Compania Dedalus a amendat 1,5 milioane de euro

Comisia Naţională pentru Calcul şi Libertăţi (CNIL), „jandarmul” francez al datelor cu caracter personal, a anunţat joi, 21 aprilie, că a condamnat compania Dedalus la o amendă grea de 1,5 milioane de euro în urma unei scurgeri masive de date de sănătate.

La mijlocul lunii februarie 2021, un utilizator de internet a pus la dispoziție gratuit, pe un forum de discuții, o bază de date care conține informații medicale sensibile referitoare la o jumătate de milion de francezi. În special, le-am putut găsi numele de familie, prenumele și adresa poștală, dar și numărul lor de telefon și adresa de e-mail, precum și grupa lor sanguină sau numărul lor de securitate socială. Informații medicale ultra-sensibile au fost, de asemenea, incluse în datele publicate, în special referitoare la „la HIV, cancere, boli genetice, sarcini, tratamente medicamentoase urmate de pacient sau chiar date genetice”precizează CNIL.

Citeste si Cinci întrebări despre scurgerea de date medicale a 500.000 de francezi pe web

Sursa scurgerii a fost identificată rapid ca provenind din software-ul comercializat laboratoarelor de către compania Dedalus Biology. La vremea respectivă, CNIL deschisese o anchetă și efectuase verificări asupra companiei. Rezultatele copleșitoare ale acestor verificări au determinat autoritatea administrativă să aplice o amendă mare, dar și să facă publică această sancțiune.

„Multe eșecuri”

CNIL consideră compania răspunzătoare pentru încălcările majore ale Regulamentului General pentru Protecția Datelor (GDPR), cadrul european pentru datele cu caracter personal. În special, critică compania pentru „multe deficiențe tehnice și organizatorice în materie de securitate”specific “lipsa de criptare” unele date, “lipsa autentificarii” pentru a accesa o parte a infrastructurii IT, sau „absența ștergerii automate a datelor după [leur] migrație ».

Pentru CNIL, „Această lipsă a măsurilor de securitate satisfăcătoare este una dintre cauzele breșei datelor care a compromis datele medico-administrative a aproape 500.000 de persoane”. De asemenea, CNIL acuză compania că a depășit solicitările clienților săi, în speță laboratoare medicale, atunci când „migrarea unui software către un alt instrument”extragerea „un volum mai mare de date decât este necesar”.

Solicitat după anunțarea amenzii aplicate de CNIL, Dedalus susține că are, „de îndată ce atacul cibernetic este dezvăluit în 2021”, „a implementat toate măsurile posibile” pentru „identificarea posibilelor vulnerabilități” și am lucrat la „remedierea neajunsurilor identificate de CNIL”. Compania susține că a efectuat „consolidarea anumitor infrastructuri IT”la „îmbunătățirea mai multor proceduri interne și externe”suliţă „o parte importantă a formării interne” si facut „angajări suplimentare” în departamentele responsabile cu securitatea cibernetică corporativă.

O anchetă judiciară deschisă

La câteva zile după dezvăluirea scurgerii de date, instanța – sesizată în instanță de CNIL – a dispus furnizorilor francezi de servicii de internet să blocheze accesul internauților la site-ul pe care au fost publicate datele.

În cazul în care amenda aplicată de CNIL vine să sancționeze deficiențe din punct de vedere al securității, nu au fost identificate persoana sau persoanele responsabile pentru hacking și postarea datelor. Aceste date ar fi putut fi oferite mai întâi spre vânzare, cu câteva luni înainte de descoperirea publică a scurgerii, pe forumuri online specializate. Vânzătorul inițial ar fi eliberat apoi aceste date în acces liber în urma unei dispute cu un cumpărător.

Parchetul din Paris a deschis o anchetă pentru hacking informatic și a încredințat-o unității de poliție specializată în lupta împotriva criminalității informatice.

Actualizare din 21 aprilie la 17:45: a adăugat reacția Dedalus.

Lumea

Add Comment