Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Конфиденциальную информацию пациентов купили на блошином рынке
В Нидерландах конфиденциальная информация из медучреждения обнаружена на старых жестких дисках. Конфиденциальную информацию купили случайно на барахолке. Источником утечки данных является ИТ-компания, работавшая в медицинской сфере. Эта компрометация конфиденциальной информации пациентов — довольно грубое нарушение конфиденциальности.
Что обычно покупатели могут найти на европейской барахолке? Яркие футболки с принтами в стиле хиппи (tie-die), старые сломанные светильники, виниловые пластинки и прочие вещи. Похоже, теперь к этому списку можно добавить накопители, заполненные конфиденциальными данными.
Роберт Полет (Robert Polet), 62-летний любитель техники и охотник за выгодными покупками, возвращаясь из Бельгии, заехал на блошиный рынок у военного аэродрома Велде. Гуляя по барахолке, Полет заинтересовался жесткими дисками, которые продавал некий «иностранный джентльмен». В итоге покупатель приобрел у него пять накопителей объемом 500 ГБ каждый по цене 5 евро за штуку.
По словам Полета, он всю жизнь увлечен компьютерами и уже 30 лет работает с ними. Жесткие диски были нужны ему для хранения материалов, отснятых с дронов. Подключив накопители по возвращении домой, Роберт обнаружил на них записи медицинского плана, включая такую информацию, как голландский эквивалент номеров социального страхования, даты рождения, домашние адреса, сведения о лекарствах, а также сведения о врачах общей практики и аптеках. Все записи были сделаны в период 2011–2019 годов и в основном относились к лицам, живущим в регионах Утрехт, Хаутен и Делфт.
По словам Полета, он был в шоковом состоянии от этой находки.
«Я подумал: «Как такое могло произойти?» Моя сестра или я легко могли оказаться среди них», — сказал он.
Вскоре после этого Полет повторно съездил на блошиный рынок и приобрел у того же продавца еще десять жестких дисков, имевшихся в наличии.
Покупатель изучил только два из 15 купленных накопителей. Но этого оказалось достаточно, чтобы определить источник конфиденциальной информации пациентов. Им оказалось учреждение системы здравоохранения из Утрехта. Полет выяснил, что оно передавало информацию своему ИТ-подрядчику Nortade ICT Solutions, разрабатывающему программное обеспечение для медицинских организаций. Некоторое время назад компания Nortade, которая располагалась в Бреде, была признана банкротом. На сегодня ее веб-сайт не работает.
Согласно законодательству Нидерландов, конфиденциальная информация медицинских учреждений должна быть стерта с жестких дисков при участии сертифицированных специалистов, а сам процесс удаления данных и форматирования накопителей должен быть задокументирован. Кроме того, поставщик ПО не имел права хранить у себя медицинских данных. Даже при наличии законных прав на хранение информации о пациентах, она должна быть зашифрована, а диски должны выводиться из эксплуатации по всем правилам, говорят специалисты.
Источник: The Register
