Komentarze ekspertów

Wyciekły dane medyczne 50 tys. pacjentów

Marcin Ludwiszewski | Deloitte
Wyciekły dane medyczne 50 tys. pacjentów
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
W internecie przez wiele dni dostępne były dla wszystkich dane Samodzielnego Zakładu Opieki Medycznej w Kole - ok. 50 tysięcy rekordów z danymi osobowymi (m.in. imię, nazwisko, adres, PESEL) i prawdopodobnie medycznymi (grupa krwi, diagnostyka) pacjentów. Informacje pochodzą z różnych okresów. Nie wiadomo dlaczego dane znalazły się w Internecie.

Jest prawdopodobne, że działanie to jest po prostu wynikiem zaniedbania i braku świadomości, któregoś z pracowników. Jednakże taka sytuacja może mieć poważne skutki dla placówki. Co do zasady, udostępnienie takiego zbioru danych w internecie nie może pozostać niezauważone. Nawet jeśli teraz usunięto dane z serwera, lub odcięto go od sieci, dane prawdopodobnie zostały już skopiowane przez wiele osób.

Być może są już lub będą wykorzystane w działaniach przestępczych (np. phishingu lub wyłudzeniach finansowych). Zespół Cyberbezpieczeństwa Deloitte na bieżąco zbiera i analizuje informacje o zagrożeniach w sieci Internet. Naszych informacji wynika, że pod wymienionym w adresem IP (serwer www), znajdowały się również strony do phishingu m.in. na użytkowników PayPal (http://spzozkolo.pl/zp/87/protesty/login-paypal/login/websc_login.php). Prawdopodobnie ktoś wykorzystywał (np. w sposób nieautoryzowany) tę infrastrukturę do atakowania innych podmiotów.

Jeśli chodzi o aspekt poufności informacji, dwa główne obszary ryzyka w szpitalach, to dane osobowe i medyczne pacjentów przechowywane w systemach informatycznych oraz dane z badań pacjentów przechowywane w urządzeniach medycznych podłączonych do sieci komputerowych. W 2016 roku Deloitte przeprowadził badanie szpitali w 9 krajach. Większość z ankietowanych przyznała, że nie posiada polityki bezpieczeństwa regulującej w podstawowy sposób zasady ochrony danych pacjentów.

W tym roku przeprowadziliśmy badania, z których wynika, że 95 proc. Polaków deklaruje, że podczas robienia zakupów lub podejmowania decyzji o wyborze usługi zwraca uwagę na to, czy wymaga się od nich podania danych osobowych. Blisko połowa z nich ma negatywny stosunek do ich udostępniania instytucjom lub firmom, a 83 proc. przynajmniej raz zrezygnowało ze skorzystania z usługi po zapoznaniu się z warunkami przetwarzania danych osobowych.

Wymóg ochrony danych osobowych z nowych regulacji prawnych unii w tym zakresie (RODO/GDPR) wchodzi w życie 25 maja 2018 r. Naruszenie zasad bezpiecznego przetwarzania danych mogłoby skutkować wysoką karą finansową od GIODO (10 lub 20 milionów euro lub do 2% lub 4% wartości rocznego światowego obrotu przedsiębiorstwa), jak również stratami finansowymi wynikającymi z konieczności zarządzenia tym incydentem, oraz zawiadomienia pacjentów o wycieku.

Marcin Ludwiszewski

Dyrektor, lider obszaru cyberbezpieczeństwa

Deloitte