Okazuje się, iż luki bezpieczeństwa w oprogramowaniu gabinetowym, używanym przez pracowników służby zdrowia, umożliwiały dostęp do danych pacjentów i podszywanie się pod lekarzy w państwowym systemie do wystawiania e-recept. Niestety w tym względzie szczególnie małe gabinety potrzebują bardzo poważnego wsparcia technologicznego w zakresie zapewnienia odpowiedniego poziomu cyberbezpieczeństwa.
O czym jest mowa w kontekście zagrożeń dotyczących danych pacjentów w systemie medycznym?
Generalnie okazuje się, iż doniesienie anonimowego sygnalisty mogło uratować system ochrony zdrowia przed wyciekiem danych z kilkunastu tysięcy podmiotów medycznych, a w tym przychodni podstawowej opieki zdrowotnej, gabinetów stomatologicznych czy też aptek. Jak podkreśla Tomasz Zieliński, wiceprezes zarządu Polskiej Izby Informatyki Medycznej, z punktu widzenia pojedynczego pacjenta jest to problem znacznie większy, aniżeli wyciek danych ze szpitala. Tutaj bowiem jest istotne, iż lekarz podstawowej opieki zdrowotnej ma dostęp do całej historii leczenia danego pacjenta.
Ciekawostką jest to, iż w czasie, gdy w Polsce zajmowaliśmy się wyciekiem danych z laboratoriów ALAB, do którego doszło w listopadzie roku ubiegłego, do Jakuba Staśkiewicza, etycznego hakera i autora bloga OpenSecurity.pl przyszedł anonimowy list, gdzie jego nadawca opisał podatność na włamania w systemach informatycznych używanych przez lekarzy w gabinetach, dostarczanych przez największe przedsiębiorstwa, produkujące takie oprogramowanie. Opisane problemy były tak poważne, że wydały się aż nieprawdopodobne. Gdy jednak Jakub Staśkiewicz dokonał przetestowania podatności owych systemów, potwierdził doniesienia sygnalisty. Okazało się, że oprogramowanie gabinetowe umożliwia ingerencję z zewnątrz, a wraz z nią dostęp do historii choroby pacjentów czy też innych danych, jak chociażby danych adresowych. To wszystko było wręcz na wyciągnięcie ręki. Poza tym, dzięki powiązaniu z państwowym systemem eWUŚ, przestępca mógł zyskać możliwość wystawiania recept, zwolnień lekarskich czy też skierowań na badania. Problem ten dotyczył następujących aplikacji:
- Eurosoft Przychodnia
- dr Eryk Gabinet
- SimpleCare
W okresie wcześniejszym z problemem tym mierzyło się również Asseco w aplikacji mMedica.
Po dokonaniu odpowiednich testów 16 stycznia bieżącego roku Jakub Staśkiewicz poinformował o podatności systemów na włamania zespół reagowania na incydenty komputerowe CERT Polska. Eksperci potwierdzili wówczas, że luka faktycznie występowała. Chodziło tutaj o hasła administratora, zaszyte na stałe w kodzie aplikacji, a w dodatku zaszyfrowane przy pomocy mało bezpiecznego sposobu.
Jak podkreślają eksperci NASK, w pierwszej kolejności skontaktowano się z producentami programów medycznych, których dotyczyło zgłoszenie, a następnie przeskanowano polską adresację, by ocenić skalę zjawiska. Skanowanie to ujawniło dziesiątki adresów IP, których dotyczył problem. Na przełomie lutego i marca producenci zapewnili, że podatności zostały załatane, a 10 czerwca bieżącego roku CERT Polska wydał komunikat z opisem sytuacji.
O czym jeszcze warto wiedzieć w kontekście opisanego incydentu dotyczącego bezpieczeństwa danych medycznych?
Generalnie eksperci NASK przyznają, iż nie znaleziono nigdzie dowodów, by ktoś z podatności skorzystał i pobrał z aplikacji dane pacjentów. Żadnej z takich baz nie wystawiono również na sprzedaż w darkwebie i nikt też nie zgłosił się do producentów oprogramowania czy też placówek z żądaniem okupu. Niestety dane takie mogą być jednak przedmiotem zainteresowania grup powiązanych ze służbami obcych państw i nie można wykluczyć, że dostali się oni do baz danych, lecz trzymają je dla swoich celów. W tym kontekście Jakub Staśkiewicz podkreśla, iż badając sprawę natknął się na forach internetowych na pytania dotyczące aplikacji gabinetowych od osób, które twierdziły, że znają do nich hasła.
Jednocześnie warto podkreślić, iż Jakub Staśkiewicz ujawnił również problem z aplikacjami gabinetowymi przedsiębiorstwa Kamsoft, jednak tam hasło nie znajdowało się w kodzie aplikacji, ale w czasie instalacji program sugerował użycie konkretnego ciągu znaków. Tutaj niestety administratorzy danych w przychodniach często nie zadawali sobie trudu, by zmieniać takie hasła, a więc znając podpowiedź z instalatora, przestępca mógłby zalogować się nim w wielu placówkach.
Jak podkreśla Grzegorz Mródź, prezes zarządu Kamsoft, niestety zdarzają się sytuacje, gdzie klienci czy też personel nie przykładają wystarczającej uwagi do kwestii bezpieczeństwa i przedkładają wygodę pracy ponad właściwe zabezpieczenie. Należy bowiem pamiętać, iż systemy informatyczne są instalowane w siedzibach użytkowników i to oni decydują o włączeniu zabezpieczeń oraz ich odpowiedniej konfiguracji.
Niestety z praktyki wynika, iż szczególnie w prywatnych praktykach czy też niewielkich przychodniach specjalistów odpowiedzialnych za cyberbezpieczeństwo po prostu nie ma. Jak podkreśla prof. Bogdan Księżopolski z Katedry Cyberbezpieczeństwa Akademii Leona Koźmińskiego w Warszawie, pieniądze wydane na cyberbezpieczeństwo częstokroć traktowane są przez zarządzających placówkami medycznymi jak wyrzucone w błoto, bowiem efektu tych inwestycji nie widać na pierwszy rzut oka i nie przynoszą one łatwego do zmierzenia przychodu. Tutaj jednak warto podkreślić, iż w cyberbezpieczeństwo znacznie więcej środków winno angażować państwo, lecz koniecznie z weryfikacją tego co się dzieje z takimi środkami. Koniecznością jest, by przede wszystkim wzmacniały one świadomość zagrożeń pośród personelu placówek medycznych.
Jak zauważa Tomasz Zieliński, pieniądze na cyberbezpieczeństwo są, lecz rozdając je do tej pory zwracamy uwagę głównie na szpitale. W tym zakresie Narodowy Fundusz Zdrowia, zarówno w roku ubiegłym, jak i w obecnym, znacznie dofinansował programy wsparcia cyberbezpieczeństwa w szpitalach oraz w laboratoriach medycznych. W tym kontekście pod koniec maja Naczelna Izba Lekarska powołała koalicję na rzecz cyberbezpieczeństwa w ochronie zdrowia i do jej głównych celów należy znowu ochrona szpitali.
Niestety w tym względzie okazuje się, iż szpitale są duże i należy oczywiście je chronić, natomiast to do placówek podstawowej opieki zdrowotnej zapisani są wszyscy Polacy. Tymczasem właśnie małe podmioty niestety są łatwe do zaatakowania i tutaj wręcz aż prosi się o odpowiednie szkolenia personelu, jak i również zwiększenie nakładów na cyberbezpieczeństwo w tej dziedzinie służby zdrowia.
Podsumowując, okazało się w ostatnim czasie, iż mieliśmy do czynienia z bardzo poważnym zagrożeniem dotyczącym wycieku danych pacjentów oraz podszywaniem się pod lekarzy, celem wystawienia recept, skierowań czy też zwolnień lekarskich. Okazało się bowiem, iż są poważne luki w oprogramowaniu, używanym szczególnie przez mniejsze placówki i gabinety lekarskie i tak naprawdę nie wiadomo czy ktokolwiek dane takie w nielegalny sposób pozyskał i w przyszłości być może będzie chciał wykorzystać. Obecnie systemy te są już odpowiednio zabezpieczone, jednak nadal problem małych nakładów na cyberbezpieczeństwo, szczególnie ze strony mniejszych placówek medycznych, jest poważnym zagrożeniem dla całego systemu informatycznego i bezpieczeństwa pacjentów.