近日，法國監(jiān)管機(jī)構(gòu)國家信息與自由委員會(huì)(CNIL)對醫(yī)療軟件供應(yīng)商迪達(dá)勒斯生物公司(Dedalus Biology)處以150萬歐元的罰款，原因是該公司違反了通用數(shù)據(jù)保護(hù)條例(GDPR)中的三條規(guī)定。

在法國國內(nèi)，Dedalus生物公司為數(shù)千家醫(yī)學(xué)實(shí)驗(yàn)室提供服務(wù)。這次，公司因泄露患者的敏感信息而被罰款，而本次的信息泄露共涉及28家實(shí)驗(yàn)室的491,939名患者。

患者遭到泄露的信息包括以下內(nèi)容：

• 全名
• 社會(huì)保障號碼
• 開處方的醫(yī)生姓名
• 身體檢查日期
• 醫(yī)療信息，如艾滋病毒狀況、癌癥、遺傳疾病、是否懷孕、臨床治療等
• 遺傳信息(部分患者)

由于這些信息已經(jīng)在互聯(lián)網(wǎng)上被廣泛分享，Dedalus生物公司的客戶正面臨社會(huì)工程攻擊、網(wǎng)絡(luò)釣魚、詐騙甚至敲詐的風(fēng)險(xiǎn)。

其實(shí)，數(shù)據(jù)庫泄漏的跡象最早在2020年3月就已經(jīng)出現(xiàn)了苗頭，同年11月，法國國家網(wǎng)絡(luò)安全局(ANSSI)向其中一個(gè)實(shí)驗(yàn)室發(fā)出了相關(guān)警報(bào)。

2021年2月，法國雜志《ZATAZ》在暗網(wǎng)上發(fā)現(xiàn)了一筆特定數(shù)據(jù)集的銷售記錄，并核實(shí)了該信息的有效性。

制裁的細(xì)節(jié)

Dedalus生物公司違反了通用數(shù)據(jù)保護(hù)條例的第29條：未能遵守管理員指示。具體地說，就是應(yīng)兩個(gè)醫(yī)學(xué)實(shí)驗(yàn)室要求從不同供應(yīng)商的軟件遷移過程中，Dedalus生物公司提取了超出所需的信息。

第二項(xiàng)違規(guī)涉及通用數(shù)據(jù)保護(hù)條例的第32條，該條款規(guī)定，數(shù)據(jù)處理者應(yīng)對未能保護(hù)信息的情況負(fù)有責(zé)任。國家信息與自由委員會(huì)的調(diào)查發(fā)現(xiàn)了以下相關(guān)問題:

• 缺少數(shù)據(jù)遷移操作的具體程序;
• 儲存在有問題的服務(wù)器上的個(gè)人資料缺乏加密;
• 遷移到其他軟件后沒有自動(dòng)刪除數(shù)據(jù);
• 缺乏互聯(lián)網(wǎng)訪問服務(wù)器公共區(qū)域所需的身份驗(yàn)證 ;
• 使用多個(gè)員工在服務(wù)器專用區(qū)域共享的用戶帳戶;
• 服務(wù)器上沒有監(jiān)督程序和安全警報(bào)升級。

違反的第三條條款是第28條，它涵蓋了代表管理員(實(shí)驗(yàn)室)提供正式合同或法律行為進(jìn)行數(shù)據(jù)處理的義務(wù)。

對于上述違規(guī)行為，法國國家信息與自由委員會(huì)最終決定對公司處以150萬歐元(約合158萬美元)罰款的處罰，這相當(dāng)于該公司年收入的10%。

盡管公司方面希望出于其對委員會(huì)調(diào)查人員的配合態(tài)度而從輕處罰，但數(shù)據(jù)保護(hù)辦公室指出，公司后續(xù)并沒有采取措施限制泄漏的數(shù)據(jù)在網(wǎng)絡(luò)傳播，因此很難減輕處罰。

截至目前，Dedalus生物公司方面尚未對國家信息與自由委員會(huì)的處罰決定發(fā)表任何評論。

類似的案例

與此同時(shí)，法國國家信息與自由委員會(huì)目前正在調(diào)查另一起由保險(xiǎn)供應(yīng)商L'Assurance Maladie 報(bào)告的510,000名法國人的敏感醫(yī)療保險(xiǎn)信息遭泄露的案件。

根據(jù)該公司公開的細(xì)節(jié)顯示，19名醫(yī)生在使用其在線信息門戶網(wǎng)站時(shí)受到釣魚攻擊，從而致使黑客能夠訪問敏感的患者信息。

參考來源：https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/