Spółka American Heart of Poland SA została ukarana prawie 1,5 mln złotych po ataku hakerskim, który ujawnił szczegółowe dane osobowe około 21 tys. osób. Hakerzy uzyskali dostęp do danych pacjentów i pracowników, takich jak imię, nazwisko, PESEL, dane dotyczące zdrowia, zarobków, konta bankowego, a także adresy, numery telefonów i wyniki testów na COVID. Spółka dowiedziała się o wycieku od hakerów, którzy zażądali 3 mln dolarów okupu za nieujawnienie przechwyconych danych.
Prezes Urzędu Ochrony Danych Osobowych (UODO) stwierdził, że wyciek był wynikiem błędnej oceny ryzyka oraz niedostatecznych zabezpieczeń stosowanych przez firmę. Okazało się, że spółka w czasie pandemii nie przestrzegała swoich własnych polityk ochrony danych, m.in. przechowując dane medyczne na ogólnodostępnych dyskach sieciowych zamiast w specjalnych systemach. Ponadto, infrastruktura IT była słabo zabezpieczona – trzy serwery nie posiadały aktualnego wsparcia technicznego od stycznia 2020 roku, co stworzyło lukę wykorzystywaną przez hakerów. Dodatkowo, systemy firmy nie były odpowiednio chronione przed atakami phishingowymi, a sama spółka nie była w stanie ustalić, jak doszło do naruszenia.
Kontrola UODO wykazała także, że spółka opierała swoje oceny bezpieczeństwa danych na wewnętrznym audycie, który miał jedynie na celu przedłużenie certyfikatu ISO/IEC 27001:2013. Brakowało jednak prawidłowo przeprowadzonej analizy ryzyka, co doprowadziło do zlekceważenia zagrożeń. Co więcej, spółka nie testowała regularnie skuteczności swoich zabezpieczeń, co wpłynęło na brak realnej oceny poziomu ryzyka.
Prezes UODO nałożył na spółkę karę w wysokości 1 440 549 złotych, nakazał przeprowadzenie prawidłowej analizy ryzyka w ciągu 30 dni oraz wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych. Prezes UODO zaznaczył, że analiza ryzyka musi uwzględniać rzeczywiste zagrożenia, a nie być jedynie formalnością. Podkreślił również, że analiza powinna pozwalać na świadome minimalizowanie ryzyk związanych z przetwarzaniem danych, aby uniknąć podobnych incydentów w przyszłości.