Wyciekły dane 50 tys. pacjentów polskiego szpitala. To prawdopodobnie atak hakerski

Robert Kędzierski
Specjaliści firmy Deloitte odkryli w internecie bazę zawierającą dane 50 tys. pacjentów jednego ze szpitali w wielkopolskim Kole. Poszkodowani mogli zostać narażeni na utratę prywatności w dwójnasób.

Zespół Cyberbezpieczeństwa Deloitte znalazł w internecie bazę 50 tys. pacjentów jednego ze szpitali w Wielkopolsce. Zawierała ona szereg danych osobowych: m.in. imię, nazwisko, adres oraz numer PESEL. Ponadto do rekordów miały być przypisane dane medyczne, takie jak grupa krwi, diagnostyka - czyli elementy historii choroby.

Poszkodowani zostali więc narażeni na utratę prywatności na dwa sposoby - po pierwsze, ich dane mogły posłużyć np. do wyłudzenia pożyczek lub towarów. Po drugie, postronne osoby mogły zaznajomić się z danymi dotyczącymi stanu zdrowia.

Jak doszło do wycieku

Według ekspertów, strona szpitala została przejęta przez hakerów, o czym świadczą pozostawione przez nich ślady.

Ślady po infekcjiŚlady po infekcji Fot. Deloitte

Witryna placówki była wykorzystywana do phishingu - zainstalowano na niej fałszywą stronę, która udawała serwis PayPal. Skoro możliwe było przejęcie kontroli nad witryną, to możliwe, że udało się też pobrać inne zasoby szpitala - w tym bazę pacjentów. Komputery szpitala mogły być też wykorzystywane do ataku na inne placówki.

Czytaj też: Komputery w szpitalach ulubionym celem ransomware.

Dwa główne obszary ryzyka w szpitalach, to dane osobowe i medyczne pacjentów przechowywane w systemach informatycznych oraz dane z badań pacjentów  przechowywane w urządzeniach medycznych podłączonych do sieci komputerowych.

W 2016 roku Deloitte przeprowadził badanie szpitali w 9 krajach. Większość z ankietowanych przyznała, że nie posiada polityki bezpieczeństwa regulującej w podstawowy sposób zasady ochrony danych pacjentów.

Nadchodzi ważna zmiana w przepisach

Trudno przesądzić, w jaki sposób dane pacjentów znalazły się w internecie. Pewne jest natomiast to, że od przyszłego roku tego typu incydenty mogą być kosztowne dla szpitali czy innych jednostek. W życie wchodzi bowiem zmiana przepisów, która nakłada na administratora danych osobowych bardziej restrykcyjne obowiązki. Od 25 maja 2018 r. naruszenie zasad bezpiecznego przetwarzania danych może
skutkować wysoką karą finansową nakładaną przez GIODO - nawet 10 lub 20 milionów euro lub do 2% lub 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Więcej o:
Komentarze (33)
Wyciekły dane 50 tys. pacjentów polskiego szpitala. To prawdopodobnie atak hakerski
Zaloguj się
  • needmoney

    Oceniono 7 razy 5

    Co na to generalny inspektor ochrony danych ? Czy komukolwiek realnie pomógł w realnej sprawie czy tylko jest rozsadnikiem budżetowych posad z wynagrodzeniami oderwanymi od realiów ? Kto będzie płacił te miliony ojro kar w instytucjach budżetowych ? Bezmyślny plebs się cieszy że z budżetu zapłaci kary a w realnym świecie gdy oszust weźmie kredyt na skradzione dane to zostaje tylko się modlić i czekać na komornika z wyrokiem niezwisłego sądu ... to obywatel powinien być chroniony a nie jego dane ...

  • botwinnik

    0

    Albo prawo do prywatności, albo elektroniczna dokumentacja medyczna. Z chwilą wprowadzenia obowiązku elektronicznej dokumentacji medycznej tajemnica lekarska przestaje istnieć. I włamania hakerskie są najmniejszym problemem. Każda z > 20 uprawnionych do inwigilacji służb wejdzie spokojnie na historię świadczeń, recept itd... osoby, będącej w kręgu zainteresowań.
    Pacjent - obywatel powinien mieć prawo do korzystania ze świadczeń medycznych w sposób nie pozwalający na śledzenie ich bez jego zgody - co staje się utopią, ale warto wiedzieć, z czego jesteśmy odzierani pod hasłem informatyzacji ochrony zdrowia, która wbrew pozorom co prawda ułatwia kontrolę finansową udzielanych publicznych świadczeń medycznych, ale niespecjalnie ma wpływ na poziom merytoryczny tych świadczeń.

  • madziulka1982

    Oceniono 2 razy 0

    ten szpital jest bardzo biedny, Panstwo mogloby go wspomoc ale po co

  • ola tester

    Oceniono 2 razy 0

    Żadni hakerzy nie byli potrzebni, a przynajmniej nie po to, żeby się włamywać, bo ten serwer w ogóle nie był nijak zabezpieczony. Każdy mógł wejść i przeglądać zawartość jeśli tylko znał IP.

  • wiechuc

    Oceniono 2 razy 0

    Kaczyński musi odejść.

  • chateau

    0

    Czyżby szpital trzymał stronę internetową na tym samym serwerze (w tej samej sieci) co bazę danych medycznych?
    Wątpię, bo to najgłupszy z możliwych pomysł na zaoszczędzenie kilkuset złotych rocznie.

  • iwanme

    Oceniono 2 razy 0

    No niestety jeśli chodzi o cyberbezpieczeństwo w szpitalach to system leży i kwiczy. Słabe zabezpieczenia (bądź nieistniejące) sieci, przestarzałe systemy, hasła napisane na karteczkach, kontrola dostępu praktycznie zerowa...

    Ale tu nic dziwnego, bo ludziom odpowiedzialnym za utrzymanie tego płacą takie stawki, że nikt sensowny się tam nie zatrudni. Od czasu do czasu jak zrobią wałka z zewnętrzną firmą to zdarza się, że jest na jakiś czas poprawa. Ale tak...

Aby ocenić zaloguj się lub zarejestrujX