Choć aplikacje gabinetowe mają dostęp do danych wszystkich pacjentów, to resort nie ma narzędzi, by zadbać o ich bezpieczeństwo.

– Minister zdrowia ani Centrum e-Zdrowia nie mają żadnych uprawnień, aby wpłynąć na innych administratorów oraz podmioty prywatne dostarczające rozwiązania teleinformatyczne do podmiotów leczniczych – informują nas urzędnicy MZ. – Minister zdrowia może stosować działania o charakterze miękkim. To jest apelować lub wyrażać zaniepokojenie – dodają.

To odpowiedź na pytania, jakie zadaliśmy urzędnikom resortu w sprawie podatności systemów gabinetowych. Przypomnijmy: miesiąc temu opisaliśmy w DGP („O krok od katastrofy w e-zdrowiu”, DGP nr 116 z 17 czerwca 2024 r.), jak błędy w oprogramowaniu używanym przez lekarzy, aptekarzy i stomatologów przez wiele lat umożliwiały dostęp z zewnątrz do danych pacjentów i podszywanie się pod lekarzy w systemie do e-recept. Chodziło o to, że hasła dostępu były na stałe zaszyte w kodzie oprogramowania.

Lukę pozwoliło załatać doniesienie sygnalisty, który odezwał się do Jakuba Staśkiewicza, specjalisty w dziedzinie cyber bezpieczeństwa i autora bloga OpenSecurity.pl. Staśkiewicz ustalenia potwierdził i przekazał do CERT Polska, który doprowadził do usunięcia podatności. Jak przyznał w rozmowie z DGP etyczny haker, badając sprawę co prawda nie znalazł nigdzie danych z żadnego wycieku, ale to oczywiście nie znaczy, że nieuprawnionego dostępu nie było.

Przy okazji Staśkiewicz ujawnił też fatalny stan wiedzy personelu medycznego na temat bezpieczeństwa w sieci – pracownicy przychodni używali choćby banalnych haseł, jednakowych do wszystkich usług e-zdrowia. Dzięki wykorzystaniu podatności dało się je odczytać.

Podatność wykryto w trzech systemach, dostawców aplikacji jest jednak ok. 60. Odnosząc się do naszego tekstu na konferencji prasowej, minister zdrowia przyznała, że „nie zawsze nadążają za uszczelnianiem i za tym, by systemy były wystarczająco bezpieczne”. Dodała, że Centrum e-Zdrowia, czyli podległa MZ agenda odpowiadająca za rozwój e-usług w tym sektorze, „pozostaje w kontakcie z dostawcami”.

Chcieliśmy wiedzieć, czy skoro MZ projektuje system, w którym to prywatni dostawcy oprogramowania przetwarzają dane pacjentów, bierze również odpowiedzialność za ich bezpieczeństwo, np. w formie ich certyfikacji czy audytów. Jedynym systemem, za który odpowiada MZ, jest aplikacja Gabinet.gov.pl. „Tak jak cały system e-zdrowia P1, przechodzi regularne testy bezpieczeństwa. To tzw. testy penetracyjne, które są prowadzone przez podmioty niezależne” – wyjaśniają nam urzędnicy MZ w odpowiedziach na pytania, które przysłali do redakcji już po publikacji tekstu. Przygotowana na zlecenie resortu aplikacja wymaga np. logowania z użyciem uwierzytelnienia dwuskładnikowego, czyli – poza podaniem hasła – również dodatkowego potwierdzenia tożsamości. Jak przekonują eksperci, taki sposób logowania powinien być standardem. Wprowadzono go jednak dopiero po tym, jak Staśkiewicz odkrył podatności w aplikacjach gabinetowych.

W e-mailu przesłanym do redakcji resort przyznaje już wprost, że nie ma żadnego przełożenia na producentów aplikacji gabinetowych. Nie ma bowiem nawet minimalnego standardu dla aplikacji służących do obsługi procesu leczenia. W MZ nadzór nad cyberbezpieczeństwem urzędu oraz operatorami usług kluczowych zajmuje się departament innowacji. „Nadzór ten nie obejmuje dostawców oprogramowania gabinetowego” – czytamy.

„Ministerstwo Zdrowia i CeZ nie mają legitymacji prawnej do weryfikacji bezpieczeństwa takich aplikacji bądź oceny wdrożenia tych aplikacji” – piszą urzędnicy resortu. Za bezpieczeństwo tego oprogramowania odpowiada producent oraz podmiot leczniczy, który zobowiązany jest do zachowania określonego poziomu cyberbezpieczeństwa. Podobna odpowiedzialność spoczywa na wdrażającym oprogramowanie.

Kary mogą być surowe – jeśli do wycieku danych z aplikacji by doszło, sprawa może się skończyć dla dostawcy oprogramowania poważnymi konsekwencjami – unijne rozporządzenie o ochronie danych (RODO) przewiduje kary 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu podmiotu, który dopuścił się naruszenia. W dodatku sami poszkodowani mogą się starać o odszkodowania.

Urzędnicy MZ bronią się jednak, że resort wspiera edukację i promuje dobre praktyki. „Ministerstwo oraz CeZ wspierają, edukują i szkolą w kontekście dobrych praktyk związanych z bezpieczeństwem cyfrowym. CeZ alarmuje także o podatnościach i informuje podmioty medyczne o incydentach oraz cyklicznie przypomina o zasadach dobrych praktyk dotyczących bezpieczeństwa. Organizuje spotkania i szkolenia dla użytkowników integrujących się z systemami Centrum” – piszą urzędnicy. Jak dodają, z końcem 2023 r. w CeZ powołano sektorowy zespół cyberbezpieczeństwa w celu wspierania podmiotów w obsłudze incydentów oraz podnoszenia ich odporności w sieci. ©℗