Cea mai mare scurgere de date din sistemul medical românesc: o instituție a statului divulgă, din greșeală, bolile a peste 130.000 de pacienți
Breșa de securitate nu a fost remediată nici după ce a fost semnalată de Recorder. Instituția declară în mod oficial că e vina reporterilor care au accesat date pe care nu ar fi trebuit să le acceseze.
Ieri, 20 iulie 2022, la ora 11.00, Recorder a publicat o postare pe contul de Facebook în care semnala faptul că funcționarii Casei de Asigurări de Sănătate Constanța au creat o breșă de securitate online care făcea vizibile CNP-urile și tratamentele a peste 130.000 de pacienți din județul Constanța.
Este vorba de 582 de fișiere Excel care cuprindeau totalitatea medicamentelor compensate eliberate între anii 2015-2021 de 87 de farmacii din județul Constanța: de la tratamente pentru hipertensiune sau diabet la HIV, cancer sau Hepatita C, toate având atașate CNP-urile pacienților. Am publicat materialul numai după ce reprezentanții CAS Constanța ne-au asigurat că au șters toate informațiile sensibile.
Aveam să constatăm, la câteva minute după publicare, că seturile de date au fost eliminate numai de pe pagina web a instituției. Însă, la o căutare mai avansată, datele erau încă disponibile pe server și puteau fi descărcate și accesate.
Primul pas a fost să ștergem temporar postarea inițială, astfel încât știrea despre breșa de securitate să nu se răspândească în mediul online și cu ajutorul Recorder și să vulnerabilizeze, astfel, pacienții. Am contactat din nou CAS Constanța pentru a semnala că datele sunt încă la îndemâna oricui are acces la internet. A urmat apoi o lungă așteptare, reprezentanții instituției invocând criza de personal și concediile de odihnă. Timp de patru ore, problema a fost plimbată birocratic și procedural pe la mai multe departamente (CAS Constanța are inclusiv un departament specializat pe protecția datelor cu caracter personal). Nu e o datorie a presei să facă asta, dar atunci când un angajat al Casei Naționale de Asigurări de Sănătate ne-a sunat să ne întrebe dacă știm cum s-ar putea șterge bazele de date de pe server, i-am explicat care sunt pașii.
Chiar și așa, a fost nevoie să treacă 24 de ore pentru ca sarcina să fie dusă la îndeplinire. În total, de la primul apel Recorder care semnala breșa de securitate și până când aceasta a fost pe deplin rezolvată au trecut mai mult de 48 de ore. Aceasta este viteza de reacție a statului în fața unei crize care expune identitățile și bolile de care suferă zeci de mii de cetățeni.
În tot acest timp, divizia de securitate informatică din cadrul Serviciului Român de Informații (Centrul Național Cyberint) nu a știut nimic despre această problemă. Nu a fost informată, nu s-a autosesizat, nu a acționat. Într-un răspuns oficial trimis Recorder, SRI menționează că “nu are nicio atribuție în acest caz”.
Repostăm acum textul inițial, cu speranța că această epopee a incompetenței și nepăsării este o lecție dură pentru toți oamenii din instituțiile statului. Datele personale ale cetățenilor nu sunt niște plictisitoare tabele Excel. Ele conțin informații de viață și de moarte. Iar în cazul de mai jos chiar despre asta este vorba.
POSTAREA INIȚIALĂ
Caz grav de incompetență digitală: o instituție a statului divulgă, din greșeală, bolile a zeci de mii de români.
În plină dezbatere despre nevoia digitalizării instituțiilor din România, avem parte de un exemplu elocvent despre cât de nepregătit este statul să preia pe serverele sale date sensibile, care odată expuse pun în pericol integritatea cetățenilor.
Funcționarii Casei de Asigurări de Sănătate Constanța au creat o breșă de securitate care a permis oricărui utilizator de internet să descarce de pe site-ul instituției baze de date cu CNP-urile și bolile de care suferă zeci de mii de persoane din județul Constanța.
Din câteva apăsări de taste, oricine putea face corelații între medicamente, diagnostice și persoane reale.
Această breșă de securitate a fost accesibilă timp de mai bine de două săptămâni pe site-ul CAS Constanța. Ea a fost remediată ieri, după ce Recorder a semnalat acest lucru printr-un mesaj trimis instituției.
Cu toate acestea, poziția oficială a CAS Constanța este că singurul incident îl reprezintă nu superficialitatea propriilor angajați ci faptul că reporterii Recorder au accesat date pe care n-ar fi trebuit să le acceseze.
CAZUL, PE LARG:
În dimineața zilei de 19 iulie 2022, un farmacist din județul Constanța ne semnalează printr-un mesaj pe Facebook că de pe site-ul Casei de Asigurări de Sănătate Constanța pot fi descărcate câteva sute de fișiere cu toate medicamentele compensate eliberate de farmaciile din județ între anii 2015 și 2021. Majoritatea fișierelor conțineau date precum CNP-ul persoanelor care solicitau medicamentele, statutul (angajat, pensionar, persoană cu handicap etc.), cantitatea prescrisă și categoria de boală (cronic, acut, subacut etc.).
Toate aceste fișiere de tip Excel, care însumau datele a zeci de mii de pacienți din județ, erau parolate în mod superficial cu o parolă scrisă chiar în denumirea fișierului. Un indiciu în plus era că parola reprezenta Codul Unic de Identificare al fiecărei farmacii. Practic, pe modelul cheii lăsate sub preșul de la intrare, instituția publică a expus cele mai sensibile date personale ale unui cetățean: cele care fac trimitere la starea sa de sănătate.
Odată trecut pragul parolei, există mai multe metode legale de a ajunge de la CNP la persoana deținătoare: prin intermediul unor portaluri publice este detectabil orice cetățean care și-a pierdut un act de identitate sau este acționar, asociat sau administrator într-o firmă. Fără a avea abilități de hacker, un reporter Recorder a avut nevoie de două minute pentru a identifica, cu nume, prenume și loc de muncă, un pacient care ia regulat tratament pentru HIV.
Practic, în câteva ore, o persoană cu intenții rele și ceva abilități în Excel putea produce o bază de date cu nume de pacienți, statut profesional, medicamentele pe care aceștia le cumpără, bolile pe care le tratează respectivele medicamente și alte detalii medicale. Sunt informații care, odată ajunse în spațiul public, se răspândesc în zonele cele mai obscure ale internetului și produc daune pe termen lung.
Din analiza realizată de Recorder, reiese că numai pentru o singură farmacie din cele 87 prezente pe site-ul Casei de Asigurări de Sănătate Constanța au fost expuse datele a 12.338 de persoane care au cumpărat medicamente compensate în perioada 2015-2021.
Următorul pas pe care l-am făcut a fost să anunțăm Casa de Asigurări de Sănătate Constanța cu privire la această problemă. Câteva ore mai târziu, bazele de date au dispărut de pe site, iar purtătorul de cuvânt al instituției a venit cu câteva explicații.
POZIȚIA CASEI DE ASIGURĂRI DE SĂNĂTATE CONSTANȚA. “Am șters datele imediat ce ne-ați semnalat această eventuală breșă de securitate. Într-adevăr, parola era vizibilă în numele documentelor, dar nu credem că informațiile au fost preluate de prea mulți oameni. Era vorba de date care îi interesează pe furnizorii din industria farmaceutică. Au fost puse aceste parole simple pentru a fi mai ușor de reținut de către reprezentanții farmaciilor. Practic, erau CUI-urile farmaciilor. Poziția noastră oficială este că incidentul constă în divulgarea parolei către dumneavoastră de către anumite persoane și faptul că ați accesat acele date”, ne-a declarat Aurelia Drăgoi, purtătorul de cuvânt al CAS Constanța.
NOTĂ: Reporterii Recorder au eliminat de pe toate dispozitivele electronice datele descărcate pentru realizarea acestui material. Informațiile despre istoricul medical al cetățenilor trebuie să fie numai în responsabilitatea statului, chiar și atunci când statul nu știe să le păzească.