Unikli citlivé informácie. Šéf NCZI vysvetľoval dieru v aplikácii
Zraniteľnosť aplikácie Moje ezdravie, ktorá umožnila etickým hekerom získať osobné údaje ľudí testovaných na ochorenie COVID-19, je už odstránená. Potvrdilo to Národné centrum zdravotníckych informácií.
Aplikáciu zdedil "aj s dobrým, aj zlým"
Šéf NCZI Peter Bielik priznal, že ak by problém neodhalili, mohlo dôjsť ku škodám. Spoločnosť Nethemba, ktorá na problém poukázala, podľa jeho slov prisľúbila, že získané osobné údaje testovaných ľudí nezneužije. NCZI prijala hlásenie o udalosti od vládnej jednotky CSIRT.SK 16. septembra. Podľa generálneho riaditeľa v priebehu troch hodín zabezpečili, aby nedošlo k ďalším únikom.
Bielik skonštatoval, že aplikáciu zdedil "aj s dobrým, aj zlým". Počas marca bola vyvinutá interným tímom NCZI na základe požiadavky ústredného krízového štábu pre potreby regionálnych úradov verejného zdravotníctva. "Pokiaľ sa preukáže, že ja som svojím pričinením zapríčinil, že došlo k tomuto úniku osobných údajov, som pripravený niesť osobnú zodpovednosť," skonštatoval.
K zneužitiu uniknutých údajov by podľa neho nemalo prísť. "Máme prísľub od pána Luptáka (riaditeľ spoločnosti Nethemba), naši právnici sa s ním už spojili, že nepríde k zneužitiu osobných údajov a v žiadnom prípade poskytnutiu údajov pre iné strany," ubezpečil. Informácie z aplikácie sa podľa Bielika týkali laboratórnych vyšetrení na COVID-19. "Musím pripomenúť, že ide o aplikáciu Moje ezdravie, ktorá vôbec nesúvisí s elektronickým zdravotníctvom eHealthom," dodal. Ubezpečil, že služby ako erecept či evyšetrenie sú dostatočne zabezpečené.
Kritická zraniteľnosť
Slovenská bezpečnostná IT spoločnosť Nethemba vo štvrtok upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130.000 pacientoch, ktorí boli v SR testovaní na COVID-19. Okrem iného získala ich rodné čísla aj výsledky testov. Podľa firmy umožnila chyba získať informácie o všetkých viac ako 390.000 pacientoch v databáze.
Problém spoločnosť nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk. K oprave uvedenej zraniteľnosti došlo 16. septembra. Úrad na ochranu osobných údajov SR prijal v piatok o 12.04 h oznámenie o danom bezpečnostnom incidente. Na základe zistených skutočností začal konanie o ochrane osobných údajov.
Minister zdravotníctva Marek Krajčí nevylučuje odchod generálneho riaditeľa NCZI Petra Bielika. "Priznám sa, že nevylučujem žiadnu možnosť. Počkám si na došetrenie celej situácie. Takéto veci sa naozaj nemôžu stávať, aj napriek tomu, že sme v krízovej situácii, veľa vecí sa robilo s tým najlepším úmyslom vo veľkej rýchlosti, ale toto je naozaj niečo, čo sa stávať nemôže," povedal.
