Scurgere masivă de date la o instituţie a statului. Parola era la vedere / Angajaţii au cerut ajutorul jurnaliştilor Recorder să rezolve breşa de securitate
Prinşi în meandrele tehnologiei, funcționarii Casei de Asigurări de Sănătate Constanța au creat o breșă de securitate online care făcea vizibile CNP-urile și tratamentele a peste 130.000 de pacienți din județul Constanța, iar Recorder a semnalat scurgerea de date după ce s-a asigurat că funcţionarii au rezolvat problema. Deşi CAS Constanţa a anunţat că datele au fost şterse, Recorder a constatat că toate informaţiile încă erau pe server şi puteau fi accesate. Datele puteau fi citite de toată lumea pentru că parola era scrisă în denumirea documentelor.
UPDATE: Reprezentanții Casei Județene de Asigurări de Sănătate Constanța anunță că au fost șterse toate datele referitoare la pacienți și că a fost declanșată o anchetă pentru a stabili cum a fost posibilă scurgerea de date semnalată de Recorder, transmite Radio Constanţa.
„Facem precizarea că aceste informații au fost postate de către Casa de Asigurări de Sănătate pentru furnizorii de servicii medicale, mai exact pentru furnizorii de medicamente, pentru farmacii, folderele fiind arhivate și parolate. Neglijența Casei a fost, dacă pot se poate reține neglijența Casei, în sensul ușurinței cu care a fost aleasă parolarea, în speță a fost folosit același algoritm la toate farmaciile. Colegii de la Casa de Asigurări de Sănătate, responsabili cu protecția datelor cu caracter personal, au înştiinţat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și, de asemenea, la nivelul instituției se analizează aspectele administrative referitoare la respectarea procedurii de protecție a datelor cu caracter personal”, a precizat CAS Constanţa.
––––
Miercuri, Recorder a semnalat pe Facebook că funcționarii Casei de Asigurări de Sănătate Constanța au creat o breșă de securitate online care făcea vizibile CNP-urile și tratamentele a peste 130.000 de pacienți din județul Constanța.
Recorder scrie că era vorba de peste 580 de fișiere Excel care cuprindeau toate medicamentele compensate eliberate între anii 2015-2021 de 87 de farmacii din județul Constanța pentru bolnavii cronici şi CNP-urile acestora.
Jurnaliştii de la Recorder au semnalat problema în spaţiul public după ce au informat CAS Constanţa şi i-au asigurat că toate informaţiile au fost şterse, însă după publicare au observat că datele încă se pot accesa pe serverul instituţiei.
Pentru a nu pune în pericol datele pacienţilor, jurnaliştii au şters postarea şi au cerut din nou instituţiei să scoată de pe server datele.
Reprezentanţii instituţiei s-au plâns de lipsa de personal şi de perioada concediilor şi i-au plimbat pe jurnalişti pe la diverse departamente pentru ca în cele din urmă să fie sunaţi de un angajat al CAS Constanţa pentru a-i întreba dacă ştiu cum se şterg acele date.
Cu toate că ziariştii i-au explicat ce să facă, a fost nevoie să treacă 24 de ore pentru ca problema, semnalată cu două zile în urmă, să fie rezolvată.
Care a fost reacţia autorităţilor
CAS Constanţa susţine că e vina reporterilor care au accesat date pe care nu ar fi trebuit să le acceseze.
- “Am șters datele imediat ce ne-ați semnalat această eventuală breșă de securitate. Într-adevăr, parola era vizibilă în numele documentelor, dar nu credem că informațiile au fost preluate de prea mulți oameni. Era vorba de date care îi interesează pe furnizorii din industria farmaceutică. Au fost puse aceste parole simple pentru a fi mai ușor de reținut de către reprezentanții farmaciilor. Practic, erau CUI-urile farmaciilor.
- Poziția noastră oficială este că incidentul constă în divulgarea parolei către dumneavoastră de către anumite persoane și faptul că ați accesat acele date”, a declarat Aurelia Drăgoi, purtătorul de cuvânt al CAS Constanța pentru Recorder.