Служба здравоохранения Великобритании допустила утечку данных пациентов
Главная » Новости

Служба здравоохранения Великобритании допустила утечку данных пациентов

Ксения Ренселаева 27 Августа 2010 - 00:46
...

Еще одна организация, входящая в государственную службу здравоохранения Великобритании (NHS Trust) отличилась, нарушив закон о защите персональных данных. Был утерян незащищенный CD, на котором содержались незашифрованные конфиденциальные данные пациентов. Диск с данными был найден на автобусной остановке, рядом с госпиталем.

Траст и комиссариат так и не смогли выяснить, как или зачем был сделан CD, хотя ясно, что в процедурах защиты данных у Траста есть несколько слабых мест, в том числе отсутствие своевременного напоминания клиентам о назначенных консультациях.

Наблюдатель по защите данных, комиссариат по информационной безопасности объяснил, что госпиталь Royal Wolverhampton, входящий в Траст потерял CD, на котором были записаны 100 файлов из реанимационного отделения кардиологии госпиталя сердечно - сосудистых заболеваний Cross Hospital’s Heart и отделения пульмонологии (Lung Unit).

Как считает Мик Горрил, руководитель органа, контролирующего комиссариат, то что данные устарели - не имеет значения. Персональные данные пациентов должны обрабатываться в соответствии с законом о защите данных.

Траст согласился подписать официальное соглашение с комиссариатом, о принятии соответствующих мер по улучшению уровня безопасности, чтобы предотвратить подобные инциденты в будущем. Главным образом, это будет обучение персонала защите данных, а что касается своевременного напоминания клиентам о консультациях, то документ будет подписываться и проверяться каждую неделю.

Производители в области безопасности резко высказались против Траста, считая, что последнему повезло в том, что с него не взыскали штраф, поскольку существует масса более надежных средств и устройств для хранения информации.

В июне,  после того, как обнаружилась пропажа в Basingstoke и Stoke-on-Trent trust,  комиссариат был вынужден признать, что отделы NHS делают все еще слишком много ошибок.

Однако, комиссариат решил не наказывать строгими штрафами организации государственного сектора, а принять меры по улучшению защиты данных, в частности, ввести образовательные меры.

Подобное отношение комиссариата резко отличается от мер, принимаемых в подобных случаях Управлением по финансовым услугам. Вчера, на страховую компанию Zurich Insurance, управлением был наложен огромный штраф в размере £2,3 миллиона за потерю огромного количества данных граждан Великобритании.

Следующая главная новость »
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Критическая уязвимость в TLP позволяет обойти защиту Linux
Екатерина Быстрова 08 Января 2026 - 18:51
Linux Уязвимости программ Домашние пользователиКорпорации
Критическая уязвимость в TLP позволяет обойти защиту Linux

В популярной утилите TLP, которую многие владельцы ноутбуков на Linux используют для управления энергопотреблением, обнаружили критическую уязвимость. Причём проблема нашлась во время обычной проверки пакета командой SUSE Security Team и располагается во вполне штатном коде.

Брешь получила идентификатор CVE-2025-67859 и затрагивает версию TLP 1.9.0, где появился новый profiles daemon.

Этот демон работает с root-правами и управляет профилями питания через D-Bus. Задумка хорошая, но реализация подвела: в механизме аутентификации Polkit нашлась логическая ошибка, которая фактически позволяет обойти проверку прав.

Как объясняют исследователи, демон должен был строго проверять, кто именно отправляет команды. Но из-за ошибки любой локальный пользователь мог взаимодействовать с ним без должной аутентификации — а значит, менять системные настройки питания от имени root.

На этом сюрпризы не закончились. В ходе анализа специалисты SUSE нашли ещё несколько проблем, уже связанных с исчерпанием ресурсов. В частности, механизм profile hold, который позволяет временно «зафиксировать» профиль питания, оказался совершенно без валидации. Локальный пользователь мог создавать неограниченное количество таких блокировок, причём без прав администратора.

В итоге это открывает прямую дорогу к DoS-атаке: демон начинает захлёбываться от бесконечных записей в структуре данных, куда попадают числа, строки с причиной и идентификаторы приложений — всё это полностью контролируется клиентом.

Любопытно, что SUSE вспомнила похожую историю с демоном управления питанием в GNOME: аналогичную проблему находили ещё несколько лет назад. Отдельно исследователи отметили вопросы к механизму «куки», которыми отслеживаются profile hold. Формально речь шла о предсказуемости значений, но в сочетании с отсутствием лимитов это лишь расширяло поверхность атаки.

К счастью, реакция была быстрой. SUSE сообщила об уязвимостях разработчикам ещё в декабре, и в версии TLP 1.9.1 проблема уже закрыта. В частности, число одновременных profile hold теперь жёстко ограничено числом 16, что убирает риск истощения ресурсов.

AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »
Штрафы за рекламу в Instagram* и Facebook* могут возрасти до 1 млн рублей
Новость
Штрафы за рекламу в Instagram* и Facebook* могут возрасти до...
ОРИ будут хранить данные три года вместо одного
Новость
ОРИ будут хранить данные три года вместо одного
В Беларуси пресечена шпионская прослушка разговоров пилотов авиации
Новость
В Беларуси пресечена шпионская прослушка разговоров пилотов...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.