![Weekendowa Lektura: odcinek 622 [2025-05-03]. Bierzcie i czytajcie](https://zaufanatrzeciastrona.pl/wp-content/uploads/2024/02/library.jpg)
![HESS zarejestrował kosmiczny elektron o niespotykanej energii [Phys. Rev. Lett.]](https://www.kwantowo.pl/wp-content/uploads/2024/11/mikro-teleskop-hess.jpg)
![[VIDEO] Roborock F25 Combo to uniwersalny odkurzacz 5 w 1 dla wygodnego sprzątania](https://alfred.dailyweb.pl/wp-content/uploads/2025/05/roborock_f25_combo.jpg)
![Dorastanie na Marsie [niepublikowany nigdzie indziej fragment książki]](https://naukatolubie.pl/app/uploads/2025/03/Niespokojnepokolenie_blog.png)
![Ali Alkhatib o biurokracji i utopii algorytmów [wywiad]](https://panoptykon.org/sites/default/files/2025-03/pismo-kwestionariusz-nguyen-dang-.jpg)
Dane pacjentów pewnego szpitala wyciekły przez Internetowe Konto Pacjenta
Zmiana adresu URL w przeglądarce pozwalała na pobranie dokumentacji medycznej różnych osób przez Internetowe Konto Pacjenta. Błąd dotyczył prawdopodobnie pacjentów jednego szpitala. Ministerstwo Zdrowia na swojej stronie internetowej w dość niepozornej zakładce “komunikaty” zamieściło “Komunikat o naruszeniu ochrony danych osobowych“. Czyje dane wyciekły? To nie jest pewne, natomiast komunikat mówi o dość poważnym incydencie. Otóż […]
Zmiana adresu URL w przeglądarce pozwalała na pobranie dokumentacji medycznej różnych osób przez Internetowe Konto Pacjenta. Błąd dotyczył prawdopodobnie pacjentów jednego szpitala.
Ministerstwo Zdrowia na swojej stronie internetowej w dość niepozornej zakładce “komunikaty” zamieściło “Komunikat o naruszeniu ochrony danych osobowych“. Czyje dane wyciekły? To nie jest pewne, natomiast komunikat mówi o dość poważnym incydencie. Otóż użytkownicy Internetowego Konta Pacjenta mogli podejrzeć dane innych osób.
Czerwone strzałki dodane przez redakcję Niebezpiecznik.pl
Co się stało?
Z komunikatu wynika 28 kwietnia 2025 r. Centrum e-Zdrowia powiadomiło ministerstwo o podatności w IKP. Polegała ona na tym, że:
w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników. Zatem z poziomu aplikacji IKP możliwa była ręczna edycja adresu URL w przeglądarce, dokonanie zmiany fragmentu adresu i wykonanie operacji pobrania dokumentu EDM (elektronicznej dokumentacji medycznej – przyp. red.).
Na pierwszy rzut oka wydaje się to banalnym błędem podobnym do tego, który w przeszłości wystąpił w systemie wniosków paszportowych. Jednak w komunikacie jest jeszcze jedna ciekawostka. Otóż standardowo pobranie dokumentacji z IKP możliwe jest tylko po tym, jak podmiot leczniczy zweryfikuje uprawnienia po swojej stronie w systemie P1.
W opisanym zdarzeniu weryfikacja taka nie miała miejsca. Niezależnie od możliwości modyfikacji adresu URL, po stronie podmiotu leczniczego powinna być realizowana obowiązkowa weryfikacja uprawnień użytkownika, zgodnie z obowiązującą dokumentacją integracyjną.
Zdarzenie można zakwalifikować jako “wyciek” ponieważ jakiś użytkownik wykorzystał błąd i pobrał dokumentację medyczną czterech innych osób. Ten użytkownik – jak rozumiemy – zgłosił problem, ale nie ujawnił czyje dane pozyskał. Doszło więc do nieuprawnionego ujawnienia danych (przynajmniej?) czterech osób w postaci:
- imienia i nazwiska,
- daty urodzenia,
- adresu zamieszkania lub pobytu,
- numeru PESEL,
- informacji o dowodzie osobistym,
- danych dotyczących zdrowia (!!!!!!).
Można sądzić, że podatność była ograniczona do konkretnego repozytorium w konkretnym podmiocie leczniczym. Ministerstwo doszło do takiego wniosku gdyż po zgłoszeniu przeprowadzono testy przy użyciu konta IKP innej osoby i repozytorium innego podmiotu. Nie udało się odtworzyć sytuacji. Dalsza analiza wykazała, że po stronie konkretnego szpitala nie zabezpieczono repozytorium danych w zakresie wymogu weryfikacji uprawnień użytkownika na poziomie systemu P1. W sprawie interweniował CSIRT CeZ (czyli zespół reagowania na incydenty działający przy Centrum e-Zdrowia). Skontaktował się on ze szpitalem, który potwierdził błąd w usłudze dostarczanej do podmiotu leczniczego. Dostawca repozytorium zadeklarował naprawę tego błędu do dnia 25 kwietnia i “w dniu 25 kwietnia 2025 r. przekazał informacje o przygotowaniu poprawki do systemów repozytorium w podmiotach leczniczych”. Miejmy nadzieję, że poprawka została wdrożona, bo z komunikatu to jasno nie wynika.
Przynajmniej zgłosili do UODO
Ministerstwo oświadczyło. że 29 kwietnia 2025 r. opisane naruszenie ochrony danych osobowych zostało zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych. To nas bardzo cieszy bo nie zawsze był to standard w ochronie zdrowia. Kilka lat temu opisywaliśmy przypadek dopisania naszemu Czytelnikowi dodatkowego syna w systemie Pacjent.gov.pl. Wówczas incydentu nie zgłoszono do UODO (a przynajmniej nie zrobiono tego przez pół roku), ale mogło to wynikać z faktu, że wina leżała częściowo po stronie ZUSu i na jakimś etapie sprawy chyba nikt nie czuł się szczególnie winny.
Czego nie wiemy?
Niestety naszym zdaniem komunikat Ministerstwa Zdrowia ma poważne braki. Nie wynika z niego jasno czy ustalono osoby, których dane zostały w sposób nieuprawniony ujawnione. Komunikat wygląda trochę jak… skierowany do wszystkich obywateli. Nie podano też nazwy szpitala, w którego repozytorium znaleziono błąd. Nie wiemy od kiedy podatność była w systemie i czy przeprowadzono analizy w zakresie innych przypadków jej nadużywania. Innymi słowy nie wiemy, czy cztery przypadki pobrania dokumentacji medycznej przez osobę zgłaszającą były jedynymi nieuprawnionymi pobraniami z tego repozytorium.
Z dodatkowymi pytaniami w tym zakresie zwróciliśmy się do Ministerstwa Zdrowia. Rzeczniczka prasowa ministerstwa Renata Jeziółkowska stwierdziła, że odpowiedzi w tym zakresie udzieli nam Centrum e-Zdrowia. Czekamy na dodatkowe wyjaśnienia.
