Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė 450 tūkst. eurų baudą UAB „InMedica“ už asmens duomenų saugumo pažeidimus, nustatytus atlikus du patikrinimus, kurie vėliau buvo sujungti į vieną. Sprendimas priimtas atsižvelgus į informaciją, paskelbtą viešoje erdvėje po Skirmanto Malinausko laidos 2024 m. rugsėjo mėn., bei į pačios „InMedica“ pranešimus apie duomenų saugumo incidentą.
Ką nustatė VDAI?
VDAI atliko stebėseną ir du patikrinimus: vieną dėl informacijos, susijusios su UAB „Kardiolita“, ir antrą – gavusi pranešimą apie ADSP (asmens duomenų saugumo pažeidimą) UAB „InMedica“. Patikrinimų metu nustatyta, kad ir „Kardiolitos“, ir „InMedica“ paveiktose sistemose nebuvo užtikrintas tinkamas asmens duomenų saugumo lygis. Konkretūs trūkumai – nepakankama prieigų kontrolė ir netinkamas autentifikavimas: jungiantis prie vidinių sistemų per išorinį tinklą nebuvo taikomas kelių veiksnių autentifikavimas, nebuvo ribojama prieiga tik įgaliotiems asmenims, prisijungimų slaptažodžiai neatitiko pakankamo kompleksiškumo reikalavimų.
Be to, „InMedica“ pranešta apie duomenų šifravimo (išpirkos reikalaujančią) ataką, kurios metu buvo užšifruoti keturi sistemos blokai, kuriuose tvarkyti pacientų ir darbuotojų asmens duomenys. Dėl to VDAI konstatavo pažeidimus pagal BDAR 24 straipsnio 1 dalį (atsakomybė už duomenų valdymą), BDAR 32 straipsnio 1 dalies b punktą (asmenų duomenų apdorojimo saugumo užtikrinimas) bei BDAR 5 straipsnio 1 dalies f punktą (duomenų integralumas ir konfidencialumas).
Ką reiškia šie pažeidimai praktikoje?
Tokia bauda atkreipia dėmesį į kelias itin svarbias sritis: privilegijuotų naudotojų prieigos valdymą, autentifikacijos priemonių taikymą ir sistemų apsaugą nuo išpirkos reikalaujančių atakų. Kelių veiksnių autentifikacija (MFA) sumažina riziką, kad prieigą prie jautrių duomenų gaus neteisėti asmenys net ir turėdami slaptažodžius. Prieigos apribojimai ir auditavimo mechanizmai leidžia greičiau nustatyti neteisėtus prisijungimus ir supaprastina incidentų tyrimą.
Taip pat svarbi nuolatinė atsarginių kopijų politika, šifravimo sprendimų diegimas ir reagavimo į incidentus planai, kurie leistų sumažinti duomenų praradimo ir paslaugų sutrikdymo poveikį pacientams ir darbuotojams.
Kokia tolesnė procedūra?
VDAI sprendimas Nr. 3R-1143 yra publikuotas ir gali būti skundžiamas per vieną mėnesį nuo jo įteikimo dienos. Be to, šis atvejis primena visoms sveikatos priežiūros įstaigoms pareigą nuolatos atnaujinti ir stiprinti savo kibernetinio saugumo priemones bei užtikrinti, kad pacientų duomenys būtų tvarkomi pagal BDAR reikalavimus.
Vertinant kontekstą, verta pažymėti, kad didžiausi privačios medicinos paslaugų teikėjai, priklausantys „InMedica grupei“, pakito prekės ženklo pavadinimus ir veikia po bendru ženklu „Meliva“ – tačiau tai neatleidžia nuo pareigos užtikrinti duomenų saugumą bei laikytis teisinės atsakomybės reikalavimų.
Visuomenė ir pacientai gali tikėtis, kad po tokio sprendimo įstaigos sustiprins savo apsaugos priemones, viešins incidentų valdymo patirtį ir gerins duomenų saugumo praktiką, siekdamos atkurti pasitikėjimą.
Martyna Baranauskaitė – autorė, rengianti skaitytojams aktualų ir įdomų turinį įvairiomis temomis. Jos straipsniuose daug dėmesio skiriama aiškumui, informatyvumui ir sklandžiam pateikimui, kad skaitytojai greitai rastų naudingą ir suprantamai pateiktą informaciją.