Επίθεση με ransomware: Πρόστιμο σε νοσοκομείο για τη μη διενέργεια DPIA
Εκτός από την παραβίαση των απαιτήσεων ασφάλειας, η βελγική αρχή διαπίστωσε και την αυτοτελή παραβίαση της υποχρέωσης του άρθρου 35 ΓΚΠΔ
Η υποχρέωση διενέργειας εκτίμησης αντικτύπου είναι ένα από τα ζητήματα που συχνά εξετάζονται στο πλαίσιο έρευνας της εποπτικής αρχής μετά από τη γνωστοποίηση παραβίασης δεδομένων. Στις περισσότερες περιπτώσεις, το αν ο υπεύθυνος επεξεργασίας είχε πραγματοποιήσει DPIA ή το κατά πόσον η DPIA αυτή ήταν πλήρης και εμπεριστατωμένη, συνήθως εντάσσεται στις ευρύτερες υποχρεώσεις ασφάλειας που φέρει ο υπεύθυνος επεξεργασίας, σύμφωνα με τις προβλέψεις των άρθρων 5 παρ.1στ’, 24 και 32 ΓΚΠΔ. Αυτές είναι και οι διατάξεις, η παραβίαση των οποίων επιφέρει συνήθως πρόστιμο σε βάρος του υπευθύνου επεξεργασίας.
Διαφορετική υπήρξε η προσέγγιση της βελγικής αρχής προστασίας δεδομένων APD, σε υπόθεση κυβερνοεπίθεσης σε βάρος νοσοκομείου. Η κυβερνοεπίθεση πραγματοποιήθηκε κάποια στιγμή κατά το έτος 2021 με τη μέθοδο του ransomware, με το νοσοκομείο να υποβάλει εγκαίρως την προβλεπόμενη εκ του άρθρου 33 ΓΚΠΔ γνωστοποίηση παραβίασης δεδομένων προς την εποπτική αρχή. Σύμφωνα με τις πληροφορίες που συλλέχθηκαν στο πλαίσιο της έρευνας που ακολούθησε, η επίθεση προς τους servers του νοσοκομείου πραγματοποιήθηκε από χάκερ στην Ασία, μέσω του email server Microsoft Exchange. Ο χάκερ επιτέθηκε στα email του προσωπικού του νοσοκομείου και μέσω αυτών απεγκατέστησε το antivirus πρόγραμμα για να εγκαταστήσει ένα κακόβουλο πρόγραμμα, το οποίο του επέτρεψε να δημιουργήσει λογαριασμό με δικαιώματα διαχειριστή. Ακολούθως, ενεργοποίησε το BitLocker, μπλοκάροντας την πρόσβαση σε όλα τα δεδομένα του νοσοκομείου, που τηρούνταν στους servers της Microsoft. Κάθε φορά που ένας χρήστης επιχειρούσε να εισέλθει στα πληροφοριακά συστήματα, η πρόσβαση αποκλειόταν και εμφανιζόταν ένα μήνυμα σχετικά με την καταβολή χρημάτων.
Η APD εξέτασε σειρά μέτρων ασφάλειας που είχαν ληφθεί από το νοσοκομείο, προκειμένου να αποτρέπονται παρόμοιες επιθέσεις, παράλληλα όμως ζήτησε και την εκτίμηση αντικτύπου που είχε διενεργηθεί ως προς τη λειτουργία των πληροφοριακών συστημάτων του. Η εκτίμηση αντικτύπου αυτή δεν υπήρχε, με το νοσοκομείο να προσκομίζει παρεμφερή risk analysis, η οποία κατά τη γνώμη του ήταν επαρκής και απολύτως συναφής.
Όπως ειδικότερα προβλήθηκε ενώπιον της αρχής:
α. Η παραβίαση των δεδομένων αφορούσε την πρόσβαση στα email του προσωπικού, επεξεργασία η οποία δεν σχετίζεται με τα ευαίσθητα δεδομένα που επεξεργάζεται το νοσοκομείο, ούτε και απαιτεί τη διενέργεια DPIA.
β. Η εκτίμηση αντικτύπου δεν λαμβάνει συγκεκριμένο τύπο, ως εκ τούτου η διενέργεια εκτίμησης κινδύνων που είχε πραγματοποιηθεί κάλυπτε και την υποχρέωση του άρθρου 35 ΓΚΠΔ.
γ. Η επίμαχη επεξεργασία προϋπήρχε της έναρξης εφαρμογής του ΓΚΠΔ, ως εκ τούτου δεν προϋπέθετε τη διενέργεια DPIA. Σε κάθε περίπτωση όμως, κατά τον χρόνο της παραβίασης δεδομένων παρέμενε ενεργός η τριετής περίοδος χάριτος που είχε δοθεί από το ΕΣΠΔ για τη συμμόρφωση προς τις απαιτήσεις του άρθρου 35 ΓΚΠΔ.
Διαβάστε επίσης: Γιατί η εκπόνηση Μελέτης Εκτίμησης Αντικτύπου (DPIA) αφορά μεγάλο αριθμό επιχειρήσεων στο πλαίσιο της συμμόρφωσής τους με τον GDPR
Κανείς από τους ισχυρισμούς αυτούς δεν βρήκε σύμφωνη τη βελγική αρχή. Σύμφωνα με την απόφασή της, ο υπεύθυνος επεξεργασίας επεξεργάζεται ευαίσθητα δεδομένα (δεδομένα υγείας και γενετικά δεδομένα) ευάλωτων προσώπων (ασθενών) σε μεγάλη κλίμακα (περίπου 300.000 άτομα), γεγονός που σημαίνει πως εντάσσεται στην υποχρέωση του άρθρου 35 παρ.3β ΓΚΠΔ. Άλλωστε, ένα από τα οφέλη της εκτίμησης αντικτύπου είναι πως επιτρέπει στον υπεύθυνο επεξεργασίας να αναγνωρίζει εκ των προτέρων τα κενά ασφαλείας και να λαμβάνει κατάλληλα μέτρα για την προστασία των δεδομένων από περιστατικά παραβίασης. Σε αντίθεση με τα όσα ισχυρίστηκε το νοσοκομείο, το γεγονός πως η επίθεση έγινε μέσα από τα email του προσωπικού και όχι στα αρχεία των ασθενών δεν αναιρεί την υποχρέωση διενέργειας DPIA. Ακόμη και αν η επίθεση αυτή περιοριζόταν στους λογαριασμούς email του προσωπικού, το γεγονός ότι μέσω αυτών πραγματοποιείται αποστολή ευαίσθητων δεδομένων, ακόμη και αν τα μηνύματα είναι κρυπτογραφημένα, βεβαιώνει πως η διενέργεια DPIA ήταν αναγκαία.
Άλλωστε, όπως επεσήμανε η APD, ο ισχυρισμός πως η επίθεση περιορίστηκε στα emails καταρρίπτεται από το γεγονός πως οι servers του νοσοκομείου παρέλυσαν και έμειναν εκτός λειτουργίας για αρκετές ημέρες, ενώ ίχνη παράνομης πρόσβασης εντοπίστηκαν στον server των ακτινοδιαγνωστικών.
Ως προς το κατά πόσον πρέπει η DPIA να λαμβάνει συγκεκριμένη μορφή, η βελγική αρχή υπενθύμισε την υποχρέωση λογοδοσίας των άρθρων 5 παρ.2 και 24 ΓΚΠΔ, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας οφείλει να μπορεί να αποδείξει τη συμμόρφωσή του με τις υποχρεώσεις του, και επικαλέστηκε το άρθρο 35 παρ.7 ΓΚΠΔ που προβλέπει το ελάχιστο περιεχόμενο μιας εκτίμησης αντικτύπου. Κατά συνέπεια, σύμφωνα με την απόφασή της, η DPIA πρέπει να αποτυπώνεται σε διακριτό έγγραφο και να μη συγχέεται με άλλες αναλύσεις κινδύνου που τυχόν εκπονούνται.
Τέλος, σχετικά με την περίοδο χάριτος που επικαλέστηκε ο υπεύθυνος επεξεργασίας, η APD παρατήρησε πως σχετική προθεσμία ουδέποτε δόθηκε από το ΕΣΠΔ, παρά μόνο από κάποιες εποπτικές αρχές, όπως η γαλλική CNIL, και δη υπό πολύ συγκεκριμένες προϋποθέσεις.
Με βάση τις παρατηρήσεις της αυτές, η βελγική αρχή διαπίστωσε την παραβίαση της υποχρέωσης του άρθρου 35 παρ.3 ΓΚΠΔ για διενέργεια εκτίμησης αντικτύπου. Για την παράβαση αυτή, καθώς και για την παραβίαση των απαιτήσεων των άρθρων 5 παρ.1στ’, 24 και 32 ΓΚΠΔ, επέβαλε διοικητικό πρόστιμο ύψους 200.000 ευρώ.