Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wykryto nieoczekiwany „brak dysku twardego w jednym z komputerów” na oddziale kardiologii. Szpital wojewódzki we Włocławku zgłasza możliwy wyciek danych.

17 stycznia 2024, 10:26 | W biegu | komentarze 2

Szpital informuje o problemie w piśmie dostępnym tutaj. Z jego treści dowiadujemy się:

W dniu 11.01.2024 r. Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku
(dalej: ADO) ujawnił utratę jednego z nośników danych. Nośnik ten co do zasady był terminalem
dostępowym do aplikacji i nie służył do przechowywania danych osobowych, jednak ze względu na
jego utratę na chwilę obecną nie ma możliwości, aby dokonać jego weryfikacji.
Z uwagi na potencjalną możliwość naruszenia poufności części danych osobowych z Oddziału
Kardiologii ADO, kierując się dobrem pacjentów i osób, do których z przyczyn od nas niezależnych nie
możemy możemy doręczyć indywidualnego powiadomienia, zamieszczamy jego treść na naszej stronie
internetowej.

Brzmi to trochę enigmatycznie, tj. „nośnik ten co do zasady był terminalem dostępowym do aplikacji„. Nieco później mamy bardziej dokładne wyjaśnienie:

W dniu 11.01.2024 r. w ramach naprawy jednego z komputerów z Oddziału Kardiologii ujawniono
brak twardego dysku.
Komputer ten służył jedynie do logowania się do programów ADO, które nie znajdowały się w jego pamięci, ale na serwerze. Komputer ten miał zbyt małą pamięć by przechowywać na nim duże ilości plików tymczasowych, które ulegają skasowaniu. Z uwagi jednak na utratę dysku, ADO nie ma możliwości określenia czy w ogóle i jakie dokładnie dane osobowe znajdowały się na twardym dysku.

Mamy tutaj potencjalnie kilka problemów:

  • Dysk najpewniej nie miał skonfigurowanego szyfrowania (FDE) – czyli każdy kto ma do niego dostęp, może mieć dostęp do danych na tym dysku
  • Nie wiadomo czy na dysku nie były zapisane dane do logowania na serwer (gdzie znajdowały się wrażliwe dane)
  • Nie wiadomo, czy na dysku nie było plików tymczasowych, w tym np. tymczasowych baz danych

Z dobrych informacji: prawdopodobnie spoza sieci szpitalnej nie ma dostępu do serwera. Przy czym w oświadczeniu brakuje analizy logów stwierdzającej czy przypadkiem nie zauważono nieautoryzowanego dostępu do serwera.

Z opisu wynika, że brak dysku wykryto w momencie naprawy. Być może naprawa miała miejsce w samym szpitalu, jednak przy okazji: jeśli oddajecie komputery / inne urządzenia (np. telefony) do serwisu – warto zadbać o:

  • Odpowiednie usunięcie danych przed przekazaniem sprzętu
  • Jeśli nie jest to możliwe – podpisanie stosownych umów / ale też zadbanie o techniczne aspekty bezpieczeństwa w firmie do której przekazywany jest sprzęt (w tym miejscu pewnie wielu z Was się lekko uśmiechnęło)

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. drucik

    Coś czuję, że serwisant znajdzie ten dysk za pół roku, pod hałdą innych rupieci na biurku :)
    Ale szacun za przyznanie się, że coś im zginęło.

    Odpowiedz
  2. Ja kiedyś nabyłem dane z HR-u kupując dysk na olx-ie :D

    Dane z 2012 roku, co ciekawe zgłaszałem sprawę sprzedającemu ale kazał mi „iść w podskokach” ;)

    tak wygląda ochrona danych w Polsce

    Odpowiedz

Odpowiedz