近日，法國監管機構國家信息與自由委員會(CNIL)對醫療軟件供應商迪達勒斯生物公司(Dedalus Biology)處以150萬歐元的罰款，原因是該公司違反了通用數據保護條例(GDPR)中的三條規定。

在法國國內，Dedalus生物公司為數千家醫學實驗室提供服務。這次，公司因泄露患者的敏感信息而被罰款，而本次的信息泄露共涉及28家實驗室的491,939名患者。

患者遭到泄露的信息包括以下內容：

• 全名
• 社會保障號碼
• 開處方的醫生姓名
• 身體檢查日期
• 醫療信息，如艾滋病毒狀況、癌癥、遺傳疾病、是否懷孕、臨床治療等
• 遺傳信息(部分患者)

由于這些信息已經在互聯網上被廣泛分享，Dedalus生物公司的客戶正面臨社會工程攻擊、網絡釣魚、詐騙甚至敲詐的風險。

其實，數據庫泄漏的跡象最早在2020年3月就已經出現了苗頭，同年11月，法國國家網絡安全局(ANSSI)向其中一個實驗室發出了相關警報。

2021年2月，法國雜志《ZATAZ》在暗網上發現了一筆特定數據集的銷售記錄，并核實了該信息的有效性。

制裁的細節

Dedalus生物公司違反了通用數據保護條例的第29條：未能遵守管理員指示。具體地說，就是應兩個醫學實驗室要求從不同供應商的軟件遷移過程中，Dedalus生物公司提取了超出所需的信息。

第二項違規涉及通用數據保護條例的第32條，該條款規定，數據處理者應對未能保護信息的情況負有責任。國家信息與自由委員會的調查發現了以下相關問題:

• 缺少數據遷移操作的具體程序;
• 儲存在有問題的服務器上的個人資料缺乏加密;
• 遷移到其他軟件后沒有自動刪除數據;
• 缺乏互聯網訪問服務器公共區域所需的身份驗證 ;
• 使用多個員工在服務器專用區域共享的用戶帳戶;
• 服務器上沒有監督程序和安全警報升級。

違反的第三條條款是第28條，它涵蓋了代表管理員(實驗室)提供正式合同或法律行為進行數據處理的義務。

對于上述違規行為，法國國家信息與自由委員會最終決定對公司處以150萬歐元(約合158萬美元)罰款的處罰，這相當于該公司年收入的10%。

盡管公司方面希望出于其對委員會調查人員的配合態度而從輕處罰，但數據保護辦公室指出，公司后續并沒有采取措施限制泄漏的數據在網絡傳播，因此很難減輕處罰。

截至目前，Dedalus生物公司方面尚未對國家信息與自由委員會的處罰決定發表任何評論。

類似的案例

與此同時，法國國家信息與自由委員會目前正在調查另一起由保險供應商L'Assurance Maladie 報告的510,000名法國人的敏感醫療保險信息遭泄露的案件。

根據該公司公開的細節顯示，19名醫生在使用其在線信息門戶網站時受到釣魚攻擊，從而致使黑客能夠訪問敏感的患者信息。

參考來源：https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/