Ile warte są dane medyczne prawie 9 tys. pacjentów?

Szpital Hartford i EMC zostały ukarane grzywną 90 000$ po tym, jak skradziono laptop pracownika EMC Corporation* zawierającego informacje medyczne prawie 8 883 pacjentów z Connecticut.

Okoliczności incydentu z 2012 roku

Chociaż do kradzieży doszło w 2012 roku i została ona zgłoszona do władz natychmiast po włamaniu do domu pracownika EMC pracującego nad projektem dla szpitala w Hartford, pacjenci również zostali poinformowani o narażeniu na potencjalne ryzyko.

Zarówno EMC i szpital Hartford zgodzili się zapłacić grzywnę i doszli do wniosku, że żadna z informacji ze skradzionego laptopa (na którego odzyskanie nadal jest szansa) nie została wykorzystana niezgodnie z przeznaczeniem, mimo, że były przechowywane w postaci niezaszyfrowanej.

Braki w bezpieczeństwie: Potrzeba edukacji personelu i lepszego finansowania

Pomimo, że w ostatnim czasie świadomość zagrożenia ze strony cyberprzestępców (czy jak w powyższym wypadku zwykłego złodzieja) wzrosła, jednak nie wszystkie jednostki rządowe i prywatne nadążają za wdrażaniem najważniejszych zasad bezpieczeństwa. Jednostki rządowe, takie jak szpitale, nie do końca odpowiednio finansowane często zapominają, że nie tylko elektroniczne urządzenia wymagają odpowiednich zabezpieczeń. Warto również uczulić i szkolić personel, by pamiętał o podstawowych zasadach bezpieczeństwa: wylogowaniu się z używanych komputerów, nieudostępnianiu swoich haseł współpracownikom, czy przechowywaniu papierowej historii leczenia pacjenta w wyznaczonym do tego, bezpiecznym miejscu.

Dopiero na drugim miejscu powinno znaleźć się dobrej jakości oprogramowanie ochronne, które zabezpieczy każde podłączone do sieci urządzenie, jednocześnie blokując nieautoryzowane pamięci przenośne (dyski, dyskietki, pendrive) przed wyciekiem danych. Takim rozwiązaniem, holistycznie podchodzącym do całej sieci i każdego urządzenia z osobna jest np. Bitdefender GravityZone.

Po umowie z biurem prokuratora generalnego, szpital zobowiązał się do kontynuowania szkoleń z zakresu bezpieczeństwa i wprowadzania nowych środków bezpieczeństwa (co rozpoczął tuż po incydencie). Umowa stanowi, że inne środki, takie jak szyfrowanie sprzętu i oprogramowania oraz regularne szkolenia pracowników będą realizowane i zgłaszane do biura prokuratora, aby wykazać, że podjęto odpowiednie środki, by zapobiec podobnym wypadkom w przyszłości.

Stanowisko EMC po incydencie

EMC, który początkowo zostało zatrudnione do pracy nad projektem, który miał zmniejszyć zjawisko readmisji (nadprogramowych przyjęć, powrotów pacjentów do szpitala), chociaż się nie przyznał do winy, to w pełni współpracował z władzami by rozwiązać sprawę.

„Choć EMC wierzy, że nie naruszył żadnych przepisów prawa, rozwiązanie problemów w drodze porozumienia, to najlepszy wybór dla wszystkich zainteresowanych”, powiedziała Katryn McGaughey, rzecznik prasowy EMC. „EMC pozostaje w pełni zaangażowane w prywatność i bezpieczeństwo danych wszystkich klientów, którymi się zajmuje”.

Rzeczniczka szpitala Hartford, Rebecca Stewart, twierdzi również, że od 2012 roku zostały wprowadzone w życie różne środki i procedury bezpieczeństwa, nie tylko do poprawy HIPAA (Ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych), ale także uspokojenia pacjentów, że ich informacje na temat zdrowia są chronione i bezpiecznie obsługiwane.

*EMC Corporation – amerykańska korporacja produkująca komputerowe systemy zarządzania i przechowywania danych.