Защитена ли е информацията за здравния ни статус след хакерската атака срещу НАП
Две седмици след като стана ясно, че от НАП са изтекли лични данни на над 5 млн. българи, Министерството на здравеопазването нарежда да се вземат мерки за подобряване на информационната сигурност.
Това става ясно от писмо от Столичната РЗИ към директорите на лечебните заведения за извънболнична и болнична помощ.
В писмото са изредени всички мерки, които здравните заведения трябва да вземат след изтичането на данни от НАП. Част от препоръките обаче повдигат въпроса доколко действително са защитени личните ни данни, които се съхраняват от здравните заведения, личните ни лекари или специалистите, които сме посещавали, както и данните за заболявания, резултати от изследвания и др.
От РЗИ-то препоръчват да се провери каква организация е създадена за осигуряване на защитата на информацията; какви са прилаганите към момента политики, процедури, вътрешни правила и инструкции; известни ли са собствениците на всеки информационен актив; има ли ясно разписани роли и отговорности по отношение на сигурността; кой е отговорният ръководител; кой е системният администратор и кой осъществява контрол над действията. Проверката трябва да установи и дали са обучени служителите на всички нива и знаят ли как да реагират при нарушение на сигурността.
В здравните заведения трябва да се направи и инвентаризация на всички материални активи, свързани с обработка на информацията, която включва и създаване на технически паспорт на всяко устройство; актуализация на системното програмно осигуряване; инсталиране на всички актуализации.
Мерките предвиждат и да се установи каква информация се обработва, къде се съхранява и на кого се предава, кой има достъп до програмите е данните.
Особено внимание се обръща на антивирусната защита, която включва:
- използване на антивирусни програми;
- създаване на ред за актуализирането им;
- да не се отварят електронни писма от непознати адресати;
- да не се посещават страници, които не са свързани с преките задължения;
- да се обучат служителите как да реагират при съобщение за вирусна атака.
Във връзка с достъпа до информация трябва да се актуализират списъците за достъп и да се сменят всички пароли (има дори препоръка паролите да бъдат с минимална дължина 8 символа).
Забранява се използването на собствени запаметяващи устройства, посещаването на сайтове, които не са свързани с преките задължения, слушането на музика, гледането на филми и видеа, инсталирането на неодобрен от ръководството софтуер, както и нерегламентираната промяна в конфигурациите на компютрите.
Мерките предвиждат и създаването на правила за използване и достъп до резервни копия, сигурно унищожаване на информация, ремонт и подмяна на оборудването.
Така поставени част от мерките обаче - например въпросите дали се използват антивирусни програми и дали служителите са обучени как се съхранява информацията и как да реагират при съмнение за вируси, поставят под сериозно съмнение дали наистина съхраняваните данни са защитени, дори и на базово ниво.
Това не е маловажен въпрос, тъй като освен лични данни - три имена, ЕГН, адрес и т.н., здравните заведения и лекарите съхраняват и информация за здравия ни статус - за настоящи и минали заболявания, извършени медицински процедури, за приемани медикаменти и др. А тази информация освен лична, има значение и за това дали човек няма да бъде застрашен от уволнение, ако се разбере, че страда от определено заболяване. Такива случаи има с редица болести, които по принцип не представляват непосредствена опасност при делово общуване, но са все още стигматизирани от обществото като диабет, хепатит C, венерически заболявания, депресивни състояния, както и например извършени аборти и други.