Cyberthreat.id – Vendor perangkat lunak medis Dedalus Biology didenda oleh otoritas perlindungan data Prancis (CNIL) sebanyak €1,5 juta (setara Rp 22,8 M) karena melanggar tiga pasal aturan perlindunga data Eropa atau GDPR.

Dilansir  Bleeping Computer, Kamis, 28 April 2022, CNIL memberikan denda tersebut kepada Dedalus Biology karena terjadinya insiden siber yang membuat tereksposenya rincian sensitif dari 491.939 pasien dari 28 laboratorium.

Tanda-tanda kebocoran database muncul sejak Maret 2020, dengan ANSSI mengeluarkan peringatan terkait ke salah satu laboratorium yang terpapar pada November 2020. Kemudian, pada Februari 2021, majalah Prancis ZATAZ menemukan penjualan kumpulan data tertentu di web gelap dan mengonfirmasi bahwa informasi itu valid.

Basis data yang bocor secara online tersebut, telah mengungkap sejumlah data pribadi seperti nama lengkap, nomor KTP, nama dokter yang meresepkan, dan tanggal pemeriksaan. Kemudian, ada juga informasi medis seperti status HIV, kanker, penyakit genetik, kehamilan, perawatan, dan Informasi genetic.

Informasi ini telah dibagikan secara luas di internet, sehingga klien Dedalus Biology menghadapi risiko rekayasa sosial, phishing, scammed, dan bahkan pemerasan.

Menurut CNIL, Dedalus Biology melanggar pasal 29 undang-undang GDPR, yaitu kegagalan untuk mematuhi instruksi pengontrol. Lebih khusus lagi, selama migrasi dari perangkat lunak vendor yang berbeda, atas permintaan dua laboratorium medis, Dedalus mengekstrak lebih banyak informasi daripada yang dibutuhkan.

Pelanggaran kedua menyangkut pasal 32 GDPR, yang membuat pemroses data bertanggung jawab atas kegagalan mengamankan informasi. Investigasi CNIL menemukan kegagalan terkait kurangnya prosedur khusus untuk operasi migrasi data, kurangnya enkripsi data pribadi yang disimpan di server yang bermasalah, dan tidak adanya penghapusan data secara otomatis setelah migrasi ke perangkat lunak lain

Serta ditemukan pula kurangnya otentikasi yang diperlukan dari Internet untuk mengakses area publik server, penggunaan akun pengguna yang dibagikan di antara beberapa karyawan di zona pribadi server, dan tidak adanya prosedur pengawasan dan eskalasi security alert di server.

Untuk pelanggaran di atas, CNIL memutuskan untuk mengenakan denda sebesar 1,5 juta Euro ($ 1,58 juta). Nilai ini dihitung sebagai 10% dari pendapatan tahunan perusahaan.

Meskipun Dedalus berharap untuk menerima hukuman yang lebih ringan berdasarkan kesediaannya untuk berkolaborasi dengan penyelidik CNIL, kantor perlindungan data mencatat bahwa perusahaan tidak mengambil langkah untuk membatasi penyebaran data yang bocor secara online, sehingga tidak ada dasar untuk mengenali faktor-faktor yang meringankan.[]

Editor: YAS