BEZTROSKA PRACOWNIKÓW MOŻE WPŁYNĄĆ NA (NIE)BEZPIECZEŃSTWO DANYCH
2017-11-15
Głośne przykłady ataków wirusów komputerowych stanowią tyko jedną stronę realnych zagrożeń dla naszych plików. Słyszeliście może o GIODO i przepisach o ochronie danych osobowych?
Na ich podstawie podmioty przetwarzające dane osobowe, co w praktyce oznacza niemal każdego przedsiębiorcę, mają obowiązek zabezpieczać je zgodnie z wymogami prawa. Tymczasem, w instytucjach, które powinny być w szczególny sposób wyczulone na ochronę danych – mowa tu o placówkach zdrowia, coś jest nie tak.
Komu PESEL, komu?
Kilka miesięcy temu opisano przypadek Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. Dane pacjentów, w tym imię i nazwisko, PESEL, adres wraz z wynikami badań były ogólnie dostępne na publicznym serwerze. Znajdowały się tam także dane pracowników wraz z np. wysokością ich zarobków oraz … numerami dowodów osobistych i kont bankowych.
Dostęp nie wymagał logowania. Serwer, na którym znajdowały się pliki, był dostępny bez jakichkolwiek zabezpieczeń. Każdy mógł sięgnąć po dane ok. 50 tys. pacjentów i 600 pracowników.
Czat prywatny? Nie, publiczny!
Na początku listopada wpadkę odnotował popularny LUX MED, który udostępnia swoim pacjentom firmowy portal, skądinąd bardzo przydatny w umawianiu wizyt, sprawdzaniu wyników badań itd. Jak na XXI w. przystało, pozwala na znaczące zaoszczędzenie czasu, traconego wcześniej na próbach dodzwonienia się na infolinię.
W ramach portalu oferowany jest również czat z lekarzem. Można, bez konieczności wizyty w przychodni, omówić wyniki badań czy skonsultować objawy. Okazało się, że z powodu błędu w najnowszej aktualizacji, czat mógł być „podsłuchiwany” przez inne osoby. Na szczęście tylko w niewielkim zakresie, a błąd został niemal od razu zauważony przez czujnych użytkowników.
Obydwa opisane przypadki z pewnością nie są jednostkowe, zadziałał „wewnętrzny czynnik ludzki”, czyli po prostu zwykła beztroska albo brak odpowiedniej kontroli. Pisaliśmy już w Akademii, jak ważne jest szkolenie pracowników i ich świadomość zagrożeń wewnętrznych i zewnętrznych. Szkolenia dotyczące bezpieczeństwa danych firmowych, nie tylko tych osobowych, powinny być obowiązkowe (tak samo, jak szkolenia BHP) i systematycznie powtarzane.
Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas