В Днепре произошла утечка данных пациентов из частной клиники, но там не сразу отреагировали
Национальный координационный центр кибербезопасности при СНБО обнаружил утечку информации в одной из крупнейших частных клиник города Днипро.
Об этом информирует пресс-служба СНБО.
Отмечается, что среди информации, оказавшейся в открытом доступе, — персональные данные работников и клиентов этой клиники, в частности ФИО, даты рождения, адреса проживания, телефоны, e-mail, диагнозы, данные медицинской карты (что составляет медицинскую тайну), включая результаты анализов, диагнозы, информацию о заболеваниях, результатах проведения ПЦР-тестов, списки больных COVID-19.
«Анализ информации утечки показал, что в свободный доступ попали десятки тысяч записей о пациентах. По результатам исследования было установлено, что утечка произошла в результате ошибок конфигурации в информационных системах и базах данных медицинского учреждения, которые имели доступ к сети Интернет.
Следует отметить, что свободный доступ к базам данных предоставлял возможность не только похищения персональной информации, но и несанкционированного внесения изменений, включая модификацию назначений лекарств, результатов анализов и обследований, редактирование записей в протоколе «Оказание медицинской помощи для лечения коронавирусной болезни».
При этом с момента обнаружения утечки клиника пассивно реагировала на сообщения специалистов НКЦК об утечке и уязвимостях и не прилагала усилий к их устранению. Данные о клиентах частной клиники достаточно долго находились в свободном доступе, констатировали в СНБО.
Специалисты НКЦК подчеркивают, что Минздрав внедряет электронную систему eHealth с учетом требований законодательства о защите персональных данных, однако некоторые предприятия пренебрегают мерами безопасности для защиты данных клиентов, в частности из-за неполного понимания законодательных стандартов и требований, предусматривающих обязательность соблюдения правил хранения данных от взломов и утечек.
НКЦК при СНБО предупредил медицинское учреждение о необходимости устранить уязвимости и напомнил, что халатное отношение к сохранению персональных данных клиентов является поводом для привлечения правоохранительными органами руководства частной клиники к ответственности.