Конфиденциальную информацию пациентов купили на барахолке
В Нидерландах конфиденциальная информация из медучреждения обнаружена на старых жестких дисках, которые купили на барахолке. Ранее они принадлежали ИТ-компании из медицинской сферы.
Роберт Полет, любитель техники и охотник за выгодными покупками, посетил стихийный рынок у военного аэродрома Велде. Там он приобрел пять хардов по 500 ГБ каждый по цене 5 евро за штуку.
Подключив накопители у себя дома, Роберт обнаружил на них записи медицинского плана, включая такую информацию, как голландский эквивалент номеров социального страхования, даты рождения, домашние адреса, сведения о лекарствах, а также сведения о врачах общей практики и аптеках. Записи датировались 2011-2019 годами. По словам Полета, он был шокирован находкой, после чего вернулся и приобрел у того же продавца еще десять жестких дисков, оставшихся в наличии.
После изучения хардов удалось определить источник данных. Владельцем информации оказалось местное учреждение системы здравоохранения. Полет выяснил, что оно передавало информацию своему ИТ-подрядчику — компании Nortade ICT Solutions, разработчикку медицинского ПО. Некоторое время назад компания Nortade была признана банкротом и закрылась.
Согласно законодательству Нидерландов, конфиденциальная информация медицинских учреждений должна быть стерта с жестких дисков при участии сертифицированных специалистов, а сам процесс удаления данных и форматирования накопителей должен быть задокументирован.
Кроме того, поставщик ПО не имел права хранить у себя медицинские данные. Даже при наличии законных прав на хранение информации о пациентах, она должна быть зашифрована, а диски должны выводиться из эксплуатации по всем правилам.
Все посты подряд / Информационная безопасность / Хабр