Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Atak ransomware doprowadził do zaszyfrowania danych i zablokowania dostępu do serwerów fizycznych i wirtualnych Uniwersyteckiego Dziecięcego Szpitala Klinicznego im. L. Zamenhofa. Cyberprzestępcy prawdopodobnie wykorzystali skompromitowane hasło administratora domeny, aby przełamać zabezpieczenia infrastruktury i wprowadzić złośliwe oprogramowanie. Niewystarczająca kontrola nad dostępem (brak silnej polityki haseł i uwierzytelniania wieloskładnikowego) oraz brak regularnego monitorowania, testowania i aktualizacji zabezpieczeń sprawiły, że atak był możliwy i zakończył się powodzeniem.

Opis wydarzeń

1. Zgłoszenie naruszenia do UODO: 13 stycznia 2020 r. szpital poinformował Prezesa UODO o incydencie. Urząd wszczął postępowanie administracyjne i wezwał administratora do złożenia wyjaśnień.

2. Przebieg ataku: 11 stycznia 2020 r. późnym wieczorem nastąpiło włamanie do sieci szpitala i instalacja ransomware. Atak objął serwery fizyczne oraz maszyny wirtualne obsługujące m.in. system rozliczeń z ZUS, kontrolę dostępu oraz domenę. Systemy HIS przetwarzające dane pacjentów nie zostały zainfekowane, jednak dane personelu zostały zaszyfrowane.

3. Zakres danych i liczba osób: Zaszyfrowane zostały dane ok. 2 000 pracowników, w tym nazwiska, imiona rodziców, daty urodzenia, adresy zamieszkania lub pobytu, numery PESEL, informacje o przynależności do związków zawodowych, loginy do systemu wewnętrznego, numery kart dostępowych oraz informacje o komórce organizacyjnej.

4. Przyczyna techniczna: Według szpitala najbardziej prawdopodobne było przejęcie hasła administratora domeny i wykorzystanie go do włamania. Brak kontroli nad jakością haseł i nie stosowanie mechanizmów typu MFA ułatwiło atak.

5. Niewystarczające środki bezpieczeństwa: Przed incydentem szpital nie przeprowadził rzetelnej analizy ryzyka skoncentrowanej na ochronie danych osobowych. W organizacji brakowało procedur regularnego testowania i oceny skuteczności zabezpieczeń, nie dokumentowano testów kopii zapasowych, umożliwiano zdalny dostęp z prywatnych urządzeń, stosowano nieaktualne oprogramowanie oraz nie prowadzono centralnego monitoringu i logowania.

6. Działania po incydencie: Administrator odzyskał dostęp do niektórych systemów (m.in. programu Płatnik, systemu kontroli dostępu oraz kontrolerów domeny) z kopii zapasowych, lecz utracił pliki i zmiany powstałe między lipcem 2019 r. a styczniem 2020 r. Incydent został zgłoszony do CERT Polska oraz prokuratury. Na podstawie audytu cyberbezpieczeństwa wprowadzono zmiany, jednak Prezes UODO uznał, że podjęte działania nie spełniają wymagań RODO, ponieważ koncentrowały się na zgodności z ustawą o krajowym systemie cyberbezpieczeństwa, a nie na ryzyku dla praw i wolności osób fizycznych.

7. Wysokość kary: W wyniku postępowania administracyjnego Prezes UODO nałożył na szpital administracyjną karę pieniężną w wysokości 66 500 PLN.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Przeprowadzenie i dokumentowanie analizy ryzyka: Administrator powinien cyklicznie identyfikować zagrożenia dla praw i wolności osób fizycznych oraz oceniać prawdopodobieństwo i skutki ich materializacji. Ryzyko należy oceniać z perspektywy osoby, której dane dotyczą, uwzględniając charakter, zakres, kontekst i cele przetwarzania. Analiza powinna być aktualizowana przy zmianach systemów lub infrastruktury.

2. Wzmocnienie kontroli dostępu: Stosuj silne hasła, mechanizmy uwierzytelniania wieloskładnikowego (MFA) oraz zasady minimalnych uprawnień.

3. Polityka zarządzania podatnościami: Wdrażaj procedury regularnego aktualizowania systemów, aplikacji i sprzętu. Zalecane jest opracowanie i dokumentowanie polityki zarządzania poprawkami, z priorytetem dla usług narażonych na publiczny dostęp oraz krytycznych łatek.

4. Bezpieczeństwo kopii zapasowych: Twórz regularne, szyfrowane kopie zapasowe i przechowuj je poza główną siecią (offline), a następnie testuj ich odtwarzanie.

5. Monitoring i wykrywanie incydentów: Wdrażaj narzędzia do rejestrowania i monitorowania zdarzeń oraz reagowania na incydenty. Organizacje powinny umieć wykryć atak i zareagować zanim wyrządzi szkody, co wymaga odpowiednich mechanizmów monitoringu i logowania.

6. Plan reagowania na incydenty: Przygotuj i regularnie testuj procedury postępowania w razie naruszenia, określając sposób eskalacji, kontakty do CERT, harmonogramy testów odtworzeniowych oraz kryteria powiadamiania UODO i osób, których dane dotyczą.

7. Szkolenia i świadomość pracowników: Zapewnij cykliczne szkolenia dotyczące ochrony danych i cyberbezpieczeństwa, ze szczególnym uwzględnieniem phishingu i zagrożeń ransomware.

8. Regularne testy, audyty i ocena skuteczności środków: Zastosowane zabezpieczenia powinny podlegać cyklicznym testom, audytom i ocenie skuteczności (np. testy penetracyjne, skanowanie podatności, audyty zgodności).

9. Bezpieczny dostęp zdalny i segmentacja sieci: Ogranicz możliwość zdalnego dostępu do sieci szpitala, stosuj dedykowane urządzenia (np. służbowe laptopy) z aktualnym oprogramowaniem, szyfrowaniem i VPN. Oddziel środowiska produkcyjne od testowych i stosuj segmentację sieci, aby ograniczyć rozprzestrzenianie się złośliwego oprogramowania.

10. Dodatkowe środki dla danych wrażliwych: Dane szczególnych kategorii (np. o przynależności związkowej) wymagają zwiększonego poziomu ochrony, w tym szyfrowania, pseudonimizacji oraz ograniczenia dostępu. Administrator powinien upewnić się, że środki spełniają wymogi art. 9 RODO i sektorowych przepisów dotyczących ochrony zdrowia.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu