Dane około 10 milionów pacjentów przez lata były narażone na kradzież. Dzięki zgłoszeniu sygnalisty udało się załatać luki w aplikacjach używanych przez apteki i lekarzy – poinformował „Dziennik Gazeta Prawna”. Nie ma jednak gwarancji, że dane nie wyciekły.
„Z programów, których lekarze używają do obsługi wizyt, można było wydobyć dostęp do dokumentacji medycznej pacjentów i ich danych osobowych (w tym adresowych i kontaktowych), a także uzyskać dostęp do systemu e-WUŚ NFZ. Za jego pomocą przestępca mógłby wystawiać refundowane recepty, skierowania czy zwolnienia lekarskie” – podał „Dziennik Gazeta Prawna”.
Wiceprezes zarządu Polskiej Izby Informatyki Medycznej Tomasz Zieliński stwierdził że, „z punktu widzenia pojedynczego pacjenta to problem większy niż wyciek danych ze szpitala, lekarz Podstawowej Opieki Zdrowotnej ma bowiem dostęp do całej historii leczenia”.
Skala ujawnionych nieprawidłowości jest ogromna, dotyczy kilkunastu tysięcy przychodni, gabinetów lekarskich, stomatologicznych i aptek. Zagrożenie wynika z niewystarczającego zabezpieczenia oprogramowania gabinetowego.
Po tym, jak doszło do wycieku danych medycznych z ALAB-u w listopadzie ub.r., sygnalista przesłał anonimowy lista do Jakuba Staśkiewicza, (etycznego hakera i autora bloga OpenSecurity.pl). Jego nadawca opisał podatności w systemach dostarczanych przez firmy produkujące takie oprogramowanie, a używanych przez lekarzy w gabinetach.
Staśkiewicz zainteresował się sprawą przeprowadził testy, w styczniu poinformował o wynikach zespół reagowania na incydenty komputerowe CERT Polska. Potwierdziło się, że sygnalista miał rację, luka w zabezpieczaniach istnieje.
Producenci zapewnili, że „podatności zostały załatane„, a w czerwcu CERT Polska wydał komunikat z opisem sytuacji. „Jak przyznają eksperci NASK, nie znaleziono nigdzie dowodów, by ktoś z podatności skorzystał i pobrał z aplikacji dane pacjentów. Żadnej z takich baz nie wystawiono np. na sprzedaż w darkwebie, nikt też nie zgłosił się do producentów oprogramowania czy placówek po okup” – czytamy w „DGP”.
Na opisanym przykładzie jasno widać jak przydatna jest instytucja Sygnalisty. Przez lata „dziurawe” oprogramowanie było użytkowane przez kilkanaście tysięcy przychodni, gabinetów lekarskich, stomatologicznych, apteki i nikt nie zareagował. Dopiero po ujawnieniu nieprawidłowości odpowiednie instytucje zajęły się zabezpieczeniem programu.
Dla firm, urzędów, placówek służby zdrowia oraz innych instytucji Grupa ELKA opracowała unikalną, bezpieczną i intuicyjną platformę do zgłaszania nieprawidłowości i ich obsługi sygnalista-online.eu
System umożliwia bezpieczne zgłaszanie nieprawidłowości oraz informowanie o działaniach następczych, zapewnia także pełną zgodność z warunkami Dyrektywy Parlamentu Europejskiego 2019/1937.
Serwis Sygnalista Online został zaprojektowany tak, żeby w sposób bezpieczny i intuicyjny pomóc firmom oraz organizacjom w spełnieniu wymogów zdefiniowanych w Dyrektywie UE. Bardzo ważnym elementem procesu przetwarzania zgłoszeń jest maksymalne zachowanie poufności danych Sygnalistów. Treści zgłoszeń oraz dane Sygnalisty są szyfrowane, a ich odczytanie wymaga znajomości hasła oraz klucza. Każdy wgląd w treść zgłoszenia oraz dane Sygnalisty odnotowywany jest w dzienniku zdarzeń zgłoszenia.
JAKĄ POMOC OFERUJE SYGNALISTA ONLINE?
Spójność rozwiązań
Generowanie procedury na określonych przez Użytkownika warunkach oraz wdrożenie jej w systemie zgłoszeń
Rozliczalność
Spersonalizowany, w pełni bezpieczny i intuicyjny system obsługi zgłoszeń i naruszeń
Zgodność
Spełnione wymagania Dyrektywy 2019/1937, Ustawy o ochronie sygnalistów oraz RODO
Konfigurowalność
Możliwość zarządzania ustawieniami oraz dostosowanie rozwiązań do własnych potrzeb
Poufność
Zgłaszanie nieprawidłowości oraz działania następcze z zachowaniem poufności danych
Przejrzystość
Dziennik zdarzeń zgłoszenia zawierający informacje o działaniach i odczycie danych
Zachęcamy do kontaktu kontakt@sygnalista-online.eu, z przyjemnością wyjaśnimy szczegóły funkcjonowania oraz zasady korzystania z serwisu sygnalista-online.eu