Wykryto nieoczekiwany „brak dysku twardego w jednym z komputerów” na oddziale kardiologii. Szpital wojewódzki we Włocławku zgłasza możliwy wyciek danych.

Szpital informuje o problemie w piśmie dostępnym tutaj. Z jego treści dowiadujemy się:

W dniu 11.01.2024 r. Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku
(dalej: ADO) ujawnił utratę jednego z nośników danych. Nośnik ten co do zasady był terminalem
dostępowym do aplikacji i nie służył do przechowywania danych osobowych, jednak ze względu na
jego utratę na chwilę obecną nie ma możliwości, aby dokonać jego weryfikacji.
Z uwagi na potencjalną możliwość naruszenia poufności części danych osobowych z Oddziału
Kardiologii ADO, kierując się dobrem pacjentów i osób, do których z przyczyn od nas niezależnych nie
możemy możemy doręczyć indywidualnego powiadomienia, zamieszczamy jego treść na naszej stronie
internetowej.

Brzmi to trochę enigmatycznie, tj. „nośnik ten co do zasady był terminalem dostępowym do aplikacji„. Nieco później mamy bardziej dokładne wyjaśnienie:

W dniu 11.01.2024 r. w ramach naprawy jednego z komputerów z Oddziału Kardiologii ujawniono
brak twardego dysku. Komputer ten służył jedynie do logowania się do programów ADO, które nie znajdowały się w jego pamięci, ale na serwerze. Komputer ten miał zbyt małą pamięć by przechowywać na nim duże ilości plików tymczasowych, które ulegają skasowaniu. Z uwagi jednak na utratę dysku, ADO nie ma możliwości określenia czy w ogóle i jakie dokładnie dane osobowe znajdowały się na twardym dysku.

Mamy tutaj potencjalnie kilka problemów:

• Dysk najpewniej nie miał skonfigurowanego szyfrowania (FDE) – czyli każdy kto ma do niego dostęp, może mieć dostęp do danych na tym dysku
• Nie wiadomo czy na dysku nie były zapisane dane do logowania na serwer (gdzie znajdowały się wrażliwe dane)
• Nie wiadomo, czy na dysku nie było plików tymczasowych, w tym np. tymczasowych baz danych

Z dobrych informacji: prawdopodobnie spoza sieci szpitalnej nie ma dostępu do serwera. Przy czym w oświadczeniu brakuje analizy logów stwierdzającej czy przypadkiem nie zauważono nieautoryzowanego dostępu do serwera.

Z opisu wynika, że brak dysku wykryto w momencie naprawy. Być może naprawa miała miejsce w samym szpitalu, jednak przy okazji: jeśli oddajecie komputery / inne urządzenia (np. telefony) do serwisu – warto zadbać o:

• Odpowiednie usunięcie danych przed przekazaniem sprzętu
• Jeśli nie jest to możliwe – podpisanie stosownych umów / ale też zadbanie o techniczne aspekty bezpieczeństwa w firmie do której przekazywany jest sprzęt (w tym miejscu pewnie wielu z Was się lekko uśmiechnęło)

~ms