Precizări importante ale CAS Constanța referitoare la breșa de securitate, semnalată de jurnaliștii de la Recorder

La data de 20 iulie 2022, la ora 11.00, Recorder a publicat o postare pe contul de Facebook în care semnala faptul că funcționarii Casei de Asigurări de Sănătate Constanța au creat o breșă de securitate online care făcea vizibile CNP-urile și tratamentele a peste 130.000 de pacienți din județul Constanța.

Este vorba de 582 de fișiere Excel care cuprindeau totalitatea medicamentelor compensate eliberate între anii 2015-2021 de 87 de farmacii din județul Constanța., scrie recorder.ro. 

Casa de Asigurări de Sănătate Constanța a făcut precizări despre informațiile prezentate în articolul publicat de Recorder.Ro



Anunțul Casei de Asigurări de Sănătate Constanța

Referitor la informațiile prezentate în articolul publicat de Recorder.Ro, Casa de Asigurări de Sănătate Constanța face următoarele precizări:

Setul de informații publicate pe site-ul instituției noastre se adresau doar furnizorilor de medicamente cu care suntem în relație contractuală. Numele folderelor respective nu prezentau niciun interes pentru publicul larg. Iar cel mai important, informațiile erau arhivate zip și protejate cu parole, care au fost comunicate confidențial fiecărui furnizor în parte căruia i se adresau informațiile. Regulamentul GDPR nu ne interzice postarea informațiilor sensibile, dacă acestea sunt criptate, iar această obligație a fost respectată.

 

După publicarea articolului de către Recorder în data de 20.07.2022, au apărut informații că acestea pot fi încă accesate, chiar dacă nu mai existau pe site, ci fiind salvate în chache-urile google. Însă, reiterăm că pentru ca acestea să mai poată fi accesate, cel interesat trebuia să știe deja adresa exactă cache web (linkul) de pe serverul instituției, precum și parola. Așadar, numărul celor care o mai puteau face era probabil zero, cu excepția furnizorilor în cauză.

 

Astfel, considerând că incidentul de securitate a constat în divulgarea parolei de către un asemenea furnizor, am anunțat de îndată și Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 

Ștergerea informațiilor din chache web nu a depins numai de către instituția noastră, de aceea pentru înlăturarea oricărei eventuale scurgeri de informații s-au preocupat și cei de la CNAS, solicitări google etc.

 

În acest moment în cadrul instituției se analizează întreaga situație, iar când vom finaliza cercetările vom dispune măsurile care se impun. Existența parolei în numele folderului fiind neglijența pe care o cercetăm. În ceea ce privește incidentul de securitate, prin divulgarea parolei, așteptăm răspunsul Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal. 

 

“Dacă știi parola, e normal să poți să afli datele conținute. Complexitatea parolei putea fi oricât de mare, atâta timp cât a fost divulgată, nu mai are relevanță complexitatea. Orice modalitate de transmitere am fi ales, atâta timp cât 2 entități cunoșteau parola, și una o dă și unei terțe, toată infrastructura e vulnerabilă. Chiar dacă adresa web este securizata de către STS, cunoașterea parolei dă legitimitate persoanei care accesează informațiile. Că celelalte farmacii puteau accesa informațiile destinate celorlalte farmacii, pentru că știau algoritmul, în speță că parola este reprezentată de cui, nu reprezintă o breșă de securitate, pentru că informațiile nu erau confidențiale pentru farmacii, ci pentru publicul larg. Așteptăm concluziile Autorității și se vor lua măsurile necesare.“ a declarat doamna Director general Luminița Nagy.