GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Szokująca kradzież danych osobowych pacjentów z COVID-19

Szokująca kradzież danych osobowych pacjentów z COVID-19

Zagraniczne media donoszą o wyjątkowo szokującym procederze, który miał miejsce w tle panującej pandemii koronawirusa. Otóż, 23 stycznia br. holenderska policja (a bardziej precyzyjnie – Zespół ds. Cyberprzestępczości Centralnej Policji Holandii) aresztowała dwie młode osoby zatrudnione w call center podmiotu wchodzącego w skład holenderskiej służby zdrowia (GGD Amsterdam). Dwóch mężczyzn (21 i 23 lata) podejrzewanych jest o kradzież danych osobowych pacjentów zakażonych COVID-19 z systemów informatycznych. Domniemani przestępcy mieli następnie oferować wyprowadzone dane w Internecie. Sytuacja tym bardziej bulwersuje, że mowa tu o danych przetwarzanych przez placówkę medyczną, od której należy wymagać najwyższych standardów w zakresie odpowiedniego zabezpieczenia danych osobowych pacjentów.

Szeroki zakres danych

Według ustaleń holenderskiej policji, wśród skradzionych danych osobowych pacjentów z COVID-19, których zakup był następnie oferowany w sieci, były ich imiona, nazwiska, adresy zamieszkania, daty urodzenia, jak również krajowe numery ubezpieczenia społecznego. Co ciekawe, istniała możliwość wyszukania i nabycia danych osobowych konkretnej osoby. Za cenę oscylującą pomiędzy 30 a 50 euro (od ok. 135 do ok. 225 złotych) można było pozyskać adres zamieszkania, numer telefonu, czy też numer ubezpieczenia społecznego konkretnego pacjenta.

Wszystko wskazuje na to, że wyprowadzone dane osobowe pochodziły z dwóch systemów teleinformatycznych, służących do obsługi pacjentów z COVID-19, tj. CoronIT, zawierający dane Holendrów, którzy przeszli test na koronawirusa oraz HPzone Light – związany z funkcjonowaniem systemu śledzenia kontaktów.

Zdaniem przedstawicieli władz mundurowych, sprzedaż przedmiotowych danych osobowych odbywała się za pośrednictwem czatu internetowego, na którym domniemani przestępcy założyli dziesiątki fikcyjnych kont. Po dokonanym zatrzymaniu, domy obu mężczyzn zostały przeszukane, a ich komputery zabezpieczone. Sprawa – jak powiada klasyk – jest rozwojowa. Holenderska policja nie wyklucza bowiem kolejnych zatrzymań.

GGD zapewnia, że chroni dane

Na dzień dzisiejszy nie wiadomo ile osób mogło paść ofiarą ujawnionego procederu. Holenderska policja nie przekazała opinii publicznej żadnych informacji w tym zakresie. Media donoszą jednak, że w wyniku kradzieży, do sieci mogły trafić miliony danych osobowych pacjentów z COVID-19.

GGD  informuje na swojej stronie internetowej (link – https://ggdghor.nl/thema/vragen-antwoorden-datadiefstal/), że weryfikuje w jaki sposób pracownicy korzystają z informacji zgromadzonych w systemach informatycznych. Jak zapewnia, wdrożone zostały stosowne mechanizmy kontrolne zapobiegające zatrudnionym osobom nadużywania dostępu do systemów, obligujące nowych pracowników do potwierdzenia znajomości procedur postępowania oraz podpisania umowy o zachowaniu poufności. Podmiot podkreślił również, że chroni wszelkie dane osobowe, również przed atakami z zewnątrz.

Jak widać, wdrożone rozwiązania nie powstrzymały dwóch młodych mężczyzn przed wyprowadzeniem danych osobowych pacjentów i zaoferowaniu ich sprzedaży w Internecie. Co zastanawia w kontekście skali odkrytego procederu, GGD wskazał, że już wcześniej wykryto nieprawidłowości i podjęto odpowiednie działania by im przeciwdziałać, które – najwyraźniej – nie poskutkowały.

Najciemniej pod latarnią

Ten ogromny wyciek danych osobowych pacjentów z COVID-19 przypomina, że administrator powinien dokładać najwyższej staranności w zakresie szacowania ryzyka związanego z tzw. czynnikiem ludzkim, tj. np. ze strony pracowników. Niezmiernie ważne jest odpowiednie zabezpieczenie, aby pracownicy wykonywali jedynie powierzone im zadania, co z pewnością zminimalizuje ryzyko wycieku informacji zgromadzonych w systemach informatycznych.

Podkreśla się również, że administrator powinien zwracać baczną uwagę na postawę etyczną zatrudnionych u niego osób, w szczególności w przypadku, gdy powierza im się dostęp do ważnych informacji (w tym m.in. danych osobowych) w związku z trwającą pandemią koronawirusa. Położenie odpowiedniego nacisku na kształtowanie odpowiednich postaw etycznych wydaje się kluczowe, co wyjątkowo dosadnie uwidocznił przestępczy proceder ujawniony przez holenderską policję.

 

Źródło:

https://www.healthcareinfosecurity.com/2-arrested-for-alleged-theft-covid-19-patient-data-a-15856

Autor: Redakcja
Udostępnij publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter