ilustračná fotka
ilustračná fotka

Štát sa moc nevyznamenal pri ochrane osobných údaj testovaných na Covid-19, unikli citlivé informácie?!

Bratislava 17.9.2020 – Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130.000 pacientoch, ktorí boli v SR testovaní na COVID-19. Okrem iného získala ich rodné čísla aj výsledky testov. TASR to potvrdil výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých viac ako 390.000 pacientoch v databáze.

Problém daná spoločnosť nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk. „K oprave uvedenej zraniteľnosti došlo 16. septembra zhruba medzi 16.30 h – 16.50 h. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať,“ ozrejmila spoločnosť. K údajom sa údajne nebol problém dostať bez nejakých extra zdatností a bez akejkoľvek autentifikácie.

„Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názve laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené ,scam‘ útoky,“ upozornila Nethemba.

V tomto prípade ide zjavne o kybernetický bezpečnostný incident aj porušenie ochrany osobných údajov. 

„Do tohto momentu úradu nebol nahlásený bezpečnostný incident týkajúci sa spomínaného úniku,“ uviedla pre TASR hovorkyňa Úradu na ochranu osobných údajov (ÚOOÚ) SR Lucia Bezáková. Upozornila zároveň na zaužívaný postup ak k podobnému incidentu príde. „V prípade, ak k bezpečnostnému incidentu došlo, je prevádzkovateľ povinný tento bezpečnostný incident zdokumentovať a prijať adekvátne opatrenia na nápravu. Úrad ako dozorný orgán v oblasti spracúvania osobných údajov situáciu sleduje a vyhodnocuje. Zverejní k nej aj krátke vyjadrenie na svojom webovom sídle,“ dodala Bezáková.

Kto bude v tomto prípade niesť osobnú zodpovednosť? Vládna jednotka CSIRT, patrí totiž pod ministerku Veroniku Remišovú, ktorá si tam po nástupe ,,dosadila“ nové vedenie, uvádza vo svojom vyjadrení Richard Raši. Vyvodí teraz osobnú zodpovednosť, ktorú tak neustále očakáva od iných politikov?

Na Slovensku máme problém s únikom osobných údajov pri testovaných a v USA zase vznikol problém s dôveryhodnosťou samotných testov na Covid – 19. O probléme s kvalitou samotných testov na Covid – 19 sme informovali tu.