Meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch aj výsledok testu na COVID-19. Tieto osobné údaje o viac ako 130-tisíc pacientoch, ktorí boli testovaní na COVID-19 sa podarilo získať slovenskej bezpečnostnej IT spoločnosti Nethemba. Tým tak upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, kde sa údaje o testovaní ľudí na COVID-19 zhromažďujú.
Podľa firmy umožnila chyba získať informácie o všetkých viac ako 390 000 pacientoch v databáze. Problém spoločnosť okamžite nahlásila vládnej kyberbezpečnostnej jednotke CSIRT.sk. K oprave uvedenej zraniteľnosti došlo 16. septembra. Šéf Národného centra zdravotníckych informácií Peter Bielik priznal, že ak by problém neodhalili, mohlo dôjsť ku škodám.
Podľa právnika a súdneho lekára doc. MUDr. JUDr. Petra Kováča však ide o obrovské zlyhanie zo strany NCZI, ktoré by malo niesť následky. „Úrad na ochranu osobných údajov by mal za tento ,prúser pangalaktických rozmerov‘ udeliť NCZI poriadne mastnú pokutu. Akú vysokú? Nuž primeranú polročnému zverejňovaniu osobitne citlivých údajov o zdravotnom stave 5 až 7 percent populácie spolu so všeobecným identifikátorom. Ak nemocnica v Nitre za jednorazové zverejnenie už zverejnených údajov o pacientovi a ich poskytnutie znalcovi dostala pokutu 2 000 eur, tak tu treba uvažovať o pokute v rádoch stotisícov eur. Do úvahy prichádza až dokonca trestné stíhanie za neoprávnené nakladanie s osobnými údajmi,“ uviedol pre Zdravotnícke noviny.
NCZI prijala hlásenie o udalosti od vládnej jednotky CSIRT.SK 16. septembra, podľa generálneho riaditeľa v priebehu troch hodín zabezpečili, aby nedošlo k ďalším únikom. Etickí hackeri z Nethemby však tvrdia, že hlásenie odoslali už 13. septembra tesne pred polnocou.
P. Bielik skonštatoval, že aplikáciu zdedil „aj s dobrým, aj so zlým“. Počas marca bola vyvinutá interným tímom NCZI na základe požiadavky ústredného krízového štábu pre potreby regionálnych úradov verejného zdravotníctva. „Pokiaľ sa preukáže, že ja som svojím pričinením zapríčinil, že došlo k tomuto úniku osobných údajov, som pripravený niesť osobnú zodpovednosť,“ skonštatoval.
Informácie z aplikácie sa podľa Bielika týkali laboratórnych vyšetrení na COVID-19. „Musím pripomenúť, že ide o aplikáciu Moje ezdravie, ktorá vôbec nesúvisí s elektronickým zdravotníctvom eHealth,“ dodal. Ubezpečil, že služby ako erecept či evyšetrenie sú dostatočne zabezpečené.
Podľa portálu zive.aktuality.sk spoločnosť Nethemba nebude hľadať ďalšie bezpečnostné diery v aplikácii Moje ezdravie a zmazala už všetky stiahnuté údaje. Podľa portálu sa tak obe strany oficiálne dohodli, hoci spoločnosť už dopredu jasne deklarovala, že ich určite nevystaví tretím osobám a dodržiava etické princípy. Nie je však jasné, či ich okrem tejto firmy nezískal rovnakým postupom aj niekto iný – a problém nenahlásil. To NCZI aktuálne skúma.
Podľa firmy umožnila chyba získať informácie o všetkých viac ako 390 000 pacientoch v databáze. Problém spoločnosť okamžite nahlásila vládnej kyberbezpečnostnej jednotke CSIRT.sk. K oprave uvedenej zraniteľnosti došlo 16. septembra. Šéf Národného centra zdravotníckych informácií Peter Bielik priznal, že ak by problém neodhalili, mohlo dôjsť ku škodám.
Podľa právnika a súdneho lekára doc. MUDr. JUDr. Petra Kováča však ide o obrovské zlyhanie zo strany NCZI, ktoré by malo niesť následky. „Úrad na ochranu osobných údajov by mal za tento ,prúser pangalaktických rozmerov‘ udeliť NCZI poriadne mastnú pokutu. Akú vysokú? Nuž primeranú polročnému zverejňovaniu osobitne citlivých údajov o zdravotnom stave 5 až 7 percent populácie spolu so všeobecným identifikátorom. Ak nemocnica v Nitre za jednorazové zverejnenie už zverejnených údajov o pacientovi a ich poskytnutie znalcovi dostala pokutu 2 000 eur, tak tu treba uvažovať o pokute v rádoch stotisícov eur. Do úvahy prichádza až dokonca trestné stíhanie za neoprávnené nakladanie s osobnými údajmi,“ uviedol pre Zdravotnícke noviny.
NCZI prijala hlásenie o udalosti od vládnej jednotky CSIRT.SK 16. septembra, podľa generálneho riaditeľa v priebehu troch hodín zabezpečili, aby nedošlo k ďalším únikom. Etickí hackeri z Nethemby však tvrdia, že hlásenie odoslali už 13. septembra tesne pred polnocou.
P. Bielik skonštatoval, že aplikáciu zdedil „aj s dobrým, aj so zlým“. Počas marca bola vyvinutá interným tímom NCZI na základe požiadavky ústredného krízového štábu pre potreby regionálnych úradov verejného zdravotníctva. „Pokiaľ sa preukáže, že ja som svojím pričinením zapríčinil, že došlo k tomuto úniku osobných údajov, som pripravený niesť osobnú zodpovednosť,“ skonštatoval.
Informácie z aplikácie sa podľa Bielika týkali laboratórnych vyšetrení na COVID-19. „Musím pripomenúť, že ide o aplikáciu Moje ezdravie, ktorá vôbec nesúvisí s elektronickým zdravotníctvom eHealth,“ dodal. Ubezpečil, že služby ako erecept či evyšetrenie sú dostatočne zabezpečené.
Podľa portálu zive.aktuality.sk spoločnosť Nethemba nebude hľadať ďalšie bezpečnostné diery v aplikácii Moje ezdravie a zmazala už všetky stiahnuté údaje. Podľa portálu sa tak obe strany oficiálne dohodli, hoci spoločnosť už dopredu jasne deklarovala, že ich určite nevystaví tretím osobám a dodržiava etické princípy. Nie je však jasné, či ich okrem tejto firmy nezískal rovnakým postupom aj niekto iný – a problém nenahlásil. To NCZI aktuálne skúma.
Lekári
Lekárnici
Sestry
Zdravotnícki pracovníci
Foto:
archív
Jana Andelová, ZdN, tasr