Luki w oprogramowaniu gabinetowym umożliwiały dostęp do danych pacjentów i podszywanie się pod lekarzy w państwowym systemie do e-recept. Małe gabinety potrzebują wsparcia w cyberbezpieczeństwie – alarmują eksperci.

Doniesienie anonimowego sygnalisty mogło uratować system ochrony zdrowia przed wyciekiem danych z kilkunastu tysięcy podmiotów medycznych, w tym przychodni POZ, gabinetów stomatologicznych czy aptek. – Z punktu widzenia pojedynczego pacjenta to problem większy niż wyciek danych ze szpitala. Lekarz POZ ma bowiem dostęp do całej historii leczenia – mówi Tomasz Zieliński, wiceprezes zarządu Polskiej Izby Informatyki Medycznej.

W czasie, kiedy cała Polska żyła wyciekiem danych z laboratoriów ALAB (doszło do niego w listopadzie ub.r.), do Jakuba Staśkiewicza, etycznego hakera i autora bloga OpenSecurity.pl, przyszedł anonimowy list. Jego nadawca opisał podatności w systemach używanych przez lekarzy w gabinetach dostarczanych przez największe firmy produkujące takie oprogramowanie. Jak przyznaje w rozmowie z DGP Staśkiewicz, opisane problemy były tak poważne, że wydały mu się aż nieprawdopodobne. Kiedy jednak przetestował podatności, potwierdził doniesienia sygnalisty. Okazało się, że oprogramowanie gabinetowe umożliwia ingerencję z zewnątrz, a wraz z nią dostęp do historii choroby pacjentów czy ich danych adresowych jest na wyciągnięcie ręki. Co więcej, dzięki powiązaniu z państwowym systemem eWUŚ przestępca mógł uzyskać możliwość wystawiania e-recept, zwolnień lekarskich czy skierowań na badania. Problem dotyczył aplikacji: Eurosoft Przychodnia, dr Eryk Gabinet, SimpleCare. Wcześniej mierzyło się z nim również Asseco w aplikacji mMedica (firma twierdzi, że lukę załatano, zanim Staśkiewicz ją ujawnił).

Po tym, jak Staśkiewicz przeprowadził testy, 16 stycznia poinformował o podatnościach zespół reagowania na incydenty komputerowe CERT Polska. Eksperci potwierdzili, że luka faktycznie występowała. Chodziło o hasła administratora zaszyte na stałe w kodzie aplikacji. W dodatku zaszyfrowane przy pomocy mało bezpiecznego sposobu.

– W pierwszej kolejności skontaktowaliśmy się z producentami programów medycznych, których dotyczyło zgłoszenie. Następnie przeskanowaliśmy polską adresację, by ocenić skalę zjawiska. Skanowanie ujawniło dziesiątki adresów IP, których dotyczył problem – wyjaśniają nam eksperci NASK. Jak dodają, na przełomie lutego i marca producenci zapewnili, że podatności zostały załatane. 10 czerwca CERT Polska wydał komunikat z opisem sytuacji.

Jak przyznają eksperci NASK, nie znaleziono nigdzie dowodów, by ktoś z podatności skorzystał i pobrał z aplikacji dane pacjentów. Żadnej z takich baz nie wystawiono np. na sprzedaż w darkwebie, nikt też nie zgłosił się do producentów oprogramowania czy placówek po okup. – Takie dane mogą być jednak przedmiotem zainteresowania grup powiązanych ze służbami obcych państw. Nie można wykluczyć, że dostali się do baz danych, ale trzymają je dla swoich celów – zastrzega Staśkiewicz. Jak przyznaje, badając sprawę, natknął się na forach internetowych na pytania dotyczące aplikacji gabinetowych od osób, które twierdziły, że znają do nich hasła.

Staśkiewicz ujawnił również problem z aplikacjami gabinetowymi firmy Kamsoft. Tam jednak hasło nie znajdowało się w kodzie aplikacji, ale w czasie instalacji program sugerował użycie konkretnego ciągu znaków. Administratorzy w przychodniach często nie zadawali sobie trudu, by zmieniać takie hasło, więc znając podpowiedź z instalatora, przestępca mógłby zalogować się nim w wielu placówkach. – Zdarzają się sytuacje, w których klienci czy ich personel nie przykładają wystarczającej atencji do kwestii bezpieczeństwa i przedkładają wygodę pracy nad zabezpieczenia – przyznaje Grzegorz Mródź, prezes zarządu firmy. – Należy pamiętać, że systemy są zainstalowane w siedzibach użytkowników i to oni decydują o włączeniu zabezpieczeń oraz ich konfiguracji – dodaje.

Tymczasem w prywatnych praktykach czy niewielkich przychodniach specjalistów, którzy mogliby to robić, po prostu brakuje. – Pieniądze wydane na cyberbezpieczeństwo są często traktowane przez zarządzających placówkami jak wyrzucone w błoto, bo efektów tych inwestycji nie widać na pierwszy rzut oka, nie przynoszą łatwego do zmierzenia przychodu – mówi prof. Bogdan Księżopolski z Katedry Cyberbezpieczeństwa Akademii Leona Koźmińskiego. – W cyberbezpieczeństwo więcej pieniędzy powinno inwestować państwo, ale koniecznie z weryfikacją, co się dzieje z dotacjami. Koniecznie muszą one wzmacniać świadomość zagrożeń wśród personelu placówek – dodaje.

– Pieniądze już są, ale rozdając je, zwracamy uwagę głównie na szpitale – zwraca uwagę Tomasz Zieliński. Faktycznie, w ubiegłym roku duże lecznice mogły dostać na wzmocnienie cyberbezpieczeństwa nawet 900 tys. zł z Narodowego Funduszu Zdrowia. Także w 2024 r. NFZ miał ogłosić program wsparcia. Szczegółów jeszcze nie ma, ale jak donosił portal Rynekzdrowia.pl, priorytetem znów miały być szpitale, a także laboratoria medyczne. 29 maja Naczelna Izba Lekarska powołała Koalicję na rzecz cyberbezpieczeństwa w ochronie zdrowia. Do jej głównych celów należy jednak ochrona szpitali. – Owszem, szpitale są duże i trzeba je chronić, ale to do POZ są zapisani wszyscy Polacy. A małe podmioty są łatwe do zaatakowania – przekonuje Zieliński. Jako przykład pozytywnego działania podaje szkolenia z zakresu cyberbezpieczeństwa, jakie dla personelu placówek organizował NASK w poprzedniej kadencji rządu. Przeszkolono w ten sposób ok. 1000 osób.

O komentarz do wykrytych przez Staśkiewicza podatności poprosiliśmy Ministerstwo Zdrowia i Centrum e-Zdrowia. Nie uzyskaliśmy jednak odpowiedzi. ©℗