Aplikáciu ezdravie, odkiaľ mohli uniknúť informácie o testovaných na COVID-19, má už dva roky pod palcom istá firma

NETKY.SK • 17 September 2020, 16:17 • 2 min
Aplikáciu ezdravie, odkiaľ mohli uniknúť informácie o testovaných na COVID-19, má už dva roky pod palcom istá firma

BRATISLAVA - Slovenská bezpečnostná IT spoločnosť Nethemba upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130 000 pacientoch, ktorí boli v SR testovaní na COVID-19. Je však nutné podotknúť, že v roku 2018 začalo NCZI spolupracovať s firmou, o ktorej netušil ani jej vtedajší generálny riaditeľ.

slovakia

left justify in out

Čo sa včera vlastne stalo? 

Netherma okrem iného získala rodné čísla aj výsledky testov všetkých testovaných na koronavírus. Potvrdil to výkonný riaditeľ spoločnosti Pavol Lupták s tým, že chyba umožňovala získať informácie o všetkých viac ako 390 000 pacientoch v databáze.

 

img

 

Problém spoločnosť nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk.

 

"K oprave uvedenej zraniteľnosti došlo 16. septembra zhruba medzi 16.30 h - 16.50 h. Až po oprave tejto zraniteľnosti sme sa rozhodli uvedenú zraniteľnosť publikovať," ozrejmila spoločnosť.

 

Žiadne zabezpečenie

Zároveň upozornila, že útočník dokázal k údajom všetkých pacientov pristúpiť bez akejkoľvek autentifikácie a špeciálnych technických znalostí. Rovnako, že chýbali mechanizmy, ktoré by znemožňovali masívne sťahovanie údajov, a všetky dáta boli v nešifrovanej, teda nezabezpečenej forme.

 

img

 

"Uniknuté informácie ako meno, priezvisko, rodné číslo, dátum narodenia, pohlavie, mobilné číslo, miesto pobytu či email dokážu byť zneužité na sofistikované cielené útoky sociálneho inžinierstva (phishing, vishing a iné). Využitím ďalších dostupných informácií ako výsledok testu, informácia o zdravotnej poisťovni či názve laboratória, ktoré vykonalo testy, je možné realizovať sofistikované cielené ,scam' útoky," upozornila Nethemba.

 

Mohlo by vás zaujímať: KRITICKÁ ZRANITEĽNOSŤ V APLIKÁCII MOJE EZDRAVIE – ÚNIK DATABÁZY PACIENTOV TESTOVANÝCH NA COVID-19

 

Podľa advokáta ide v tomto prípade o kybernetický bezpečnostný incident aj porušenie ochrany osobných údajov. Ozrejmil, že porušenie ich ochrany musí Národné centrum zdravotníckych informácií oznámiť Úradu na ochranu osobných údajov SR.

 

img

 

"Notifikovať treba aj dotknuté osoby. Vzhľadom na to, že únik údajov sa týka státisícov fyzických osôb, by ich informovanie vyžadovalo neprimerané úsilie. V takom prípade treba informovať verejnosť alebo prijať podobné opatrenie, aby dotknuté osoby boli informované," vysvetlil Peter Kováč z advokátskej kancelárie Kinstellar. Vzhľadom na počet dotknutých osôb predpokladá udelenie vysokej pokuty.

 

"Do tohto momentu úradu nebol nahlásený bezpečnostný incident týkajúci sa spomínaného úniku," uviedla hovorkyňa Úradu na ochranu osobných údajov (ÚOOÚ) SR Lucia Bezáková.

 

Povinné oznámenie

Pripomenula, že porušenie ochrany osobných údajov má prevádzkovateľ oznámiť príslušnému orgánu bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, ako sa o tejto skutočnosti dozvedel. Ak oznámenie dozornému orgánu nepredložili do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

 

"V prípade, ak k bezpečnostnému incidentu došlo, je prevádzkovateľ povinný tento bezpečnostný incident zdokumentovať a prijať adekvátne opatrenia na nápravu. Úrad ako dozorný orgán v oblasti spracúvania osobných údajov situáciu sleduje a vyhodnocuje. Zverejní k nej aj krátke vyjadrenie na svojom webovom sídle," dodala Bezáková.

 

img

 

Obnova serverov nastala už pred 2 rokmi

16. apríla 2018 Národné centrum zdravotníckych informácií (NCZI) uviedlo, že lekári by mali pri používaní elektronického zdravotníctva (ezdravie) zažívať menej výpadkov systému.

 

NCZI sa totiž rozhodlo posilniť infraštruktúru systému. "V praxi to znamená doplnenie nových a obnovu starých serverov s cieľom zvýšenia výkonnosti a stability systému. Ezdravie bude rýchlejšie, v dôsledku čoho sa s ním bude lekárom lepšie pracovať," vyjadrila sa hovorkyňa NCZI Diana Dúhová v tomto období. 

 

img

 

NCZI posilní infraštruktúru za viac ako 3,3 milióna eur. Verejné obstarávanie vyhrala firma TooNet, konzultačná a implementačno-servisná spoločnosť pôsobiaca v oblasti IT so špecializáciou na informačnú bezpečnosť a k nej relevantné audity. 

 

Predpokladaná hodnota zákazky bola 4,215 milióna eur bez DPH (cez 5 mil. eur s DPH). Víťazom sa stala napokon už spomínaná spoločnosť TooNet, ktorá ponúkla cenu asi 2,8 milióna eur bez dane. Peter Blaškovitš ako vtedajší generálny riaditeľ NCZI sa o tejto firme vyjadril, že o nej ešte v živote nepočul. V dnešnej dobe už na jeho mieste pôsobí Ing. Peter Bielik. Ako sami vidíte, rozdiel oproti Atosu bol doslova na hrane.

 

img

Zdroj: zive.aktuality.sk

 

 

Súčasná vláda sa teda nijakým spôsobom nepodieľala, nekontrolovala, ani nebola nijakou formou zapletená do verejného obstarávania, ktoré podľa zive.aktuality.sk vyhrala vtedy ešte neznáma firma TooNet. 

 



twiterfacebooklinkedinwhatsapp

Za Netky.sk
lukas cief
Netky
Deň Ústavy o
00 DNÍ 00 HODÍN 00 MINÚT 00 SEKÚND
logo
Copyright © 2023 PetsoftMedia Inc.
Všetky práva sú vyhradené. Publikovanie alebo ďalšie šírenie správ, fotografií a video správ zo zdrojov TASR, SITA, taktiež z vlastnej autorskej tvorby, je bez predchádzajúceho písomného súhlasu porušením autorského zákona

Pre používanie spravodajstva Netky.sk je potrebné povoliť cookies