Безопасность служб визуализации My Health Record не соответствует стандартам паролей ADHA

Безопасность служб визуализации My Health Record не соответствует стандартам паролей ADHA

Источник · Перевод автора

Согласно оценкам Управления комиссара по информации Австралии (OAIC), меры физической и информационной безопасности системы My Health Record, используемые для доступа к системе My Health Record для патологии и диагностической визуализации, не соответствовали рекомендованному ADHA стандарту для паролей.

«Что касается мер физической и информационной безопасности, в то время как большинство целей оценки сообщали о хороших мерах физической безопасности, большинство из них не соответствовало рекомендованному ADHA стандарту для паролей, используемых для доступа к системе My Health Record», – говорится в сообщении OAIC.

Подробно в ежегодном цифровом отчете о состоянии здоровья OAIC [PDF], агентство, тем не менее, отметило, что большинство целей оценки My Health Record сообщили о наличии процедуры для выявления и реагирования на риски, связанные с безопасностью и конфиденциальностью My Health Record, даже если там были области, требующие улучшения в отношении регистрации вопросов, связанных с нарушениями безопасности.

В течение 2020-21 финансового года в OAIC было направлено три уведомления об утечке данных в отношении моей медицинской карты. Два из трех уже доработаны.

В годовом отчете агентства, который также был опубликован на этой неделе, говорится, что в течение 2020-21 финансового года в Австралии было зарегистрировано 975 утечек данных. Это на 7% меньше по сравнению с предыдущим финансовым годом, при этом OAIC заявило, что 80% утечек данных, о которых сообщалось в рамках его схемы уведомляемых утечек данных (NDB), были завершены в течение 60 дней.

Согласно годовому отчету [PDF], среднее время, необходимое для завершения уведомления об утечке данных, составило 62 дня по сравнению с 76 днями в 2019–2020 годах. Два месяца назад агентство показало, что злонамеренные или криминальные атаки были крупнейшим источником утечки данных, о котором было уведомлено OAIC, что составило 289 нарушений, за которыми следовала человеческая ошибка, на которую приходилось 134 уведомления.

«По мере развития [NDB] мы видим четкие тенденции: злонамеренные или преступные атаки являются основным источником утечек данных, за которыми следуют человеческие ошибки», – повторил OAIC в годовом отчете.

В течение финансового года OAIC также получил 2474 жалобы о нарушении конфиденциальности, что на 7% меньше, чем в 2019-20 финансовом году. 2151 из этих жалоб на нарушение конфиденциальности были рассмотрены в среднем за 4,4 месяца.

Финансовый сектор подал больше всего жалоб на нарушение конфиденциальности в прошлом году – 327. За ним следует правительство Австралии – 310, поставщики медицинских услуг – 301, в то время как розничные и онлайн-услуги замыкают пятерку ведущих секторов, подав 177 и 152 жалобы на нарушение конфиденциальности. соответственно.

По данным OAIC, большинство жалоб на конфиденциальность, полученных OAIC, касалось обработки личной информации в соответствии с Австралийскими принципами конфиденциальности (APP). Наиболее часто возникающие вопросы касались использования или раскрытия личной информации (29%), безопасности личной информации (28%), а 18% жалоб касались доступа к личной информации.

Агентство также обработало 11 647 запросов о конфиденциальности и 1824 запроса о свободе информации (FOI) в 2020-2021 годах. Хотя это было на 20% меньше по обоим типам запросов по сравнению с предыдущим годом, агентство получило почти на 40% больше жалоб о свободе информации, при этом организации подали 151 жалобу о свободе информации.

OAIC добавило, что завершило рассмотрение 174 жалоб, связанных с свободой информации, при этом некоторые из этих цифр относятся к жалобам, поданным за 2019-20 финансовый год.

Он также получил 1224 заявки на рассмотрение Комиссаром по информации (IC) решений о свободе информации. В нем говорится, что почти три четверти проверок независимой комиссии были завершены в течение 12 месяцев, что примерно соответствует темпам прошлого года. Министерство внутренних дел подверглось наибольшему количеству проверок независимым комитетом, участвовавшим в 436. Это больше, чем в сумме 253 из следующих четырех агентств, а именно Службы Австралии, Федеральной полиции Австралии, Министерства здравоохранения и Министерства иностранных дел. и торговля.

В 2020–2021 годах OAIC также вынесло 17 постановлений по жалобам о нарушениях APP. По его словам, это было наибольшее количество определений, сделанных OAIC за год. Среди них было обнаружение на прошлой неделе, что 7-Eleven собирали биометрические данные клиентов без согласия, а Министерство внутренних дел «по ошибке» раскрыло личную информацию 9 251 соискателя убежища.

По состоянию на 30 июня 2021 года штат OAIC насчитывает чуть более 120 штатных сотрудников. Помимо своего персонала, OAIC потратил более 970 000 австралийских долларов на контракты с консультантами и около 455 000 австралийских долларов на контракты, не связанные с консультациями. Из этих контрактов PricewaterhouseCoopers было выплачено более 660 000 австралийских долларов, а Cypha Interactive – 200 000 австралийских долларов.