Co se může stát, když podceníte ochranu osobních údajů Odstrašujícím příkladem je útok na polské zdravotnické zařízení, které přišlo o údaje 30 tisíc pacientů. Navíc teď ještě zaplatí pokutu za porušení GDPR.
Slovensko není jediné, které mělo v poslední době problémy s kybernetickými útoky. Veřejné zdravotnické zařízení v Polsku čelilo pokutě ze strany polského dozorového úřadu po incidentu, jenž vedl ke ztrátě přístupu k osobním údajům pacientů a zaměstnanců tohoto zařízení. O přístup k osobním údajům zdravotnické zařízení přišlo po hackerském útoku a provoz zařízení byl následně ochromen. Polský dozorový úřad na tento případ zareagoval uložením pokuty za závažné porušení GDPR. Ten to hackerský útok odhalil nejen nedostatečnou ochranu osobních údajů, ale také slabiny v analýze rizik a prevenci před bezpečnostními hrozbami.
Průběh hackerského útoku
V únoru 2022 zaútočili hackeři na IT systémy zdravotnického zařízení škodlivým ransomwarem. Ten zašifroval osobní údaje zhruba 30 tisíc pacientů a více než tisícovky zaměstnanců, dodavatelů a spolupracovníků zdravotnického zařízení. Zdravotnické zařízení oznámilo útok polskému dozorovému úřadu a policii. Vedení zdravotnického zařízení se však domnívalo, že útok nebyl závažný, jelikož osobní údaje nebyly prokazatelně odcizeny. Tyto údaje se staly „pouze“ nedostupnými. Vedení zdravotnického zařízení přitom nezohlednilo možné zkopírování osobních údajů ze strany útočníků a ohrožení léčby pacientů, kteří útokem ztratili přístup ke svým zdravotnickým záznamům.
Útočníci požadovali za dešifrování osobních údajů výkupné ve formě kryptoměny. Externí odborníci přitom uvedli, že dešifrování údajů nebude možné provést bez splnění uvedeného požadavku útočníků.
Pacienti kvůli kyberútoku přišli o přístup ke svým zdravotním údajům
V čem spočívalo porušení GDPR
Polský dozorový úřad zjistil, že zdravotnické zařízení před hackerským útokem nepřijalo dostatečná opatření k ochraně osobních údajů v souladu s GDPR. Zdravotní středisko především nedisponovalo dokumenty, jež by potvrzovaly přípravu a aktualizaci analýzy rizik pro osobní údaje, která by hodnotila možná ohrožení, slabá místa a potřebná opatření. Bezpečnost údajů byla svěřena IT specialistovi, který sice průběžně analyzoval mj. hrozby a možné důsledky narušení k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných osobních údajů, to však dle polského dozorového úřadu v žádném případě nemohlo zajistit řádnou kontrolu nad bezpečností osobních údajů. Bez řádné analýzy rizik nebylo zdravotnické zařízení schopné efektivně chránit zpracovávané osobní údaje.
Dalším nedostatkem, který polský dozorový úřad shledal, byl fakt, že zdravotnické zařízení zareagovalo na ohrožení osobních údajů až po útoku. Externí odborníci, kteří identifikovali řadu bezpečnostních mezer a doporučili nezbytné změny, byli tedy přizváni až po útoku. Školení zaměřená na IT bezpečnost pro zaměstnance zdravotnického zařízení proběhla také až po útoku, což ukazovalo, že toto zařízení nezavedlo dostatečná preventivní opatření, která by útoku zabránila.
Polský dozorový úřad tak zhodnotil, že ve zdravotnickém zařízení nebyly přijaty adekvátní postupy pro předcházení rizikům spojeným se zpracováním osobních údajů. Prokázal to audit, který byl po útoku proveden. Nedostatečná ochrana osobních údajů ze strany zdravotnického zařízení se navíc projevila nejenom v útoku samotném, ale také v reakci na něj.
Po hackerském útoku se zdravotnické zařízení dopustilo dalšího závažného pochybení. Sice o útoku informovalo polský dozorový úřad a policii, ale neinformovalo dotčené subjekty údajů, jejichž osobní údaje byly napadeny. Mezi zasažené údaje přitom patřily jména a příjmení, data narození, rodná čísla, čísla průkazů totožnosti, adresy bydliště, čísla bankovních účtů, uživatelská jména a hesla, telefonní čísla, informace o majetkových poměrech a v neposlední řadě zdravotní údaje, které jsou považovány za citlivé osobní údaje.
Vedení zdravotnického zařízení mělo za to, že oznámení dotčeným subjektům údajů není nutné, jelikož nepovažovalo útok za závažný. Toto rozhodnutí bylo v rozporu s požadavky čl. 34 GDPR, které jasně stanoví povinnost informovat subjekty údajů při ztrátě kontroly nad jejich osobními údaji. Pokud by byla provedena důkladná analýza rizik, zdravotnické zařízení by pochopilo, že hrozba pro pacienty spočívá nejen v možném úniku osobních údajů, ale také v jejich nedostupnosti. Tato rizika nelze podceňovat, neboť můžou mít přímý dopad na zdravotní poměry pacientů.
Zařízení pochybilo, když neinformovalo dotčené subjekty údajů
Následky pro zdravotnické zařízení
Na základě uvedeného tak polský dozorový úřad shledal porušení článků 5, 24, 25, 32 a 34 GDPR ze strany zdravotnického zařízení. V důsledku tohoto porušení byla polským dozorovým úřadem uložena pokuta ve výši 9 300 eur (přibližně 234 tisíc korun českých).
Kromě pokuty bylo polským dozorovým úřadem zdravotnickému zařízení nařízeno, aby do 30 dnů zavedlo vhodná technická a organizační opatření k zajištění bezpečnosti zpracování osobních údajů v IT systémech. Též bylo nařízeno, aby toto zařízení informovalo subjekty údajů o incidentu, včetně vysvětlení povahy incidentu, nastínění možných důsledků, a uvedlo kontaktní údaje osoby, jež může subjektům údajů poskytnout další informace. Tato opatření mají zajistit, že podobné útoky nebudou v budoucnu opakovány a že dotčené subjekty údajů budou řádně informovány o rizicích spojených s případným útokem.
Poučení pro správce
Případ polského zdravotnického zařízení může sloužit jako varování pro všechny subjekty, které zpracovávají citlivé osobní údaje, aby nezapomínaly na dostatečnou prevenci. Podceňování bezpečnostních opatření může mít totiž negativní důsledky jak pro subjekty zpracovávající osobní údaje, tak pro subjekty těchto údajů.
Comments