Decyzja Prezesa Urzędu Ochrony Danych Osobowych (PUODO), w której nałożono karę prawie 1,5 miliona złotych na spółkę medyczną American Heart of Poland S.A. za wyciek danych pacjentów wskutek ataku hakerskiego, powinna być sygnałem ostrzegawczym dla wszystkich przedsiębiorców.
Jakie dane wyciekły?
W 2021 r. spółka medyczna padła ofiarą ataku hakerskiego, w wyniku którego wyciekły dane osobowe aż około 21 tysięcy osób. Zdarzenie objęło szeroki zakres danych, tj.: nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail. Hakerzy zażądali 3 miliony dolarów okupu za nieujawnienie przechwyconych danych. Spółka powiadomiła PUODO o ataku, a osoby poszkodowane zostały poinformowane o zagrożeniach związanych z wyciekiem ich danych.
Co przyczyniło się do skuteczności ataku hakerskiego?
Wspomniany wyciek był wynikiem rażących zaniedbań firmy w zakresie ochrony danych osobowych. Podkreślić należy, że spółka nie była w stanie ustalić przyczyny wycieku. Wynikało to przede wszystkim z faktu, iż spółka nie wdrożyła wszystkich niezbędnych środków służących ochronie przetwarzanych przez nią danych. PUODO wskazał, że spółka błędnie założyła, iż poziom bezpieczeństwa przetwarzanych przez nią danych jest właściwy oraz nie przeprowadziła prawidłowej analizy ryzyka, która służy wdrożeniu właściwych środków organizacyjnych i technicznych służących ochronie przetwarzanych danych. Nie były również regularnie testowane skuteczności zabezpieczeń systemów informatycznych. Co więcej platforma chmurowa, wykorzystywana przez spółkę, była zbyt słabo zabezpieczona, a oprogramowanie na serwerach spółki nie zostało zaktualizowane do najnowszej wersji. Powyższe okoliczności przyczyniły się do powstania luk w systemach zabezpieczeń i skuteczności ataku hakerskiego.
Wnioski dla przedsiębiorców
Nałożona kara finansowa to nie jedyny problem, z jakim musi zmierzyć się American Heart of Poland S.A. Wyciek danych osobowych to poważne naruszenie, które może wpłynąć negatywnie na zaufanie klientów i partnerów biznesowych do firmy. W dobie powszechnego dostępu do informacji, opinie i skandale rozprzestrzeniają się błyskawicznie, co dodatkowo utrudnia odbudowę reputacji. Obecnie ochrona danych osobowych nie jest jedynie formalnością, ale kluczowym elementem prowadzenia biznesu. Omawiany przypadek jest kluczowym przykładem na to, jak ważne jest dbanie o bezpieczeństwo danych w każdej firmie, niezależnie od jej wielkości czy branży.
Lekcja płynąca z tej sytuacji jest prosta: regularnie aktualizuj zabezpieczenia, przeprowadzaj rzetelną analizę ryzyka i dbaj o to, by Twoje procedury bezpieczeństwa były zawsze zgodne z obowiązującymi standardami. To nie tylko ochroni Twoją firmę przed potencjalnymi atakami, ale także uchroni przed karami i problemami prawnymi, które mogą powstać w wyniku naruszeń.
Zainwestowanie w odpowiednie środki bezpieczeństwa jest zdecydowanie tańszą i mniej stresującą opcją niż naprawianie szkód po ataku. Skontaktuj się z nami! Zespół SecHub pomoże Ci przeprowadzić analizę ryzyka oraz dobrać odpowiednie zabezpieczenia.