Защитена ли е информацията за здравния ни статус след хакерската атака срещу НАП
Две седмици откакто стана ясно, че от Национална агенция за приходите са изтекли персонални данни на над 5 млн. българи, Министерството на опазването на здравето подрежда да се вземат мерки за възстановяване на осведомителната сигурност.
Това излиза наяве от писмо от Столичната РЗИ към шефовете на лечебните заведения за извънболнична и болнична помощ.
В писмото са изредени всички ограничения, които здравните заведения би трябвало да вземат след приключването на данни от Национална агенция за приходите. Част от рекомендациите обаче повдигат въпроса до каква степен фактически са предпазени персоналните ни данни, които се съхраняват от здравните заведения, персоналните ни лекари или експертите, които сме посещавали, както и данните за болести, резултати от проучвания и др.
От РЗИ-то предлагат да се ревизира каква организация е основана за обезпечаване на отбраната на информацията; какви са прилаганите все още политики, процедури, вътрешни правила и инструкции; известни ли са притежателите на всеки информативен актив; има ли ясно написани функции и отговорности във връзка с сигурността; кой е виновният ръководител; кой е систематичният админ и кой реализира надзор над дейностите. Проверката би трябвало да откри и дали са подготвени чиновниците на всички равнища и знаят ли по какъв начин да реагират при нарушаване на сигурността.
В здравните заведения би трябвало да се направи и инвентаризация на всички материални активи, свързани с обработка на информацията, която включва и основаване на механически паспорт на всяко устройство; актуализация на систематичното програмно осигуряване; инсталиране на всички актуализации.
Мерките плануват и да се откри каква информация се обработва, къде се съхранява и на кого се предава, кой има достъп до стратегиите е данните.
Особено внимание се обръща на антивирусната отбрана, която включва:
- потребление на антивирусни програми;
- основаване на ред за актуализирането им;
- да не се отварят електронни писма от непознати адресати;
- да не се посещават страници, които не са свързани с директните задължения;
- да се обучат чиновниците по какъв начин да реагират при известие за вирусна офанзива.
Във връзка с достъпа до информация би трябвало да се актуализират описите за достъп и да се сменят всички пароли (има даже рекомендация паролите да бъдат с минимална дължина 8 символа).
Забранява се потреблението на лични запаметяващи устройства, посещаването на уеб сайтове, които не са свързани с директните отговорности, слушането на музика, гледането на филми и видеа, инсталирането на разкритикуван от управлението програмен продукт, както и нерегламентираната смяна в конфигурациите на компютрите.
Мерките плануват и основаването на правила за потребление и достъп до аварийни копия, несъмнено заличаване на информация, ремонт и замяна на оборудването.
Така сложени част от мерките обаче - да вземем за пример въпросите дали се употребяват антивирусни стратегии и дали чиновниците са обучени по какъв начин се съхранява информацията и по какъв начин да реагират при подозрение за вируси, слагат под съществено подозрение дали в действителност съхраняваните данни са предпазени, даже и на базово равнище.
Това не е незначителен въпрос, защото с изключение на персонални данни - три имена, ЕГН, адрес и така нататък, здравните заведения и лекарите съхраняват и информация за здравия ни статус - за сегашни и минали болести, осъществени медицински процедури, за одобрявани лекарства и други А тази информация с изключение на персонална, има значение и за това дали да вземем за пример човек няма да бъде заплашен от уволняване, в случай че се разбере, че страда от несъмнено заболяване. Такива случаи има с редица заболявания, които по принцип не съставляват заплаха за близките, само че са към момента стигматизирани от обществото като диабет, хепатит C, ХИВ и СПИН и други.
Това излиза наяве от писмо от Столичната РЗИ към шефовете на лечебните заведения за извънболнична и болнична помощ.
В писмото са изредени всички ограничения, които здравните заведения би трябвало да вземат след приключването на данни от Национална агенция за приходите. Част от рекомендациите обаче повдигат въпроса до каква степен фактически са предпазени персоналните ни данни, които се съхраняват от здравните заведения, персоналните ни лекари или експертите, които сме посещавали, както и данните за болести, резултати от проучвания и др.
От РЗИ-то предлагат да се ревизира каква организация е основана за обезпечаване на отбраната на информацията; какви са прилаганите все още политики, процедури, вътрешни правила и инструкции; известни ли са притежателите на всеки информативен актив; има ли ясно написани функции и отговорности във връзка с сигурността; кой е виновният ръководител; кой е систематичният админ и кой реализира надзор над дейностите. Проверката би трябвало да откри и дали са подготвени чиновниците на всички равнища и знаят ли по какъв начин да реагират при нарушаване на сигурността.
В здравните заведения би трябвало да се направи и инвентаризация на всички материални активи, свързани с обработка на информацията, която включва и основаване на механически паспорт на всяко устройство; актуализация на систематичното програмно осигуряване; инсталиране на всички актуализации.
Мерките плануват и да се откри каква информация се обработва, къде се съхранява и на кого се предава, кой има достъп до стратегиите е данните.
Особено внимание се обръща на антивирусната отбрана, която включва:
- потребление на антивирусни програми;
- основаване на ред за актуализирането им;
- да не се отварят електронни писма от непознати адресати;
- да не се посещават страници, които не са свързани с директните задължения;
- да се обучат чиновниците по какъв начин да реагират при известие за вирусна офанзива.
Във връзка с достъпа до информация би трябвало да се актуализират описите за достъп и да се сменят всички пароли (има даже рекомендация паролите да бъдат с минимална дължина 8 символа).
Забранява се потреблението на лични запаметяващи устройства, посещаването на уеб сайтове, които не са свързани с директните отговорности, слушането на музика, гледането на филми и видеа, инсталирането на разкритикуван от управлението програмен продукт, както и нерегламентираната смяна в конфигурациите на компютрите.
Мерките плануват и основаването на правила за потребление и достъп до аварийни копия, несъмнено заличаване на информация, ремонт и замяна на оборудването.
Така сложени част от мерките обаче - да вземем за пример въпросите дали се употребяват антивирусни стратегии и дали чиновниците са обучени по какъв начин се съхранява информацията и по какъв начин да реагират при подозрение за вируси, слагат под съществено подозрение дали в действителност съхраняваните данни са предпазени, даже и на базово равнище.
Това не е незначителен въпрос, защото с изключение на персонални данни - три имена, ЕГН, адрес и така нататък, здравните заведения и лекарите съхраняват и информация за здравия ни статус - за сегашни и минали болести, осъществени медицински процедури, за одобрявани лекарства и други А тази информация с изключение на персонална, има значение и за това дали да вземем за пример човек няма да бъде заплашен от уволняване, в случай че се разбере, че страда от несъмнено заболяване. Такива случаи има с редица заболявания, които по принцип не съставляват заплаха за близките, само че са към момента стигматизирани от обществото като диабет, хепатит C, ХИВ и СПИН и други.
Източник: offnews.bg
КОМЕНТАРИ