CONSTANȚA: Reacția CJAS cu privire la scurgerea de date personale pe internet

Publicat de Daniel Țăndăreanu, 22 iulie 2022, 10:02

Casa Județeană de Asigurări Constanța a reacționat în urma anchetei jurnaliștilor de la Recorder.

Reprezentanții instituției au precizat că accesarea bazei de date a fost posibilă doar după ce unul dintre furnizorii cu care CJAS se află în relație contractuală ar fi divulgat parola.

Comunicatul integral al CJAS Constanța.

„Setul de informații publicate pe site-ul instituției noastre se adresau doar furnizorilor de medicamente cu care suntem în relație contractuală. Numele folderelor respective nu prezentau niciun interes pentru publicul larg. Iar cel mai important, informațiile erau arhivate zip și protejate cu parole, care au fost comunicate confidențial fiecărui furnizor în parte căruia i se adresau informațiile. Regulamentul GDPR nu ne interzice postarea informațiilor sensibile, dacă acestea sunt criptate, iar această obligație a fost respectată.

După publicarea articolului de către Recorder în data de 20.07.2022, au apărut informații că acestea pot fi încă accesate, chiar dacă nu mai existau pe site, ci fiind salvate în chache-urile google. Însă, reiterăm că pentru ca acestea să mai poată fi accesate, cel interesat trebuia să știe deja adresa exactă cache web (linkul) de pe serverul instituției, precum și parola. Așadar, numărul celor care o mai puteau face era probabil zero, cu excepția furnizorilor în cauză.

Astfel, considerând că incidentul de securitate a constat în divulgarea parolei de către un asemenea furnizor, am anunțat de îndată și Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Ștergerea informațiilor din chache web nu a depins numai de către instituția noastră, de aceea pentru înlăturarea oricărei eventuale scurgeri de informații s-au preocupat și cei de la CNAS, solicitări google etc.

În acest moment în cadrul instituției se analizează întreaga situație, iar când vom finaliza cercetările vom dispune măsurile care se impun. Existența parolei în numele folderului fiind neglijența pe care o cercetăm. În ceea ce privește incidentul de securitate, prin divulgarea parolei, așteptăm răspunsul Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

“Dacă știi parola, e normal să poți să afli datele conținute. Complexitatea parolei putea fi oricât de mare, atâta timp cât a fost divulgată, nu mai are relevanță complexitatea. Orice modalitate de transmitere am fi ales, atâta timp cât 2 entități cunoșteau parola, și una o dă și unei terțe, toată infrastructura e vulnerabilă. Chiar dacă adresa web este securizata de către STS, cunoașterea parolei dă legitimitate persoanei care accesează informațiile. Că celelalte farmacii puteau accesa informațiile destinate celorlalte farmacii, pentru că știau algoritmul, în speță că parola este reprezentată de cui, nu reprezintă o breșă de securitate, pentru că informațiile nu erau confidențiale pentru farmacii, ci pentru publicul larg. Așteptăm concluziile Autorității și se vor lua măsurile necesare.” a declarat Director general Luminița Nagy.“