Dane pacjentów na e-tacy
Luki w oprogramowaniu gabinetowym umożliwiały dostęp do danych pacjentów i podszywanie się pod lekarzy w państwowym systemie do e-recept. Małe gabinety potrzebują wsparcia w cyberbezpieczeństwie – alarmują eksperci
Doniesienie anonimowego sygnalisty mogło uratować system ochrony zdrowia przed wyciekiem danych z kilkunastu tysięcy podmiotów medycznych, w tym przychodni POZ, gabinetów stomatologicznych czy aptek. – Z punktu widzenia pojedynczego pacjenta to problem większy niż wyciek danych ze szpitala. Lekarz POZ ma bowiem dostęp do całej historii leczenia – mówi Tomasz Zieliński, wiceprezes zarządu Polskiej Izby Informatyki Medycznej.
W czasie, kiedy cała Polska żyła wyciekiem danych z laboratoriów ALAB (doszło do niego w listopadzie ub.r.), do Jakuba Staśkiewicza, etycznego hakera i autora bloga OpenSecurity.pl, przyszedł anonimowy list. Jego nadawca opisał podatności w systemach używanych przez lekarzy w gabinetach dostarczanych przez największe firmy produkujące takie oprogramowanie. Jak przyznaje w rozmowie z DGP Staśkiewicz, opisane problemy były tak poważne, że wydały mu się aż nieprawdopodobne. Kiedy jednak przetestował podatności, potwierdził doniesienia sygnalisty. Okazało się, że oprogramowanie gabinetowe umożliwia ingerencję z zewnątrz, a wraz z nią dostęp do historii choroby pacjentów czy ich danych adresowych jest na wyciągnięcie ręki. Co więcej, dzięki powiązaniu z państwowym systemem eWUŚ przestępca mógł uzyskać możliwość wystawiania e-recept, zwolnień lekarskich czy skierowań na badania. Problem dotyczył aplikacji: Eurosoft Przychodnia, dr Eryk Gabinet, SimpleCare. Wcześniej mierzyło się z nim również Asseco w aplikacji mMedica (firma twierdzi, że lukę załatano, zanim Staśkiewicz ją ujawnił).
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.