UODO nakłada karę 1,5 mln zł na American Heart of Poland


1,5 mln to jedna z największych kar nałożonych przez UODO na spółkę działającą w ochronie zdrowia
1,5 mln to jedna z największych kar nałożonych przez UODO na spółkę działającą w ochronie zdrowia

W wyniku ataku hakerskiego na Spółkę American Heart of Poland SA, cyberprzestępcy uzyskali dostęp do danych osobowych około 21 tysięcy osób. Po kontroli UODO stwierdził, że dane nie były prawidłowo chronione i ukarał AHP rekordową jak na ochronę zdrowia karą 1,5 mln zł.

AHP dowiedziała się o naruszeniu dopiero wtedy, gdy hakerzy zażądali okupu w wysokości 3 milionów USD za nieujawnienie skradzionych danych, wśród których znalazły się dane osobowe oraz finansowe pacjentów i pracowników. Z ustaleń UODO wynika, że cyberprzestępcy najprawdopodobniej uzyskali dostęp do danych stosując atak phishingowy, a spółka niewłaściwie chroniła się przed tego typu zagrożeniami

Po tym jak AHP zgłosiła incydent, Prezes Urzędu Ochrony Danych Osobowych (UODO) przeprowadził kontrolę. Wykazała ona poważne zaniedbania w zakresie ochrony danych. Stwierdzono, że AHP nie przestrzegała własnych polityk bezpieczeństwa, nie wdrożyła odpowiednich środków ochrony danych, a także niewłaściwie oceniła ryzyko związane z ich przetwarzaniem. Ponadto, systemy informatyczne spółki były narażone na ataki z powodu braku aktualizacji oprogramowania oraz słabych zabezpieczeń platformy chmurowej.

Zarzuty dotyczą kilku zaniedbań bezpieczeństwa danych. UODO wskazuje, że AHP:

  • nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez danych,
  • nie była w stanie ustalić przyczyny wycieku;
  • nie przestrzegała własnych zaleceń dotyczących bezpieczeństwa danych;
  • słabo chroniła platformę chmurową;
  • niewłaściwie chroniła się przed atakami „phishingowymi”.

W związku z tym, Prezes UODO nałożył na spółkę karę pieniężną w wysokości 1 440 549 zł oraz zobowiązał ją do przeprowadzenia rzetelnej analizy ryzyka i wdrożenia odpowiednich środków technicznych i organizacyjnych w ciągu 30 dni. Spółka musi również regularnie sprawdzać skuteczność swoich zabezpieczeń, aby uniknąć podobnych incydentów w przyszłości.

W uzasadnieniu kary UODO wskazuje, że “spółka nie testowała regularnie skuteczności zabezpieczeń systemów informatycznych. W taki sposób pozbawiła się istotnego środka służącego do miarodajnej oceny poziomu ryzyka przy przetwarzaniu danych.”

Prezes UODO podkreślił, że prawidłowo przeprowadzona analiza ryzyka jest kluczowa dla skutecznej ochrony danych osobowych, a jej niedokładne wykonanie może prowadzić do poważnych naruszeń bezpieczeństwa: “Analiza ryzyka nie może być pozorną czynnością wykonywaną jedynie dla spełnienia wymogów formalnych przepisów o ochronie danych osobowych, ponieważ wówczas nie działa ona jako skuteczny sposób minimalizowania zagrożeń.

Spółka odwołała się od tej decyzji w trybie sądowym.