150 mln zł dzięki kontrolom zwolnień lekarskich w pierwszej połowie 2025 roku

W pierwszych sześciu miesiącach 2025 roku Zakład Ubezpieczeń Społecznych zdołał odzyskać aż 150,5 mln zł poprzez dokładn...

VAT w odszkodowaniu z OC – decyzja Sądu Najwyższego przesunięta na wrzesień

Sąd Najwyższy odroczył do 24 września 2025 roku podjęcie uchwały, która miała rozstrzygnąć, czy podatek VAT powinien być...

Zastrzeżony PESEL a ubezpieczenie OC – koniec z polisami na cudze dane

Od 27 listopada 2025 roku w życie wejdą przepisy, które umożliwią ubezpieczycielom sprawdzanie, czy numer PESEL osoby ub...