W dniu 19 listopada 2024 r. Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku ujawnił poważne naruszenie ochrony danych osobowych. Nieznane osoby uzyskały dostęp do skrzynki mailowej sekretariatu szpitala, co doprowadziło do usunięcia wiadomości i wykorzystania konta do wyłudzania loginów oraz haseł.
Co się wydarzyło w szpitalu we Włocławku?
W komunikacie opublikowanym przez szpital poinformowano o ujawnieniu nieuprawnionego dostępu do skrzynki mailowej sekretariatu. Atakujący nie tylko usunęli istniejącą korespondencję, ale także wykorzystali konto do wysyłania fałszywych wiadomości phishingowych. Z uwagi na skalę naruszenia, szpital zaangażował specjalistów ds. bezpieczeństwa informatycznego i zgłosił sprawę do odpowiednich organów, w tym Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Jakie dane mogły zostać ujawnione?
Na chwilę obecną szpital nie jest w stanie dokładnie określić zakresu wycieku danych. Jednakże w przypadku części korespondencji mogły one obejmować:
- Imię i nazwisko,
- Numer PESEL,
- Adres zamieszkania,
- Informacje o stanie zdrowia.
Takie dane są szczególnie wrażliwe, a ich wykorzystanie przez osoby trzecie może prowadzić do poważnych konsekwencji.
Potencjalne konsekwencje wycieku danych
Szpital wskazał, że skutki naruszenia mogą być wielorakie. Wśród potencjalnych zagrożeń wymienia się:
- Wyłudzanie danych za pomocą phishingu.
- Podszywanie się pod poszkodowane osoby w celu uzyskania kredytów lub pożyczek.
- Uzyskanie dostępu do systemów medycznych.
- Wykorzystanie danych do rejestracji kont w mediach społecznościowych lub w serwisach finansowych.
Dodatkowo, ujawnienie informacji o stanie zdrowia pacjentów może naruszać ich dobra osobiste.
Działania podjęte przez szpital
W odpowiedzi na incydent szpital wdrożył szereg działań, aby ograniczyć skutki wycieku:
- Zgłoszenie incydentu do UODO, CSIRT NASK, CSIRT CEZ oraz złożone również zostanie zawiadomienie o podejrzeniu popełnienia przestępstwa.
- Wdrożenie dodatkowych środków bezpieczeństwa.
- Szkolenia personelu dotyczące ochrony danych.
- Prowadzenie śledztwa w celu określenia zakresu naruszenia.
Wyciek danych osobowych w szpitalu we Włocławku to poważne ostrzeżenie dla całej branży medycznej i farmaceutycznej. Wzmożona ostrożność, wdrożenie dodatkowych procedur bezpieczeństwa oraz edukacja personelu mogą pomóc w minimalizacji ryzyka podobnych incydentów w przyszłości. Pacjentom natomiast zaleca się podjęcie odpowiednich działań, aby chronić swoje dane i uniknąć negatywnych konsekwencji.
W sprawie incydentu naruszenia danych należy kontaktować się z inspektorem ochrony danych osobowych, Panią Magdaleną Adamek-Balcerowicz, pod adresem e-mail: iodo@szpital.wloclawek.pl.
Źródło:
- https://www.szpital.wloclawek.pl/
