Breşă de securitate la Casa de Asigurări de Sănătate Constanţa – CNP-urile şi tratamentele a peste 130.000 de pacienţi au fost disponibile pe site-ul oficial

23/07/2022

În fiecare zi observăm lipsa digitalizării în instituţiile publice din România, iar acolo unde avem ceva tentative, apar situaţii precum cea pe care urmează să o detaliem.

Pentru o perioadă de câteva zile pe site-ul oficial al Casei de Asigurări de Sănătate Constanţa au fost postate 582 de fişiere Excel care cuprindeau totalitatea medicamentelor compensate eliberate între anii 2015-2021 de 87 de farmacii din județul Constanța. Aceste fişiere conţineau date precum CNP-ul persoanelor care solicitau medicamentele, statutul (angajat, pensionar, persoană cu handicap etc.), cantitatea prescrisă și categoria de boală. Deşi acestea erau parolate, parola era scrisă chiar în denumirea fişierului.

Situaţia a fost descoperită de către cei de la Recorder după o sesizare a unui farmacist din Constanţa. Aceştia au anunţat Casa de Asigurări de Sănătate Constanţa pentru a rezolva problema, iar la câteva ore distanţă baza de date a dispărut de pe site, iar reprezentanţii instituţiei au revenit cu o explicaţie: “Am șters datele imediat ce ne-ați semnalat această eventuală breșă de securitate. Într-adevăr, parola era vizibilă în numele documentelor, dar nu credem că informațiile au fost preluate de prea mulți oameni. Era vorba de date care îi interesează pe furnizorii din industria farmaceutică. Au fost puse aceste parole simple pentru a fi mai ușor de reținut de către reprezentanții farmaciilor. Practic, erau CUI-urile farmaciilor. Poziția noastră oficială este că incidentul constă în divulgarea parolei către dumneavoastră de către anumite persoane și faptul că ați accesat acele date.”

După ce a fost confirmată rezolvarea situaţiei, Recorder a publicat primele informaţii pe pagina de Facebook.

La câteva minute de la publicarea materialului, cei de la Recorder au observat că datele erau încă disponibile pe server. Pentru că intenţia jurnaliştilor a fost dintre cele mai bune, aceştia au şters publicarea de pe Facebook până când Casa de Asigurări de Sănătate Constanţa va confirma eliminarea definitivă a problemei.

Apogeul acestei situaţii cât se poate de serioasă a fost acela când un angajat al Casei Naţionale de Asigurări de Sănătate a contactat reprezentanţii Recorder pentru a le solicita ajutorul în ştergerea bazei de date de pe server. Adică după câteva ore în care IT-iştii de la stat au căutat soluţii, problema a fost rezolvată cu ajutorul sfaturilor Recorder (din articol înţeleg că între momentul solicitării ajutorului şi până la confirmarea de ştergere a bazei de date au trecut 24 de ore).

După ce au fost siguri că informaţiile nu mai pot fi accesate, cei de la Recorder au repostat materialul pe Facebook şi au realizat un articol pe site-ul recorder.ro.

Dacă în cazul Băncii Transilvania când în presă a apărut acel mail cu câteva date personale ale unui client, ANSPDCP a amendat instituţia bancară cu 100.000 de euro pentru încălcarea GDPR-ului, oare ce amendă ar trebui să primească Casa de Asigurări de Sănătate Constanţa pentru cele 582 de fişiere excel cu datele a 130.000 de pacienţi ?

Răspuns: nicio amendă, 0 lei. Recorder a solicitat un punct de vedere de la ANSPDCP referitor la această speţă, iar răspunsul acestora a fost sec: Concret, legea nu prevede nicio amendă pentru încălcarea de către instituțiile publice a regulamentului privind protecția datelor, ci doar un avertisment și un plan de remediere.”

Sursa foto
Cosmin Mușat
Editor la Gadget.ro, pasionat de tot ce înseamnă tehnologie de ultimă oră. Scrie despre cele mai noi informaţii din lumea IT&C, review-uri, gadget-uri nonconformiste etc. Utilizează OnePlus 9 Pro și Acer Nitro 5 AN517-52.