Dane około 10 milionów pacjentów przez lata były narażone na kradzież. Dzięki zgłoszeniu sygnalisty udało się załatać luki w aplikacjach używanych przez apteki i lekarzy - poinformował w poniedziałkowym wydaniu "Dziennik Gazeta Prawna". Zastrzegł jednak, że nie ma gwarancji, że dane nie wyciekły.
"Z programów, których lekarze używają do obsługi wizyt, można było wydobyć dostęp do dokumentacji medycznej pacjentów i ich danych osobowych (w tym adresowych i kontaktowych), a także uzyskać dostęp do systemu e-WUŚ NFZ. Za jego pomocą przestępca mógłby wystawiać refundowane recepty, skierowania czy zwolnienia lekarskie" - podał "DGP".
– Z punktu widzenia pojedynczego pacjenta to problem większy niż wyciek danych ze szpitala. Lekarz POZ ma bowiem dostęp do całej historii leczenia – mówi Tomasz Zieliński, wiceprezes zarządu Polskiej Izby Informatyki Medycznej.
Dane pacjentów narażone
Gazeta napisała, że skala ujawnionych nieprawidłowości jest ogromna, dotyczy kilkunastu tysięcy przychodni, gabinetów lekarskich, stomatologicznych i aptek.
"Błąd popełnili przede wszystkim producenci oprogramowania gabinetowego. Dostęp do bazy danych pacjentów odbywał się w ich aplikacjach przy użyciu zakodowanego na stałe hasła, które było zaszyte w kodzie oprogramowania" – wskazał "DGP".
Problem z danym w e-zdrowiu
"W czasie, kiedy cała Polska żyła wyciekiem danych z laboratoriów ALAB (doszło do niego w listopadzie ub.r.), do Jakuba Staśkiewicza, etycznego hakera i autora bloga OpenSecurity.pl, przyszedł anonimowy list. Jego nadawca opisał podatności w systemach używanych przez lekarzy w gabinetach dostarczanych przez największe firmy produkujące takie oprogramowanie" - opisano w gazecie.
"Po tym, jak Staśkiewicz przeprowadził testy, 16 stycznia poinformował o podatnościach zespół reagowania na incydenty komputerowe CERT Polska. Eksperci potwierdzili, że luka faktycznie występowała. Chodziło o hasła administratora zaszyte na stałe w kodzie aplikacji. W dodatku zaszyfrowane przy pomocy mało bezpiecznego sposobu" - dodano w "DGP".
- W pierwszej kolejności skontaktowaliśmy się z producentami programów medycznych, których dotyczyło zgłoszenie. Następnie przeskanowaliśmy polską adresację, by ocenić skalę zjawiska. Skanowanie ujawniło dziesiątki adresów IP, których dotyczył problem - wyjaśnili dziennikowi eksperci NASK.
Dodali, że "na przełomie lutego i marca producenci zapewnili, że podatności zostały załatane", a "10 czerwca CERT Polska wydał komunikat z opisem sytuacji".
"Jak przyznają eksperci NASK, nie znaleziono nigdzie dowodów, by ktoś z podatności skorzystał i pobrał z aplikacji dane pacjentów. Żadnej z takich baz nie wystawiono np. na sprzedaż w darkwebie, nikt też nie zgłosił się do producentów oprogramowania czy placówek po okup" - czytamy w "DGP".
Gazeta napisała, że o komentarz do wykrytych przez Staśkiewicza podatności poprosiła Ministerstwo Zdrowia i Centrum e-Zdrowia, ale nie uzyskała odpowiedzi.
Źródło: PAP, "Dziennik Gazeta Prawna"
Źródło zdjęcia głównego: Grand Warszawski/Shutterstock