Doszło do wycieku danych około 50 tys. pacjentów Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. O sprawie powiadomiono już policję i prokuraturę. Takie sytuacje niestety mogą się powtarzać.
O największym w historii naszego kraju wycieku danych z placówki ochrony zdrowia jako pierwsza poinformowała „Zaufana Trzecia Strona”. Według serwisu, wśród udostępnionych danych pacjentów znajdowały się między innymi takie informacje jak imię, nazwisko, PESEL, adres zamieszkania, grupa krwi czy też wyniki niektórych badań, a w przypadku pracowników także dane dokumentów tożsamości czy kont bankowych. Wszystko wskazuje na to, że każdy z internautów, który trafił na adres serwera szpitala, mógł do woli przeglądać te dane.
Sprawą zajęli się juz policjanci z Koła, którzy muszą teraz ustalić czy wyciek nastąpił na skutek zaniedbań czy ataku hakerskiego.
Specjaliści od cyberbezpieczeństwa podkreślają, że placówki ochrony zdrowia, posiadające dużą liczbę cennych informacji, są szczególnie narażone na różnorakie próby przejęcia tych danych. Niestety w wielu przypadkach, szpitale i gabinety lekarskie nie są odpowiednio przygotowane na bezpieczną obecność w cyberprzestrzeni. Wśród największych zaniedbań wymienia się: brak odpowiednich zabezpieczeń, brak jasnej polityki bezpieczeństwa, brak podstawowej wiedzy na temat IT, stosowanie nieaktualnego oprogramowania, niewykonywanie kopii zapasowych oraz brak właściwego szyfrowania dysków.
W kontekście, zbliżającej się wielkimi krokami, informatyzacji polskiej służby zdrowia należy zauważyć, że takie sytuacje jak ta w kolskim szpitalu mogą się powtarzać. Zdaniem ekspertów, chcąc maksymalnie zminimalizować ryzyko utraty danych trzeba albo zatrudniać wysokiej klasy specjalistów, albo korzystać z rozwiązań, które odpowiedzialność za bezpieczeństwo przenoszą na twórców oprogramowania, a nie jego użytkowników. To drugie rozwiązanie wydaje się szczególnie odpowiednie dla przychodni i małych gabinetów lekarskich, których zwyczajnie nie stać na zatrudnianie specjalistów od cyberbezpieczeństwa.
Programem, który oferuje takie właśnie rozwiązanie jest Gabinet drWidget. Umożliwia on nowoczesne zarządzanie przychodnią lub indywidualnym gabinetem lekarskim, a jego twórcy zapewniają wielostopniowy i regularnie monitorowany system zabezpieczeń - porównywalny z tym, jaki stosowany jest w bankowości internetowej.
Spośród zabezpieczeń wykorzystywanych w programie należy wymienić przede wszystkim ściśle kontrolowany dostęp oraz szyfrowane połączenia z bazą danych. Dodatkowo, dla podniesienia poziomu bezpieczeństwa, tworzone są kopie zapasowe, których archiwizowanie odbywa się 2 razy dziennie. Do dyspozycji użytkowników pozostaje również pomoc techniczna związana z oprogramowaniem, dostępna 24 godziny na dobę, 7 dni w tygodniu.
Chcąc korzystać z programu, wystarczy założyć konto na stronie drw.pl. Dla wszystkich zainteresowanych dostępna jest też wersja demonstracyjna (z fikcyjnymi danymi), która pozwala zapoznać się z programem i mnóstwem jego innowacyjnych rozwiązań.
Komentarze
[ z 4]
To jest sytuacja nie do pomyślenia dla mnie, żeby dane pacjentów mogły pozostawać do wglądu przypadkowych internautów. Jeśli już decydujemy się, aby przenosić bazy zawierające poufne dane do internetowej sieci szpitala, to niech chociaż będzie to zrobione w sposób odpowiedzialny i z rozwagą tak, żeby informacje nie mogły wyciec na zewnątrz. Przecież w takim Kole, gdzie pewnie każdy każdego zna, a przynajmniej większość mieszkańców gdzieś tam się kojarzy, to plotki odnośnie czyichś wyników badań, diagnozy czy stosowanego leczenia będą roznosić się w tempie błyskawicznym. I jak to się będzie miało dla zdrowia psychicznego tych pacjentów którzy poprzez wycieki danych zostaną pokrzywdzeni, a ich problemy odkryte na światło dzienne? Jak to świadczy o samym szpitalu i o zaufaniu jakie buduje? Mam nadzieję, że policja szybko rozwikła kwestię czy miało w tym przypadku miejsce przypadkowe niedopatrzenie w konsekwencji powodujące wyciek danych, czy też bazy danych szpitala zaatakowali hakerzy. Tak czy inaczej na tym przykładzie widać, że potrzeba włączyć środki zaradcze, aby podobna sytuacja nie miała miejsca w przyszłości.
Jak można nie pilnować czegoś tak ważnego jak aktualizowanie i kontrola systemu, który przechowuje najważniejsze informacje dla pacjentów. W placówkach medycznych nie ma wielu informatyków, ale osoba, która jest odpowiedzialna za system powinna być świadomoa zagrożeń. Ostatnio widać zwiększenie liczby ataków hakerskich nie tylko na instytucje, ale też na osoby prywatne. Dostęp do poufnych danych daje ogromną władzę i może przynieść osobom, których dotyczą, wiele strat, nie tylko finansowych. Dane osobowe to jedne z najpilniej strzeżonych przez nas informacji. W dzisiejszych czasach listy adresowe i e-mailingowe są sprzedawane za ogromne pieniądze. Dane nigdy nie krążyły w sieci tak w takim stopniu, jak dzieje się to teraz. To przerażające.
To jest w ogóle jakaś granda i jak można do czegoś takiego dopuścić? Co w ogóle mają w takiej sytuacji począć pacjenci? Nawet nie wiadomo kto w wyniku przecieku uzyskał dostęp do informacji. Ale jedno jest pewne- nie jest to wiadomość, która mogłaby zostać łatwo zapomniana i z którą można by przejść do porządku dziennego. Z całą pewnością potrzebne będzie dochodzenie które pozwoli ustalić kto i w którym momencie zawalił i popełnił błąd albo też nie dopatrzył się i w związku z tym dopuścił do wycieku informacji. Mam nadzieję, że szybko uda się to ustalić i jeśli wyciek spowodowany był przez hakerów, to że uda się ustalić ich tożsamość i odnaleźć, aby zapobiec podobnym atakom na inne placówki szpitalne. To zdumiewające, że w dalszym ciągu nikt nic nie zrobił z tą sprawą i nie wybuchła prawdziwa afera, na którą podobne zdarzenie w najwyższym stopniu przecież zasługuje. Mam nadzieję, że szybko ktoś coś w tym przypadku zrobi. Oby tylko udało się to przed dalszymi atakami. Nie chcę myśleć co muszą teraz czuć pacjenci oraz ich rodziny, zwłaszcza ci cierpiący na wstydliwe przypadłości, albo takie które mogą stać się przyczyną stygmatyzacji społecznej. I jak oni teraz poradzą sobie z tą sytuacją w obawie przed reakcją ludzi, a nawet przed odrzuceniem w małej społeczności miejskiej.
Oby udało się znaleźć osoby, które były za ten wyciek danych odpowiedzialne. I to oby miało miejsce w jak najkrótszym czasie. Nawet nie chcę myśleć o tym, co muszą w tej chwili przeżywać pacjenci oraz ich rodziny, którzy żyją w obawie, czy wyniki ich badań oraz historie choroby ujrzą światło dzienne za sprawą braku odpowiedzialności administracji szpitala, która dopuściła do takich niepokojących wycieków danych. Druga sprawa- co teraz zrobić, żeby podobne wydarzenie nie miało miejsca w przyszłości. Bo przecież nie do pomyślenia jest, aby podobne zdarzenia mogły się powtarzać i pogłębiać i tak już mocno nadszarpnięte zaufanie pacjentów do służby zdrowia i tej konkretnej placówki.