Národné centrum zdravotníckych tvrdí, že incident sa netýka aplikácie s podobným názvom.
Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130-tisíc pacientoch, ktorých na Slovensku testovali na COVID-19. Okrem iného získala ich rodné čísla aj výsledky testov.
Potvrdil to výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých viac ako 390-tisíc pacientoch v databáze.
Problém spoločnosť nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk. „K oprave uvedenej zraniteľnosti došlo 16. septembra zhruba medzi 16.30 h - 16.50 h. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať," ozrejmila spoločnosť.
Zároveň upozornila, že útočník dokázal k údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a špeciálnych technických znalostí. Rovnako, že chýbali mechanizmy, ktoré by znemožňovali masívne sťahovanie údajov, a všetky dáta boli v nešifrovanej, teda nezabezpečenej forme.
Na základe toho sa dali získať osobné informácie každého pacienta, ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu, informácie o klinických príznakoch či dátum vyšetrenia, druh testu a jeho výsledok.
„Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názve laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené ,scam' útoky," upozornila Nethemba.
Podľa advokáta ide v tomto prípade o kybernetický bezpečnostný incident aj porušenie ochrany osobných údajov. Ozrejmil, že porušenie ich ochrany musí Národné centrum zdravotníckych informácií oznámiť Úradu na ochranu osobných údajov SR.
„Notifikovať treba aj dotknuté osoby. Vzhľadom na to, že únik údajov sa týka státisícov fyzických osôb, by ich informovanie vyžadovalo neprimerané úsilie. V takom prípade treba informovať verejnosť alebo prijať podobné opatrenie, aby dotknuté osoby boli informované," vysvetlil advokát Peter Kováč. Vzhľadom na počet dotknutých osôb predpokladá udelenie vysokej pokuty.
Reakcia NCZI a ministerstva
Národné centrum zdravotníckych informácií interne prešetruje
okolnosti medializovaného bezpečnostného incidentu, ktorý údajne umožnil
získať etickým hekerom osobné údaje ľudí testovaných na COVID-19 z
aplikácie Moje ezdravie.
"Dočasná aplikácia Moje ezdravie je úplne nezávislá od systému elektronického zdravotníctva 'ezdravie', ktorého bezpečnosť nie je nijako spochybnená a nesúvisí s týmto prípadom," reagovala hovorkyňa centra Veronika Beňadiková.
Ak sa preukáže, že v aplikácii Moje ezdravie išlo o kybernetický bezpečnostný incident a porušenie ochrany osobných údajov, vedenie ministerstva zdravotníctva vyvodí voči kompetentným príslušnú zodpovednosť.
"Ministerstvo zdravotníctva považuje ochranu osobných údajov pri poskytovaní zdravotnej starostlivosti za jednou z kľúčových priorít. Únik tak citlivých informácií, ako sú dáta o zdravotnom stave, sa nesmie stať," skonštatovala v reakcii hovorkyňa rezortu Zuzana Eliášová.
Doplnila, že ministerstvo zdravotníctva v súvislosti s medializovaným incidentom požiadalo Národné centrum zdravotníckych informácií o detailné stanovisko. "NCZI nás informovalo, že prijalo všetky potrebné bezpečnostné opatrenia a situáciu preveruje. O výsledkoch nás budú neodkladne informovať," priblížila.
„Do tohto momentu úradu nebol nahlásený bezpečnostný incident týkajúci sa spomínaného úniku,“ uviedla hovorkyňa úradu na ochranu osobných údajov Lucia Bezáková. Pripomenula, že porušenie ochrany osobných údajov má prevádzkovateľ oznámiť príslušnému orgánu bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, ako sa o tejto skutočnosti dozvedel. Ak oznámenie dozornému orgánu nepredložili do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.
"V
prípade, ak k bezpečnostnému incidentu došlo, je prevádzkovateľ povinný
tento bezpečnostný incident zdokumentovať a prijať adekvátne opatrenia
na nápravu. Úrad ako dozorný orgán v oblasti spracúvania osobných údajov
situáciu sleduje a vyhodnocuje. Zverejní k nej aj krátke vyjadrenie na
svojom webovom sídle,“ dodala Bezáková.
Sledujte Televízne noviny vo full HD a bez reklám na Voyo
