Wrażliwe dane pacjentów 90 polskich szpitali w publicznie dostępnym katalogu (aktualizacja)

Wrażliwe dane pacjentów 90 polskich szpitali w publicznie dostępnym katalogu (aktualizacja)05.12.2017 12:41

Aktualizacja, 13:45, Otrzymaliśmy oficjalne stanowisko Zarządu MedHub sp. z o.o., producenta systemu Eskulap. MedHub potwierdza, że problem dotyczy systemu obsługi zgłoszeń serwisowych firmy Konsultant IT, nie helpdesku systemu Eskulap. Oznacza to, że upublicznienie danych pacjentów i szpitali dotyczy tylko tych placówek, które do obsługi helpdesku sytemu Eskulap korzystały z usług firmy Konsultant IT.

Wyciek wrażliwych danych około 50 tys. pacjentów ze szpitalaw Kole był największym jak do tej pory takim incydentem wPolsce. Ujawniony właśnie wyciek danych z systemu informatycznegoEskulap pod tym względem liczby poszkodowanych wydaje się nie byćtak poważny, ale z racji popularności tego oprogramowania nie możnago zignorować – narażonych zostało nawet 90 korzystających zEskulapa szpitali w całej Polsce.

Eskulap to platforma informatyzacji szpitali autorstwa spółki medhub, wdrażana przez firmę Konsultant IT. W skład systemuwchodzą zarówno moduły do obsługi ruchu pacjentów (rejestracja,oddziały, izba przyjęć), jak i obsługi poszczególnych jednostekszpitala (blok operacyjny, stacja dializ, pogotowie ratunkowe,laboratoria analityczne, pracownie bakteriologiczne,histopatologiczne, cytostatyczne). Zainteresowane placówkikorzystają też z modułów gospodarki lekiem, magazynu i żywienia.Producent chwali się, że jego system jako jedyny przeszedł testyakceptacyjne organizowane przez Bank Światowy.

Jak to każdy system informatyczny, Eskulap miał oczywiściebłędy, pojawiały się też u personelu medycznego problemy iniejasności związane z obsługą modułów, Jak każdy porządnysystem informatyczny, Eskulap miał więc swój helpdesk, gdziezainteresowani mogli pozostawiać swoje zgłoszenia. Zgłoszeniom tymmogły towarzyszyć załączniki, w tym zrzuty ekranu, mającedokumentować odkryty problem.

Właśnie o te załączniki poszło. W zeszłym tygodniu jeden zczytelników Niebezpiecznika poinformował, że każdy możepodejrzeć pliki załączane do zgłoszeń – znajdują się one napublicznie dostępnym serwerze, w katalogu z uprawnieniami odczytudla każdego.

Wśród tych plików były zarówno dokumenty, jak i zrzuty ekranuz widokami modułów, zawierającymi wrażliwe dane. Zakrestematyczny dostępnych tak danych całkiem spory: historie choroby,karty badań, orzeczenia lekarskie, kosztorysy, dane dostępoweszpitalnych VPN-ów, wyeksportowane bazy danych… na pewno nic, copowinno być publicznie dostępne. Szczególnie gdy chodzi np. oszpitale psychiatryczne.

Niebezpiecznik skontaktował się z Konsultantem IT – i otrzymałbardzo ciekawe odpowiedzi od jej prezesa, p. Tomasza Kuncewicza.Stwierdził on, że to pierwszy w historii firmy incydentniewłaściwego zabezpieczenia informacji, wynikający z błędu wmigracji oprogramowania. Helpdesk został bowiem stworzony przezzewnętrzną firmę DIMIMO, ona też sprawowała nad nim opiekę.Podczas migracji helpdesku nie zauważono, że kontrolujący dostępdo katalogów plik .htaccess nie jest obsługiwany w nowejkonfiguracji webserwera. Niestety kontrola zabezpieczeń niewychwyciła tej usterki.

Wyjaśnienie dobre, tyle że nie wszystko wyjaśnia. Sęk w tym,że jak twierdzi DIMIMO, do migracji doszło w październiku br.Tymczasem informator Niebezpiecznika utrzymuje, że dane z Eskulapabyły publicznie dostępne od 2015 roku, a wśród nich nie tylkodokumenty i zrzuty nadsyłane do helpdesku, ale też aktualizacjesamego systemu. Jak pisze odkrywca: dziura jest bardzo stara napewno już niejeden bot ją znalazł.Co więcej, przyrost ilości danych był bardzo duży, nawet pokilkadziesiąt plików dziennie. Czy na pewno więc chodzi o migracjęhelpdesku sprzed dwóch miesięcy? Co gorsze, DIMMO przyznaje, żemogło dojść do masowego pobierania plików, obecnie analizowane sąlogi.

Z listą zagrożonych tym wyciekiemplacówek służby zdrowia zapoznacie się w artykuleNiebezpiecznika. Nasuwają się nam w związku z tą sprawą dwawnioski:

Nie ma co liczyć na zapewnieniebezpieczeństwa danym wrażliwym inaczej, jak poprzez budowęsystemów informatycznych odpornych na ludzką głupotę. Ta jestbowiem jedną z najpotężniejszych sił we wszechświecie. Musimywięc zawsze zakładać to, co najgorsze. System przetwarzającywrażliwe dane medyczne po prostu nie może oferować możliwościwysłania takich danych gdziekolwiek poza zamknięty obiegdokumentów, a już na pewno nie powinien akceptować zrzutówekranów, które później trafiają do nieuprawnionych przecież dozapoznawania się z dokumentacją medyczną pracowników firminformatycznych.

Póki co placówkom medycznym korzystającym z Eskulapa możemy zalecić jak najszybszą zmianę wszystkich używanych haseł – należy założyć najgorsze i traktować w takich sytuacjach systemy informatyczne jako przejęte przez strony trzecie.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na