Cyberbezpieczeństwo w szpitalu trzeba traktować poważnie
| Tagi: | Urzędu Ochrony Danych Osobowych, szpital, szpitale, cyberbezpieczeństwo, kara, systemy informatyczne |
Prezes Urzędu Ochrony Danych Osobowych nałożył karę na Uniwersytecki Dziecięcy Szpital Kliniczny im. Ludwika Zamenhofa w Białymstoku za niewdrożenie odpowiednich środków technicznych i organizacyjnych. Decyzja została wydana w związku z incydentem dotyczącym cyberbezpieczeństwa, którego skutkiem było zablokowanie części zasobów placówki i utrata danych.
Incydent polegał na przełamaniu zabezpieczeń infrastruktury informatycznej szpitala i zainfekowaniu jej złośliwym oprogramowaniem ransomware. W wyniku ataku został zablokowany dostęp do systemów informatycznych, co skutkowało naruszeniem poufności i dostępności danych osobowych ok. 2000 pracowników, w tym możliwością uzyskania do nich nieuprawnionego dostępu. Nie doszło natomiast do zajęcia systemów odpowiedzialnych za przetwarzanie danych osobowych pacjentów – poinformowano o tym na Prawo.pl.
Mirosław Wróblewski, prezes UODO, przypomniał, że obowiązki administratora zostały ustalone na podstawie przepisów rozporządzenia 2016/679 (RODO) i oparte na kryterium ryzyka. Projektowanie mechanizmów przetwarzania powinno się odbywać w procesie dwuetapowym.
W pierwszej kolejności konieczne jest przeanalizowanie przez administratora ryzyka dla praw lub wolności osób fizycznych wynikającego z przetwarzania ich danych osobowych. Następnym etapem jest ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić zgodność z przepisami rozporządzenia 2016/679, w tym stopień bezpieczeństwa odpowiadający temu ryzyku. W okolicznościach niniejszej sprawy, jak stwierdził prezes UODO, analiza ryzyka nie została przeprowadzona jednak w sposób prawidłowy.
Prezes UODO wyjaśnił, że analiza przeprowadzona została na podstawie wadliwej procedury, zgodnie z którą szacowanie ryzyka możliwych zagrożeń przeprowadzono z perspektywy szpitala jako organizacji, a nie ochrony osób, których dane dotyczą.
Po drugie, szpital nie wskazał, jakie procesy przetwarzania poddawał analizie, ani nie powiązał tych procesów z rozpoznanymi zagrożeniami, podatnościami oraz ostateczną oceną ryzyka.
Po trzecie, o nierzetelnym przeprowadzeniu przez szpital analizy ryzyka świadczyć miał także opis proponowanych działań mających na celu postępowanie z ryzykiem. Organ nadzorczy uznał, że przyjęte przez szpital dokumenty, mające świadczyć o przeprowadzonej analizie ryzyka są niespójne, pełne niejasności i nie zawierają konkretnych rozwiązań organizacyjnych i technicznych.
Wyjaśniając, jakie środki techniczne wykorzystywał do zabezpieczenia swoich systemów informatycznych, administrator powoływał się na audyt przeprowadzony pod kątem zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Akt ten koncentruje się jednak przede wszystkim na zapewnieniu bezpiecznego i niezakłóconego systemu świadczenia usług, nie zaś – jak to jest w przypadku rozporządzenia 2016/679 – na ochronie praw i wolności osób fizycznych.
Prawo.pl zwróciło uwagę, że szpital nie wdrożył także stosownej procedury dotyczącej wykonywania i dokumentowania testów odtworzeniowych oraz nie zastosował odpowiednich zabezpieczeń kopii zapasowych, co mogło mieć wpływ to, że po wystąpieniu incydentu szpital nie zdołał w pełni odtworzyć danych utraconych w następstwie tego zdarzenia.
W związku z powyższym prezes UODO nałożył na szpital karę w wysokości 66,5 tys. zł.
Przeczytaj także: „Bezcenne cyberbezpieczeństwo?”.
