NCZI potvrdilo únik údajov, Krajčí nevylučuje vyvodenie personálnej zodpovednosti

Minister zdravotníctva Marek Krajčí (OĽANO) nevylučuje odchod generálneho riaditeľa Národného centra zdravotníckych informácií (NCZI) Petra Bielika v súvislosti s únikom osobných údajov o ľuďoch testovaných na ochorenie COVID-19, ktoré získali etickí hekeri. Pripustil to v piatok pre médiá.

„Priznám sa, že nevylučujem žiadnu možnosť. Počkám si na došetrenie celej situácie. Takéto veci sa naozaj nemôžu stávať, aj napriek tomu, že sme v krízovej situácii, veľa vecí sa robilo s tým najlepším úmyslom vo veľkej rýchlosti, ale toto je naozaj niečo, čo sa stávať nemôže,“ povedal.

Krajčí ozrejmil, že pre incident podalo NCZI podnet na Úrad na ochranu osobných údajov SR, ktorý situáciu prešetruje. Rovnako na Národný bezpečnostný úrad, ktorý robí audit. Súhlasí, že aj získanie dát etickými hekermi je závažný únik. „Ak autority povedia, že došlo k zanedbaniu povinnosti, tak to bude vážne,“ doplnil. Zároveň zdôraznil, že nešlo o dáta súvisiace s elektronickými zdravotníctvom, teda ereceptami či evyšetreniami, ktoré neboli ohrozené.

Problém s aplikáciou už odstránili

Zraniteľnosť aplikácie Moje ezdravie, ktorá umožnila etickým hekerom získať osobné údaje ľudí testovaných na ochorenie COVID-19, je už odstránená. V piatok to potvrdilo Národné centrum zdravotníckych informácií (NCZI). Jeho šéf Peter Bielik priznal, že ak by problém neodhalili, mohlo dôjsť ku škodám. Spoločnosť Nethemba, ktorá na problém poukázala, podľa jeho slov prisľúbila, že získané osobné údaje testovaných ľudí nezneužije.

NCZI prijala hlásenie o udalosti od vládnej jednotky CSIRT.SK 16. septembra. Podľa generálneho riaditeľa v priebehu troch hodín zabezpečili, aby nedošlo k ďalším únikom.

Bielik skonštatoval, že aplikáciu zdedil „aj s dobrým, aj zlým“. Počas marca bola vyvinutá interným tímom NCZI na základe požiadavky ústredného krízového štábu pre potreby regionálnych úradov verejného zdravotníctva. „Pokiaľ sa preukáže, že ja som svojím pričinením zapríčinil, že došlo k tomuto úniku osobných údajov, som pripravený niesť osobnú zodpovednosť,“ skonštatoval.

K zneužitiu uniknutých údajov by podľa neho nemalo prísť. „Máme prísľub od pána Luptáka (riaditeľ spoločnosti Nethemba, poznámka TASR), naši právnici sa s ním už spojili, že nepríde k zneužitiu osobných údajov a v žiadnom prípade poskytnutiu údajov pre iné strany,“ ubezpečil.

Informácie z aplikácie sa podľa Bielika týkali laboratórnych vyšetrení na COVID-19. „Musím pripomenúť, že ide o aplikáciu Moje ezdravie, ktorá vôbec nesúvisí s elektronickým zdravotníctvom eHealthom,“ dodal. Ubezpečil, že služby ako erecept či evyšetrenie sú dostatočne zabezpečené.

Slovenská bezpečnostná IT spoločnosť Nethemba vo štvrtok (17. 9.) upozornila na kritickú zraniteľnosť v aplikácii Moje ezdravie, na základe ktorej získala osobné informácie o viac ako 130.000 pacientoch, ktorí boli v SR testovaní na COVID-19. Okrem iného získala ich rodné čísla aj výsledky testov. Podľa firmy umožnila chyba získať informácie o všetkých viac ako 390.000 pacientoch v databáze. Problém spoločnosť nahlásila v nedeľu 13. septembra vládnej kyberbezpečnostnej jednotke CSIRT.sk. K oprave uvedenej zraniteľnosti došlo 16. septembra.

Úrad na ochranu osobných údajov SR prijal v piatok o 12.04 h oznámenie o danom bezpečnostnom incidente. Na základe zistených skutočností začal konanie o ochrane osobných údajov.