Національний координаційний центр кібербезпеки (НКЦК) при Раді національної безпеки і оборони України повідомляє про виявлення витоку персональної медичної інформації клієнтів однієї з найбільших приватних клінік міста Дніпро під час моніторингу кіберпростору.
Серед інформації, що опинилася у відкритому доступі, — персональні дані працівників та клієнтів цієї клініки, зокрема прізвища, ім’я, по батькові, дати народження, адреси проживання, номери телефонів, адреси електронної пошти, діагнози, дані медичної картки (що становить медичну таємницю), включаючи результати аналізів, діагнози, інформацію про захворювання, результати проведення тестів методом полімеразної ланцюгової реакції, списки хворих на COVID-19.
До вільного доступу потрапили десятки тисяч записів про пацієнтів. Встановлено, що витік стався внаслідок помилок конфігурації в інформаційних системах та базах даних медичного закладу, які мали доступ до мережі Інтернет. Слід зазначити, що вільний доступ до баз даних надавав можливість не тільки викрадення персональної інформації, але й несанкціонованого внесення змін, включно з модифікацією призначень ліків, результатів аналізів та обстежень, редагування записів в протоколі «Надання медичної допомоги для лікування коронавірусної хвороби (COVID-19)».
При цьому клініка пасивно реагувала на повідомлення фахівців НКЦК щодо витоку та вразливостей і не докладала зусиль для їх усунення, через що дані клієнтів цієї клініки досить довго перебували у вільному доступі.
В НКЦК наголошують, що МОЗ впроваджує електронну систему охорони здоров’я з урахуванням вимог законодавства про захист персональних даних, проте деякі суб’єкти господарювання нехтують заходами безпеки для захисту персональних даних клієнтів, зокрема через неповне розуміння законодавчих стандартів та вимог, які передбачають обов’язковість дотримання правил щодо збереження даних від зламів та витоків.
НКЦК попередив медичний заклад про необхідність усунення вразливості та нагадав, що недбале ставлення до збереження персональних даних клієнтів є приводом для притягнення правоохоронними органами керівництва приватної клініки до відповідальності.
За матеріалами rnbo.gov.ua
Коментарі
Коментарі до цього матеріалу відсутні. Прокоментуйте першим