Nem tisztul a kép a betegadatok ellopása körül

Az OGYÉI informatikai rendszerét ért támadás során azokat a betegeket érhette a legsúlyosabb sérelem, akiknek a mellékhatás-jelentő rendszer érintettségével kerülhettek ki adatai.

Az ellopott adatokkal a tolvaj(ok) mások nevében regisztrálhatnak különböző honlapokra, álprofilt hozhatnak létre, mások nevében posztolhatnak, de az áldozatok akár levélszemétküldő listákra is felkerülhetnek. Sőt, a betegadatok kikerülhetnek az internetre - ezek a leggyakoribb károk, amelyet akár az Országos Gyógyszerészeti és Élelmezés-egészségügyi Intézet (OGYÉI) pénteken nyilvánosságra hozott adatlopása okozhat – tudta meg a Népszava egy etikus hackertől. Az ilyen szakember hivatásosan azzal foglalkozik, hogy honlapok sérülékenységét vizsgálja, amennyiben annak tulajdonosától megbízást kap.

Szombati lapszámunkban írtunk arról, hogy az OGYÉI honlapját adatvédelmi incidens érte. Erről maga a hivatal számolt be közleményében. Eszerint október elsején feltörték a szerverüket és arról személyes adatokat, jelszavakat, egészségügyi információkat tulajdoníthattak el. Közöltek egy listát is az érintett adatok fajtáiról, illetve mennyiségéről. Eszerint a támadásnak több ezer érintettje lehet a patika adatbázisban, ahonnan kikerülhetett gyógyszerészek neve, születési helye, ideje és a lakcíme. Kikerült a hírlevélre feliratkozók mintegy közel negyvenezernyi adata is (nevek, címek mobilszámok), továbbá szerepelnek a veszteséglistán a tisztifőgyógyszerészek email-jelszavai is. A hacker(ek) hozzáférhettek a mellékhatás-bejelentő rendszerhez is, ahol betegek kórtörténetei, kezelési adatai és közelebbről meg nem határozott „feltöltött dokumentumok” voltak elérhetők.

Az érintettek azon kívül, hogy a hivatal a saját honlapján közzétette az incidensről szóló közleményét semmilyen értesítést nem kaptak a hacker támadás óta eltelt három és fél hétben az OGYÉI-től. A lapunknak nyilatkozó etikus hacker szerint pedig a gyors értesítéssel mérsékelhették volna az érintetteknek okozott károkat. Sokan több portálon is ugyanazt a jelszót használják, így a támadó azóta akár szabadon hozzáférhet az érintettek emailfiókjához, vagy más egyéb, jelszóval védett webhelyeire. Egy gyors jelszó-változtatással ez elkerülhető lehetett volna.

- Az incidens miatt a legsúlyosabb sérelem a betegeket érhette, akiknek a mellékhatás-jelentő rendszer érintettségével kerülhettek ki az adatai az OGYÉI informatikai rendszeréből – mondta lapunknak Alexin Zoltán matematikus, adatvédelmi szakértő. Ha a világhálón megjelenik, hogy valaki milyen gyógyszereket szed, illetve milyen kezelést kapott, az őt nagyon kellemetlenül érintheti. Gyakran a beteg nem is tudja, hogy felkerült ebbe a rendszerbe, mert az orvos az ő beleegyezése, vagy tájékoztatása nélkül is továbbíthat ide adatot. Az OGYÉI honlapján lévő, a célra szolgáló adatlap a beteg nevének és egyéb személyes adatainak rögzítését kéri.

Alexin Zoltán szerint a szóban forgó betegek sérelem díjra is perelhetik a hivatalt. Ennek az a módja, hogy ügyvéddel fel kell szólíttatni az OGYÉI-t sérelmi díj megfizetésre, amennyiben bizonyítható, hogy az ő adatai is fenn voltak a hatóság honlapján. Amennyiben a hivatal nem fizet, úgy a Fővárosi Törvényszéken lehet perelni. Alexin Zoltán emlékeztettet arra, hogy nemrég már volt egy hasonló ügyben jogerős ítélet. Abban az esetben az elkövető a károsult tudta nélkül az ő nevében hozott létre egy hamis profilt, s azzal még egy pornóoldalon is regisztrált. A bíróság ezért egymillió forint sérelem díjat ítélt meg.