"Z programów, których lekarze używają do obsługi wizyt, można było wydobyć dostęp do dokumentacji medycznej pacjentów i ich danych osobowych (w tym adresowych i kontaktowych), a także uzyskać dostęp do systemu e-WUŚ NFZ. Za jego pomocą przestępca mógłby wystawiać refundowane recepty, skierowania czy zwolnienia lekarskie" - podał "DGP".
– Z punktu widzenia pojedynczego pacjenta to problem większy niż wyciek danych ze szpitala. Lekarz POZ ma bowiem dostęp do całej historii leczenia – mówi Tomasz Zieliński, wiceprezes zarządu Polskiej Izby Informatyki Medycznej.
Dane pacjentów narażone
Gazeta napisała, że skala ujawnionych nieprawidłowości jest ogromna, dotyczy kilkunastu tysięcy przychodni, gabinetów lekarskich, stomatologicznych i aptek.
"Błąd popełnili przede wszystkim producenci oprogramowania gabinetowego. Dostęp do bazy danych pacjentów odbywał się w ich aplikacjach przy użyciu zakodowanego na stałe hasła, które było zaszyte w kodzie oprogramowania" – wskazał "DGP".
Problem z danym w e-zdrowiu
"W czasie, kiedy cała Polska żyła wyciekiem danych z laboratoriów ALAB (doszło do niego w listopadzie ub.r.), do Jakuba Staśkiewicza, etycznego hakera i autora bloga OpenSecurity.pl, przyszedł anonimowy list. Jego nadawca opisał podatności w systemach używanych przez lekarzy w gabinetach dostarczanych przez największe firmy produkujące takie oprogramowanie" - opisano w gazecie.
"Po tym, jak Staśkiewicz przeprowadził testy, 16 stycznia poinformował o podatnościach zespół reagowania na incydenty komputerowe CERT Polska. Eksperci potwierdzili, że luka faktycznie występowała. Chodziło o hasła administratora zaszyte na stałe w kodzie aplikacji. W dodatku zaszyfrowane przy pomocy mało bezpiecznego sposobu" - dodano w "DGP".
- W pierwszej kolejności skontaktowaliśmy się z producentami programów medycznych, których dotyczyło zgłoszenie. Następnie przeskanowaliśmy polską adresację, by ocenić skalę zjawiska. Skanowanie ujawniło dziesiątki adresów IP, których dotyczył problem - wyjaśnili dziennikowi eksperci NASK.
Dodali, że "na przełomie lutego i marca producenci zapewnili, że podatności zostały załatane", a "10 czerwca CERT Polska wydał komunikat z opisem sytuacji".
"Jak przyznają eksperci NASK, nie znaleziono nigdzie dowodów, by ktoś z podatności skorzystał i pobrał z aplikacji dane pacjentów. Żadnej z takich baz nie wystawiono np. na sprzedaż w darkwebie, nikt też nie zgłosił się do producentów oprogramowania czy placówek po okup" - czytamy w "DGP".
Gazeta napisała, że o komentarz do wykrytych przez Staśkiewicza podatności poprosiła Ministerstwo Zdrowia i Centrum e-Zdrowia, ale nie uzyskała odpowiedzi.
Autorka/Autor: kris/dap
Źródło: PAP, "Dziennik Gazeta Prawna"
Źródło zdjęcia głównego: Grand Warszawski/Shutterstock