Głośne przykłady ataków wirusów komputerowych stanowią tyko jedną stronę realnych zagrożeń dla naszych plików. Słyszeliście może o GIODO i przepisach o ochronie danych osobowych?

Na ich podstawie podmioty przetwarzające dane osobowe, co w praktyce oznacza niemal każdego przedsiębiorcę, mają obowiązek zabezpieczać je zgodnie z wymogami prawa. Tymczasem, w instytucjach, które powinny być w szczególny sposób wyczulone na ochronę danych – mowa tu o placówkach zdrowia, coś jest nie tak.

Komu PESEL, komu?

Kilka miesięcy temu opisano przypadek Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. Dane pacjentów, w tym imię i nazwisko, PESEL, adres wraz z wynikami badań były ogólnie dostępne na publicznym serwerze. Znajdowały się tam także dane pracowników wraz z np. wysokością ich zarobków oraz … numerami dowodów osobistych i kont bankowych.

Dostęp nie wymagał logowania. Serwer, na którym znajdowały się pliki, był dostępny bez jakichkolwiek zabezpieczeń. Każdy mógł sięgnąć po dane ok. 50 tys. pacjentów i 600 pracowników.

Czat prywatny? Nie, publiczny!

Na początku listopada wpadkę odnotował popularny LUX MED, który udostępnia swoim pacjentom firmowy portal, skądinąd bardzo przydatny w umawianiu wizyt, sprawdzaniu wyników badań itd. Jak na XXI w. przystało, pozwala na znaczące zaoszczędzenie czasu, traconego wcześniej na próbach dodzwonienia się na infolinię.

W ramach portalu oferowany jest również czat z lekarzem. Można, bez konieczności wizyty w przychodni, omówić wyniki badań czy skonsultować objawy. Okazało się, że z powodu błędu w najnowszej aktualizacji, czat mógł być „podsłuchiwany” przez inne osoby. Na szczęście tylko w niewielkim zakresie, a błąd został niemal od razu zauważony przez czujnych użytkowników.

 

Obydwa opisane przypadki z pewnością nie są jednostkowe, zadziałał „wewnętrzny czynnik ludzki”, czyli po prostu zwykła beztroska albo brak odpowiedniej kontroli. Pisaliśmy już w Akademii, jak ważne jest szkolenie pracowników i ich świadomość zagrożeń wewnętrznych i zewnętrznych. Szkolenia dotyczące bezpieczeństwa danych firmowych, nie tylko tych osobowych, powinny być obowiązkowe (tak samo, jak szkolenia BHP) i systematycznie powtarzane.

 

 

 

Akademia Internetu EXTEL BIZNES+ jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do kadry IT oraz zajmującej się zamówieniami usług dla biur. O nowych artykułach informujemy poprzez newsletter. Napisz do nas







Spodobało Ci się? Udostępnij!
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn