W dniu 19 marca 2024 roku doszło do wycieku danych pacjentów Centrum Medycznego DCG we Wrocławiu na forum cyberprzestępczym w sieci TOR. Kolejny raz w tym roku mamy do czynienia z niewystarczającym zabezpieczeniem danych i wyciekiem informacji. Kto ponosi odpowiedzialność za ten incydent?
Początkowo mogłoby się wydawać, że winne jest Centrum Medyczne. Jednak, jak się okazuje wyciek danych nastąpił u usługodawcy zapewniającego oprogramowanie – firmy Medily sp. z o. o.. Nie byłoby nic w tym dziwnego, gdyby nie to, że współpraca pomiędzy firmami zakończyła się 31 stycznia 2021 roku.
Jak już ustalono, dane nie wyciekły bezpośrednio z placówki medycznej. Incydent miał miejsce u dostawcy oprogramowania. Jednak wątpliwy jest fakt, że współpraca zakończyła się w 2021 roku, a dane nadal były przechowywane na serwerach dostawcy. Dodatkowo znajdowały się one na środowisku testowym starej wersji systemu.
W oświadczeniu czytamy również, że praktyka testowania została zakończona z końcem 2021 roku. Dlaczego w takim razie dane z archiwalnych systemów nie były usunięte lub odpowiednio zabezpieczone?
Jak czytamy w oświadczeniu Centrum Medycznego DCG Wrocław, dane wyciekły ze względu na złamanie zabezpieczeń stosowanych przez dostawcę oprogramowania – firmę Medily sp. z o.o..
W archiwalnych bazach danych były przechowywane takie dane, jak:
Wszelkie dane obejmuję okres do 2019 roku.
Co się stało to się nie odstanie. Dane wyciekły i zostały już usunięte z forum TOR. Jednakże istnieje ryzyko, że zostały one pobrane przez osoby trzecie. W każdej chwili mogą być one wykorzystane przeciwko pacjentom lub pracownikom. Jak w takiej sytuacji się chronić?
Po pierwsze, zastrzeżcie swój PESEL. Możesz to zrobić w aplikacji mObywatel. W krótkim poście na Linkedin Kamil Porembiński pokazuję, jak to zrobić: Kamil Porembinski on LinkedIn: #mobywatel #pesel | 10 comments
Po drugie, trzeba być czujnym. Należy zwracać uwagę na podejrzane telefony, e-maile oraz SMS-y. Nie podawajcie swoich danych i niczego nie potwierdzajcie, jeśli nie umówiliście wizyty u lekarza czy innego specjalisty.
Oczywiście, że tak. W całej tej sytuacji, wielkim błędem było przechowywanie archiwalnych danych na testowym środowisku. Zazwyczaj takie infrastruktury nie są dodatkowo zabezpieczane, weryfikowane i analizowane. Zwłaszcza, gdy projekt porzucamy na rzecz nowego rozwiązania.
Dodatkowo, działania zwiększające ochronę, skalowalność czy wydajność infrastruktury IT nie należą do zadań Developerów. Ich zadaniem jest tworzenie aplikacji czy oprogramowania. Prawidłowym utrzymaniem środowiska IT powinni zająć się Administratorzy Systemów IT. Dlatego tak często podkreśla się wagę usługi administracji serwerami w kontekście ochrony danych.
Jesteśmy również świadomi, że będąc Software Housem, Agencją interaktywną czy każdą inną firmą nie jesteśmy w stanie zapanować nad wszystkim. W Qlos odpowiadamy za utrzymanie infrastruktury Klienta, ale nie napiszemy aplikacji czy nie stworzymy strategii marketingowej dla firmy z branży HoReCa. Software House napisze aplikację, ale nie zapewni pełnego utrzymania serwerów. Każda organizacja ma swoją profesję, na której zna się najlepiej. Ważne, żeby oddelegowywać tematy, które nie są w naszym zakresie, a których znaczenie jest kluczowe.
Nie wiesz czy Twoje dane są poprawnie zabezpieczone? Masz problem w utrzymaniu środowiska testowego czy produkcyjnego? Napisz do mnie.
Znajdziemy dogodny termin bezpłatnych konsultacji, podczas których ekspert z Qlos podejmie się analizy Twoich wyzwań i znajdzie odpowiednie rozwiązanie.