Recorder.ro CEA MAI MARE SCURGERE DE DATE PERSONALE DIN SISTEMUL MEDICAL ROMÂNESC: O instituție a…

Recorder.ro 
  
 CEA MAI MARE SCURGERE DE DATE PERSONALE DIN SISTEMUL MEDICAL ROMÂNESC: O instituție a statului divulgă, din greșeală, bolile a peste 130.000 de pacienți. Breșa de securitate nu a fost remediată nici după ce a fost semnalată de Recorder. Instituția declară în mod oficial că e vina reporterilor care au accesat date pe care nu ar fi trebuit să le acceseze. 
  
 Ieri, 20 iulie 2022, la ora 11.00, Recorder a publicat o postare pe contul de Facebook în care semnala faptul că funcționarii Casei de Asigurări de Sănătate Constanța au creat o breșă de securitate online care făcea vizibile CNP-urile și tratamentele a peste 130.000 de pacienți din județul Constanța. Este vorba de 582 de fișiere Excel care cuprindeau totalitatea medicamentelor compensate eliberate între anii 2015-2021 de 87 de farmacii din județul Constanța: de la tratamente pentru hipertensiune sau diabet la HIV, cancer sau Hepatita C, toate având atașate CNP-urile pacienților.  
  
 Am publicat materialul numai după ce reprezentanții CAS Constanța ne-au asigurat că au șters toate informațiile sensibile. Aveam să constatăm, la câteva minute după publicare, că seturile de date au fost eliminate numai de pe pagina web a instituției. Însă, la o căutare mai avansată, datele erau încă disponibile pe server și puteau fi descărcate și accesate.  
  
 Primul pas a fost să ștergem temporar postarea inițială, astfel încât știrea despre breșa de securitate să nu se răspândească în mediul online și cu ajutorul Recorder și să vulnerabilizeze, astfel, pacienții. Am contactat din nou CAS Constanța pentru a semnala că datele sunt încă la îndemâna oricui are acces la internet. A urmat apoi o lungă așteptare, reprezentanții instituției invocând criza de personal și concediile de odihnă. Timp de patru ore, problema a fost plimbată birocratic și procedural pe la mai multe departamente (CAS Constanța are inclusiv un departament specializat pe protecția datelor cu caracter personal).  
  
 Nu e o datorie a presei să facă asta, dar atunci când un angajat al Casei Naționale de Asigurări de Sănătate ne-a sunat să ne întrebe dacă știm cum s-ar putea șterge bazele de date de pe server, i-am explicat care sunt pașii. Chiar și așa, a fost nevoie să treacă 24 de ore pentru ca sarcina să fie dusă la îndeplinire. În total, de la primul apel Recorder care semnala breșa de securitate și până când aceasta a fost pe deplin rezolvată au trecut mai mult de 48 de ore.  
  
 Aceasta este viteza de reacție a statului în fața unei crize care expune identitățile și bolile de care suferă zeci de mii de cetățeni. În tot acest timp, divizia de securitate informatică din cadrul Serviciului Român de Informații (Centrul Național Cyberint) nu a știut nimic despre această problemă. Nu a fost informată, nu s-a autosesizat, nu a acționat. Într-un răspuns oficial trimis Recorder, SRI menționează că “nu are nicio atribuție în acest caz”. 
  
 POSTAREA INIȚIALĂ 
 〰️〰️〰️〰️〰️〰️〰️〰️ 
  
 Caz grav de incompetență digitală: o instituție a statului divulgă, din greșeală, bolile a zeci de mii de români. 
  
 În plină dezbatere despre nevoia digitalizării instituțiilor din România, avem parte de un exemplu elocvent despre cât de nepregătit este statul să preia pe serverele sale date sensibile, care odată expuse pun în pericol integritatea cetățenilor. 
  
 Funcționarii Casei de Asigurări de Sănătate Constanța au creat o breșă de securitate care a permis oricărui utilizator de internet să descarce de pe site-ul instituției baze de date cu CNP-urile și bolile de care suferă zeci de mii de persoane din județul Constanța. 
  
 Din câteva apăsări de taste, oricine putea face corelații între medicamente, diagnostice și persoane reale.  
  
 Această breșă de securitate a fost accesibilă timp de mai bine de două săptămâni pe site-ul CAS Constanța. Ea a fost remediată ieri, după ce Recorder a semnalat acest lucru printr-un mesaj trimis instituției.  
  
 Cu toate acestea, poziția oficială a CAS Constanța este că singurul incident îl reprezintă nu superficialitatea propriilor angajați ci faptul că reporterii Recorder au accesat date pe care n-ar fi trebuit să le acceseze. 
  
 Cazul pe larg în linkul din zona de comentarii
Articolul initial: https://www.facebook.com/108038108253018/posts/183370424053119