Cyberbezpieczeństwo
E-recepty a cyberbezpieczeństwo. Ministerstwo Zdrowia odpowiada
W ostatnich tygodniach problem bezpieczeństwa danych pacjentów nie schodził z pierwszych stron gazet. Okazuję się, że w związku z e-receptami problemy mieli także lekarze.
Opisywany przez nasz portal problem dotyczący bezpieczeństwa danych pacjentów, niestety nie jest jedynym, który w ostatnim czasie dotyka systemu ochrony zdrowia w Polsce. Kłopoty pojawiają się także w przypadku e-recept.
Na początku sierpnia poznańska „Wyborcza" opisała problem wystawiania przez hakerów elektronicznych recept na podstawie kradzionych certyfikatów ZUS . Opisany został m.in. przypadek lekarza, z którego konta w zaledwie kilka dni zostało wystawione kilkadziesiąt e-recept na leki psychotropowe.
Czytaj też
Proceder trudny do zatrzymania
Choć certyfikat został unieważniony, hakerzy mogli kontynuować proceder. Akcję udało się zatrzymać dopiero wtedy, gdy lekarz zobaczył w Biurze Informacji Kredytowej, że przestępcy na podstawie skradzionych danych założyli konto w banku. „Poprzez rządowy Profil Zaufany potwierdzili jego tożsamość w rządowym systemie i mogli kontynuować wypisywanie recept" – czytamy.
„Hakerzy wgrali na moje konto na gabinet.gov.pl dane z innego certyfikatu. Dokument miał inne numery seryjne i inną datę ważności. Najwidoczniej system gabinet.gov.pl nie weryfikuje zgodności danych z certyfikatu ZUS i danymi z profilu lekarza" – mówił lekarz.
Ministerstwo Zdrowia tłumaczy
W związku z powyższym problemem, postanowiliśmy zapytać o komentarz Ministerstwo Zdrowia.
Biuro Komunikacji Ministerstwa Zdrowia odpowiedziało nam, że „Posiadanie certyfikatu do podpisu PUE ZUS nie jest wystarczające do wystawienia recepty. Konieczne jest posiadanie dostępu do systemu informatycznego ze specjalnymi uprawnieniami dla podmiotu medycznego do wykonania takiej operacji" – wskazało.
„Receptę może wystawić tylko uprawniony pracownik medyczny. P1 weryfikuje dane w certyfikacie z danymi z Centralnego Rejestru Lekarzy. Aby zalogować się do gabinet.gov.pl potrzebny jest drugi faktor uwierzytelnia, wystawiony przez dostawcę tożsamości do Węzła Krajowego" – czytamy dalej.
Jak zatem doszło do włamania na konto lekarza?
„Odnosząc się do wskazanych doniesień prasowych można przypuszczać, że chodzi o kradzież tożsamości (wskazano przypadek konkretnego lekarza i banku), która została następnie wykorzystana do założenia fikcyjnego konta w banku i na podstawie tej tożsamości elektronicznej zalogowano się na konta lekarza i wystawiono fałszywe recepty" – podało nam Ministerstwo Zdrowia, które wskazało też, że w tym przypadku lekarz mógł paść ofiarą phishingu. Więcej na temat tej metody pisaliśmy m.in. w tym tekście.
Ministerstwo zapytane przez nas o to, czy lekarz może dowiedzieć się, że ktoś wystawia na niego „lewą" receptę, odpowiedziało: „System e-zdrowie (P1) zapewnia możliwość wyszukania wystawionych przez siebie recept w podmiocie, w którym się pracuje".
Czytaj też
Kolejny problem
O jeszcze innym problemie dotyczącym e-recept opowiedział serwisowi CyberDefence24.pl Konrad Korbiński, adwokat z HMA POLAND, specjalizujący się w prawie medycznym. Przypomniał, że „w związku ze zmianami wprowadzonymi Rozporządzeniem Ministra Zdrowia z 12 lipca 2023 r. zmieniającym rozporządzenie w sprawie środków odurzających, substancji psychotropowych (...) zobowiązano lekarzy do wystawiających leki psychotropowe do analizy historii leków przepisanych pacjentowi przed wystawieniem recepty".
Zmiana poskutkowała tym, że część placówek medycznych nie miała możliwości wystawiania recept na dany lek "na cito". „8-9 sierpnia Ministerstwo Zdrowia wprowadziło na stronie gabinet.gov.pl opcję do zaznaczenia, że pacjent wyraził zgodę na dostęp do danych lub wystąpiło zagrożenie życia, która miała rozwiązać problem. Po odznaczeniu pola i wpisaniu nr PESEL dowolnego pacjenta, dowolny lekarz mógł uzyskać dostęp do historii wystawionych leków pacjenta" – powiedział nam adwokat.
Problem polegał na tym, że przez to rozwiązanie każdy lekarz posiadający PESEL pacjenta miał dostęp do jego pełnej historii leczenia, a fakt dostępu nie był odnotowywany w systemie. 22 sierpnia dostęp do tych danych został czasowo zawieszony.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].