Problém spoločnosť nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk. „K
oprave uvedenej zraniteľnosti došlo 16. septembra zhruba medzi 16.30 h -
16.50 h. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú
zraniteľnosť publikovať,“ ozrejmila spoločnosť. Zároveň upozornila,
že útočník dokázal k údajom všetkých pacientov pristúpiť bez akejkoľvek
autentifikácie a špeciálnych technických znalostí. Rovnako, že chýbali
mechanizmy, ktoré by znemožňovali masívne sťahovanie údajov, a všetky
dáta boli v nešifrovanej, teda nezabezpečenej forme.
Na základe toho sa dali získať osobné informácie každého pacienta, ako
meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo,
miesto pobytu, informácie o klinických príznakoch či dátum vyšetrenia,
druh testu a jeho výsledok.
„Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum
narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť
zneužité na sofistikované cielené útoky sociálneho inžinierstva
(phishing, vishing a iné). Využitím ďalších dostupných informácií ako
výsledok testu, informácia o zdravotnej poisťovni či názve laboratória,
ktoré vykonalo testy, je možné realizovať sofistikované cielené ,scam'
útoky,“ upozornila Nethemba.
Podľa advokáta ide v tomto prípade o kybernetický bezpečnostný incident
aj porušenie ochrany osobných údajov. Ozrejmil, že porušenie ich ochrany
musí Národné centrum zdravotníckych informácií oznámiť Úradu na ochranu
osobných údajov SR. „Notifikovať treba aj dotknuté osoby. Vzhľadom
na to, že únik údajov sa týka státisícov fyzických osôb, by ich
informovanie vyžadovalo neprimerané úsilie. V takom prípade treba
informovať verejnosť alebo prijať podobné opatrenie, aby dotknuté osoby
boli informované,“ vysvetlil pre TASR Peter Kováč z advokátskej
kancelárie Kinstellar. Vzhľadom na počet dotknutých osôb predpokladá
udelenie vysokej pokuty.
„Do tohto momentu úradu nebol nahlásený bezpečnostný incident týkajúci sa spomínaného úniku,“
uviedla pre TASR hovorkyňa Úradu na ochranu osobných údajov (ÚOOÚ) SR
Lucia Bezáková. Pripomenula, že porušenie ochrany osobných údajov má
prevádzkovateľ oznámiť príslušnému orgánu bez zbytočného odkladu a podľa
možnosti najneskôr do 72 hodín po tom, ako sa o tejto skutočnosti
dozvedel. Ak oznámenie dozornému orgánu nepredložili do 72 hodín,
pripojí sa k nemu zdôvodnenie omeškania.
„V prípade, ak k bezpečnostnému incidentu došlo, je prevádzkovateľ
povinný tento bezpečnostný incident zdokumentovať a prijať adekvátne
opatrenia na nápravu. Úrad ako dozorný orgán v oblasti spracúvania
osobných údajov situáciu sleduje a vyhodnocuje. Zverejní k nej aj krátke
vyjadrenie na svojom webovom sídle,“ dodala Bezáková.