Infrastruktura informatyczna Spółki American Heart of Poland SA padła ofiarą cyberataku, w wyniku którego hakerzy uzyskali dostęp do szczegółowych danych osobowych około 21 tysięcy osób. Prezes Urzędu Ochrony Danych Osobowych (UODO) stwierdził, że przyczyną tego incydentu były poważne zaniedbania w zakresie oceny ryzyka oraz niewłaściwe przestrzeganie polityki bezpieczeństwa danych przez Spółkę.
Atak hakerski umożliwił nieuprawnionym osobom dostęp do szerokiego zakresu danych pacjentów i pracowników spółki. Wyciekły informacje takie jak nazwiska, imiona, imiona rodziców, nazwisko rodowe matki, daty urodzenia, dane dotyczące zarobków, stan majątku, zdrowia, numer rachunku bankowego, adresy zamieszkania, numery PESEL, dane logowania, numery dowodów osobistych, numery telefonów oraz adresy e-mail. Co więcej, hakerzy zażądali od Spółki okupu w wysokości 3 milionów dolarów za nieujawnienie przechwyconych danych.
Spółka natychmiast powiadomiła Prezesa UODO o incydencie oraz poinformowała osoby, których dane wyciekły, o zagrożeniu. W odpowiedzi, Prezes UODO przeprowadził wnikliwe czynności wyjaśniające i kontrolne, które doprowadziły do wszczęcia postępowania administracyjnego przeciwko Spółce.
Podczas dochodzenia Prezes UODO ustalił, że Spółka nie wdrożyła wszystkich niezbędnych środków ochrony danych, co więcej, nie była w stanie ustalić przyczyny wycieku. Okazało się również, że podczas pandemii COVID-19 Spółka nie przestrzegała swojej polityki bezpieczeństwa danych. Przykładowo, wyniki testów na COVID klientów były przechowywane na dyskach sieciowych, zamiast w specjalnym systemie przeznaczonym do przetwarzania danych medycznych. Dodatkowo, platforma chmurowa wykorzystywana przez Spółkę była zbyt słabo zabezpieczona, a serwery znajdujące się w jej siedzibie nie miały aktualnego wsparcia technicznego od stycznia 2020 roku, co przyczyniło się do powstania luki bezpieczeństwa.
W wyniku zaniedbań w zakresie ochrony przed atakami phishingowymi, hakerzy zdołali uzyskać dostęp do systemu informatycznego Spółki. Co istotne, Spółka bazowała na przeprowadzonym wewnętrznie audycie w celu przedłużenia ważności certyfikatu ISO/IEC 27001:2013, jednakże brak prawidłowo przeprowadzonej analizy ryzyka doprowadził do niewdrożenia właściwych środków organizacyjnych i technicznych chroniących przetwarzane dane.
Prezes UODO nałożył na American Heart of Poland SA karę pieniężną w wysokości 1 440 549 zł. W decyzji administracyjnej zobowiązał Spółkę do poprawienia sposobu przetwarzania danych, przeprowadzenia prawidłowej analizy ryzyka oraz wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Spółka ma na to 30 dni.
Decyzja Prezesa UODO podkreśla konieczność realistycznej oceny zagrożeń związanych z przetwarzaniem danych osobowych oraz właściwego szacowania poziomu ryzyka. Analiza ryzyka nie może być jedynie formalnością, ale musi stanowić skuteczne narzędzie minimalizujące zagrożenia. Przypadek American Heart of Poland SA stanowi ostrzeżenie dla innych podmiotów, że brak właściwej ochrony danych osobowych może prowadzić do poważnych konsekwencji prawnych i finansowych.
W odpowiedzi na zgłoszone przez Spółkę American Heart of Poland SA uwagi, uprzejmie informujemy, że Spółka zaskarżyła decyzję administracyjną Prezesa UODO do Wojewódzkiego Sądu Administracyjnego (WSA). Zaskarżenie decyzji oznacza, że kwestia odpowiedzialności oraz wysokości kary podlega dalszemu postępowaniu sądowemu, co może wpłynąć na ostateczny wynik sprawy.