У Дніпрі з клініки стався витік даних щодо COVID-19
З моменту виявлення витоку клініка пасивно реагувала на повідомлення про вразливості і не докладала зусиль до їхнього усунення.
В одній з найбільших приватних клінік Дніпра виявили витік інформації, пов'язаної з результатами проведення ПЛР-тестів на коронавірус COVID-19. У вільний доступ потрапили десятки тисяч записів про пацієнтів. Про це повідомляє прес-служба Ради національної безпеки і оборони в п'ятницю, 2 жовтня.
"Серед інформації, яка виявилася у відкритому доступі, - персональні дані працівників і клієнтів цієї клініки, зокрема ПІБ, дати народження, адреси проживання, телефон, e-mail, діагнози, дані медичної карти (що становлять медичну таємницю), включаючи результати аналізів, діагнози, інформація про захворювання, результати проведення ПЛР-тестів, списки хворих на COVID-19", - йдеться в повідомленні.
Зазначається, що аналіз інформації витоку показав, що у вільний доступ потрапили десятки тисяч записів про пацієнтів. За результатами дослідження було встановлено, що витік стався в результаті помилок конфігурації в інформаційних системах і базах даних медичного закладу, які мали доступ до мережі Інтернет.
"Вільний доступ до баз даних надавав можливість не тільки викрадення персональної інформації, але і несанкціонованого внесення змін, включаючи модифікацію призначень ліків, результатів аналізів і обстежень, редагування записів у протоколі "Надання медичної допомоги для лікування коронавірусної хвороби (COVID-19)". З моменту виявлення витоку клініка пасивно реагувала на повідомлення фахівців НКЦК про витік і вразливості і не докладала зусиль до їхнього усунення. Дані про клієнтів приватної клініки досить довго перебували у вільному доступі", - зазначили в РНБО.
Вказується, що МОЗ запроваджує електронну систему eHealth з урахуванням вимог законодавства про захист персональних даних, однак деякі підприємства нехтують заходами безпеки для захисту персональних даних клієнтів, зокрема через неповне розуміння законодавчих стандартів і вимог, які передбачають обов'язковість дотримання правил зберігання даних від зломів і витоків.
"НКЦК при РНБО України попередив медичний заклад про необхідність усунення вразливості і нагадав, що недбале ставлення до збереження персональних даних клієнтів є підставою для притягнення правоохоронними органами керівництва приватної клініки до відповідальності", - резюмували в РНБО.
Нагадаємо, 23 вересня хакери атакували сайт Нацполіції і опублікували фейкові новини, в тому числі про нібито аварію на Рівненській АЕС і загибель військовослужбовців у різних регіонах України. За даним фактом було порушено кримінальну справу.
Зазначимо, що в травні в Україні зафіксували хвилю кібератак на сайти держустанов.