Szpital Uniwersytecki w Krakowie poinformował o naruszeniu ochrony danych osobowych pacjentów. Nieznany sprawca uzyskał dostęp do skrzynki e-mail jednego z pracowników, w której mogła znajdować się korespondencja zawierająca m.in. numery PESEL i informacje o stanie zdrowia.
Do incydentu doszło w systemie poczty elektronicznej szpitala. Jak wynika z opublikowanego komunikatu, przestępca internetowy uzyskał dostęp do skrzynki mailowej pracownika placówki – „W systemie poczty elektronicznej Szpitala poprzez celowe i szkodliwe działanie przestępcy internetowego doszło do uzyskania dostępu do skrzynki e-mail pracownika Szpitala” – przekazała placówka.
Według wstępnych ustaleń w skrzynce znajdowała się korespondencja zawierająca dane osobowe pacjentów diagnozowanych przede wszystkim w ramach tzw. szybkiej ścieżki onkologicznej, czyli procedury związanej z Kartą Diagnostyki i Leczenia Onkologicznego (DILO). W wiadomościach mogły znajdować się różne kategorie danych. Szpital wskazuje, że chodzi m.in. o dane identyfikacyjne i kontaktowe, takie jak imię i nazwisko, numer PESEL, numer telefonu, adres e-mail czy miejsce zamieszkania. W części korespondencji mogły pojawiać się również informacje dotyczące stanu zdrowia pacjentów – „Dotychczasowe ustalenia wskazują, że w skrzynce tej znajdowała się korespondencja zawierająca dane osobowe pacjentów Szpitala diagnozowanych przede wszystkim w ramach tzw. szybkiej ścieżki onkologicznej (Karta DILO)” – informuje szpital.
Placówka podkreśla jednak, że na obecnym etapie nie ma informacji, aby dane zostały wykorzystane lub ujawnione publicznie – „W dniu opublikowania niniejszego powiadomienia Szpital nie ma informacji i nie potwierdził, by dane te zostały w jakikolwiek sposób wykorzystane, w tym udostępnione do wiadomości publicznej” – czytamy w komunikacie. Jednocześnie szpital wskazuje, że w przypadku naruszenia danych osobowych istnieje ryzyko prób ich wykorzystania przez osoby trzecie. Może to dotyczyć m.in. podszywania się pod pacjentów w celu uzyskania korzyści finansowych, prób wyłudzeń czy uzyskania dostępu do usług wymagających potwierdzenia tożsamości za pomocą numeru PESEL.
Po wykryciu incydentu placówka wdrożyła działania mające ograniczyć jego skutki oraz zabezpieczyć systemy informatyczne. Jak podano w komunikacie, w pierwszej dobie od wykrycia zdarzenia usunięto nieuprawniony dostęp do skrzynki, zmieniono hasła i odcięto potencjalne kanały dostępu – „W ciągu pierwszej doby zgłosiliśmy incydent zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa, usunęliśmy nieuprawniony dostęp i poświadczenia, wymusiliśmy zmianę haseł i odcięliśmy potencjalne kanały dostępu, wszczęliśmy wewnętrzne postępowania wyjaśniające, zgłosiliśmy naruszenie do Prezesa Urzędu Ochrony Danych Osobowych, a także zawiadomiono Policję o możliwości popełnienia przestępstwa” – informuje Szpital Uniwersytecki w Krakowie.
Placówka apeluje do pacjentów o zachowanie szczególnej ostrożności przy udostępnianiu danych osobowych, zwłaszcza w internecie lub podczas rozmów telefonicznych. W komunikacie zalecono również ostrożność wobec niespodziewanych wiadomości e-mail oraz nieotwieranie podejrzanych linków i załączników. Szpital rekomenduje także monitorowanie aktywności na rachunkach bankowych oraz w usługach elektronicznych. Pacjenci mogą również rozważyć zastrzeżenie numeru PESEL w rządowym systemie lub w aplikacji mObywatel.
Osoby, które mają pytania dotyczące incydentu lub podejrzewają, że ich dane mogły zostać wykorzystane w sposób nieuprawniony, mogą skontaktować się z inspektorem ochrony danych Szpitala Uniwersyteckiego w Krakowie.
