Pericol la Casa de Sănătate București: datele asiguraților ar putea dispărea într-o secundă
Un raport dureros întocmit de reprezentanții Casei de Asigurări de Sănătate a Municipiului București (CASMB) vorbește deschis despre pericolul care amenință datele personale ale asiguraților. Instituția și-a făcut bilanțul pe anul trecut, iar la capitolul măsuri urgente de întreprins în 2018 se numără securizarea sistemelor informatice, în prezent extrem de vulnerabile în cazul unor atacuri cibernetice, și rezolvarea problemelor de personal.
UPADTE - Conducerea CASMB a reacționat la articolul de față, solicitând să facem unele precizări, pe care le reproducem așa cum ne-au parvenit:
„Trebuie sa facem diferenta intre folosirea unor aplicatii informatice (programe informatice) uzate moral pentru care exista licenta originala (genuine) si folosirea unor aplicatii fara licenta (ilegal). In acest sens, precizam faptul ca institutia noastra detine licente genuine pentru Microsoft Windows XP SP3 și Microsoft Office 2003, aplicatii pentru care in prezent dezvoltatorul de soft nu mai ofera suport tehnic (actualizări). Cu aceasta ocazie, tinem sa subliniem faptul ca notiunea de licenta este total diferita de cea de suport tehnic.In raportul de activitate publicat pe site, mentiunea privind inexistenta platformei de backup și restaurare la nivelul instituției se refera la faptul ca nu exista un server dedicat operatiunilor de backup, acestea fiind efectuate, dar pe echipamentele de stocare din cadrul fiecarui departament.Datele privind asiguratii sunt stocate exclusiv pe serverele Platformei Informatice a Asigurarilor de Sanatate (PIAS), pentru care exista sisteme de securitate avansate implementate la nivel national de institutiile/companiile abilitate din domeniu, in cazul unui atac cibernetic asupra CASMB neexistand pericolul ca aceste date sa fie afectate / sustrase / distruse / pierdute.Raportul la care se face referire reflecta doar aspectele din activitatea noastra care trebuie imbunatatite/remediate pe parcursul anului 2018. La nivelul institutiei mai sunt foarte putine computere care utilizeaza sistemul Windows XP SP3, folosite pentru operatiuni curente, de tip office, si pe care nu sunt stocate date personale ale asiguratilor. Eventualele vulnerabilitati ale acestor computere nu pot fi utilizate pentru a patrunde in Sistemul Informatic Unic Integrat (SIUI). SIUI/PIAS se bazeaza pe sisteme de operare de tip Linux si nu pot fi afectate de atacurile orientate catre sistemele de operare Windows.Computerele care folosesc aplicatii fara suport tehnic de la dezvoltatorul de soft prezinta o vulnerabilitate numai in privinta datelor ce se afla in aceste computere (documente de uz intern). Pentru a ajunge la aceste computere, un eventual atacator ar trebui să pătrundă întâi în reţeaua CASMB, care este protejata de intruziuni informatice prin aplicatii de tip firewall si antivirus permanent upgradate, dovada fiind suucesul cu care institutia a facut fata atacului cibernetic WannaCry care a afectat, in anul 2017, numeroase retele de computere atat din Romania cat si din intreaga lume”, au precizat reprezentanții CASMB.
Textul inițial:
Reprezentanții Casei de Asigurări de Sănătate a Municipiului București (CASMB) atrag atenția că datele informatice ale asiguraților sunt în pericol în caz de atac de tip zero-day ale hackerilor. Un atac zero-day este un atac cybernetic care exploatează o vulnerabilitate necunoscută, dintr-o resursă hardware sau software. „Acest tip de vulnerabilitate e exploatată în campanii Advanced Persistent Threats (APT), în cadrul cărora entități susținute de diverse grupuri sau state scot, absolut nedetectate, informații prețioase din companii sau instituții de stat. Acest lucru se poate întâmpla cu lunile sau chiar cu anii, fără a fi descoperit”, ne-a spus Eugen Ionașcu, specialist IT.
Dezvăluirea se găsește în raportul de activitate al instituției aferent anului 2017. În documentul postat pe site-ul CASMB se arată că instituția folosește chiar și în 2018 computere cu sisteme de operare Microsoft Windows XP SP3 și aplicații Microsoft Office 2003 fără licență Microsoft. Aceasta a fost retrasă în aprilie 2014, ceea ce înseamnă că datele asiguraților au fost în ultimii patru ani în mare pericol. Dar, poate și mai rău decât atât e faptul că instituția nu deține o platformă de backup și restaurare a datelor care ar fi pierdute în urma unui atac cibernetic. „Nu s-a putut efectua upgrade pentru toate sistemelor de operare învechite și aplicațiile MS Office – nu au fost alocate fonduri. În anumite perioade aplicația SIUI funcționează cu timpi de procesare foarte mari fapt ce se răsfrânge asupra activității tuturor departamentelor din cadrul CASMB”, se mai arată în raportul de activitate.
Pentru a îndrepta lucrurile și pentru a elimina acest risc, instituția își propune ca în acest an să continue demersurile pentru obținerea unor noi licențe Microsoft pentru care compania nu mai acordă asistență de securitate. Totodată, instituția va cere CNAS să asigure suportul în vederea instruirii angajaților privind utilizarea aplicației SIUI sau revizuirea manualelor de utilizare.
Sediu nou, angajați insuficienți
În februarie 2017, activitatea CASMB a fost mutată complet într-un sediu nou, o clădire de sticlă și oțel din cartierul Băneasa. Celelalte două sedii – din Calea Floreasca și strada Gheorghe Țițeica – au fost închise, ca urmare a spațiului generos din noul sediu. Deși plătește zeci de mii de euro lunar, chirie, pentru a putea funcționa aici, instituția are mari probleme cu personalul, insuficient pentru a face față volumului crescut de muncă.
În raportul de activitate pe 2017, reprezentanții CASMB au enumerat toate neajunsurile care au rezultat din imposibilitatea acoperirii acestui gol:
Restanțe la efectuarea zilelor de concediu de odihnă și a recuperărilor orelor efectuate peste programul de lucru
Imposibilitatea demarării procedurii de ocupare a posturilor vacante de execuție din cauza neîncadrării cheltuielilor cu salariile în bugetul pentru anul 2017
Înregistrarea unor evenimente deosebite, urmare a cărora s-a procedat la emiterea documentelor administrative privind suspendarea raportului de serviciu pentru 7 funcționari publici, ca persoane aflate în arest preventiv pe perioada pronunțată de către Curtea de Apel București – Secția Penală II .
Documentul menționează faptul că lipsa fondurilor a dus la amânarea implementării strategiei privind pregătirea profesională, nu doar în 2017, ci și în anii anteriori. În acest moment, CASMB are 298 angajați, dar și 15 posturi de execuție vacante și 10 posturi de conducere vacante.
Problemele de personal, dar și cele rezultate din randamentul scăzut al aplicațiilor informatice, au dus la erodarea relațiilor cu asigurații. Timpii mari de așteptare la ghișee, rătăcirea cardurilor de sănătate în procesul de distribuție sau imposibilitatea activării cardurilor din cauza defecțiunilor din sistem au atras după sine nemulțumiri din partea bucureștenilor asigurați. Aceste probleme, arată raportul, „au condus la un grad de agresivitate al publicului deosebit de ridicat pe tot parcursul anului, astfel încât, în multe situații a fost necesară intervenția forțelor de ordine în vederea asigurării integrității fizice a salariaților. În vederea reducerii timpilor de așteptare la ghișee în intervalele orare în care s-au înregistrat afluxuri mari de public, întreg personalul Serviciului a fost relocat în activități de front office, fiind astfel diminuată capacitatea de preluare a apelurilor telefonice pe durata programului cu publicul”.
Probleme la distribuția cardurilor de sănătate
Deficiențe au fost raportate și la nivelul procesului de distribuție a cardurilor de sănătate, pe care instituția a trebuit să le gestioneze în ciuda faptului că nu răspunde de tot acest flux. „Nerespectarea termenelor de tipărire a cardurilor naţionale de asigurări de sănătate duplicat aduce atât atingere credibilității angajaților instituției (percepția publică este că aceste carduri nu sunt tipărite în termenul prevăzut de lege din cauza incompetenței și nepăsării salariaților) şi un consum nejustificat de mare de resurse umane, materiale şi de timp, cât și prejudicii de imagine instituției - la ghișeele acesteia fiind permanent cozi care sunt în monitorizarea presei și altor instituții (Ministerul Sănătății, Guvern etc.)”, se arată în raport.
Instituția mai reclamă faptul că nu a putut transfera Poștei Române o serie de carduri duplicat primite de la Imprimeria Națională, în vederea distribuirii către aparținători, din cauza neprimirii bazelor de date de la CNAS. Conform CASMB, din totalul de 1.665.025 de carduri naţionale de asigurări de sănătate tipărite pentru CASMB până la 31.12.2017, conform proceselor verbale de predare – primire CNAS - CASMB, 214.740 de carduri au fost returnate de Compania Naţională Poşta Română, din care CASMB a distribuit un număr de 163.844 carduri.
