Dane osobowe osób korzystających z laboratorium Wojewódzkiego Zespołu Specjalistycznego wyciekły po tym, gdy w oprogramowaniu służącym do zarządzania informacjami pacjentów pojawił się błąd. O tym, że dochodzi do trudnych do przewidzenia przypadków - wiadomo i nie jest to nic dziwnego. Jednak dziwne jest to, że informuje się o tym... pół roku później.
Wojewódzki Zespół Specjalistyczny w Rzeszowie padł ofiarą błędu w oprogramowaniu SOLAB_WWW w dniach między 5 a 7 stycznia 2022 roku, natomiast informacja o tym na facebookowym profilu placówki pojawiła się trzy dni temu. Nie spotkała się ze szczególnym zainteresowaniem społeczności: ale nie to jest najważniejsze. Ważne jest to, że w kraju gdzie codziennie dochodzi do nadużyć związanych z ujawnieniem osobom do tego niepowołanym cudzych danych oraz wycieków prowokowanych przez cyberprzestępców, w tak niefrasobliwy sposób podchodzi się przede wszystkim do takiego prostolinijnego pomyślunku.
W oświadczeniu instruuje się poszkodowanych pacjentów o tym, że mogą zasięgnąć więcej informacji u Inspektora Ochrony Danych Osobowych. Niżej znajdują się jednak rzeczy, które w tym momencie mogłyby być już jedynie kurtuazją, gdyby wyciek był bardzo potężny i był efektem działań cyberprzestępców. Otóż, wypisuje się możliwe skutki wystąpienia takiego wycieku danych: m. in. wskazuje się na możliwość wzięcia na kogoś pożyczki pozabankowej, uzyskania dostępu do innych systemów przeznaczonych do obsługi państwowych usług medycznych, zagłosowania w kwestii budżetu obywatelskiego, zawarcia umów cywilnoprawnych lub ukrycia swojej tożsamości. Co istotne, niemożliwe było poznanie stanu zdrowia pacjentów wewnątrz wskazanego systemu SOLAB_WWW. Wojewódzki Zespół Specjalistyczny zaleca założenie konta w systemach informacji kredytowej i gospodarczej.
Informacje o możliwych konsekwencjach w obliczu faktu, iż zwlekano pół roku z ogłoszeniem wycieku wydają się być odrobinę śmieszne. Takie serwisy jak my - mimo, iż dla większości naszych Czytelników takie rzeczy są oczywiste, powtarzamy do znudzenia co można i co powinno się zrobić. Jednak, skoro na szczeblu instytucji które cieszą się zaufaniem obywateli (albo przynajmniej tak być powinno) dochodzi do takiej bezmyślności... jestem pełen obaw o to, w jaki sposób na co dzień odbywa się żonglowanie naszymi danymi. Zastanawiam się, ile takich wycieków nie zostało upublicznionych dlatego, że ktoś zwyczajnie nie chciał mieć żadnych problemów lub nie zamierzał wykonywać dodatkowej pracy. Ewentualnie - bał się konsekwencji takiego przypadku. Niezależnie od tego, co poszło nie tak - usprawiedliwienia nie ma.
Weźmy pod uwagę, iż z instytucji ochrony zdrowia często korzystają osoby starsze, mniej świadome technologicznie. One być może nie zauważą żadnego problemu, nie połączą kropek i nie zrozumieją, że coś tu działa nie tak jak trzeba. Nie będą dochodzić swoich praw - jednym z nich jest taktowanie ich bezpieczeństwa poważnie. W ciągu pół roku mogło dojść do wykorzystania tych danych - nawet, jeżeli - jak twierdzi Wojewódzki Zespół Specjalistyczny, do systemu zalogowały się w tym czasie "tylko" 84 osoby.
Nie zgodzę się z tym, że natychmiast po ujawnieniu tego naruszenia ochrony danych osobowych zrobiono wszystko, aby zabezpieczyć, zablokować dostęp oraz zapobiec powstawania takich incydentów w przyszłości: jednym z punktów które powinno się robić obok tego jest poinformowanie najbardziej zainteresowanych: pacjentów.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
