Ministerstwo Zdrowia poinformowało o poważnym naruszeniu ochrony danych osobowych w systemie Internetowego Konta Pacjenta (IKP), które miało miejsce w dniach 19-25 kwietnia. Zgłoszona podatność umożliwiła nieuprawniony dostęp do dokumentacji medycznej czterech osób, co rodzi poważne konsekwencje dla bezpieczeństwa danych pacjentów.
- Ministerstwo Zdrowia zgłosiło naruszenie danych osobowych w IKP.
- Naruszenie miało miejsce w dniach 19-25 kwietnia 2023 roku.
- Nieuprawniony dostęp dotyczył dokumentacji czterech osób.
- Problem wynikał z możliwości edycji adresu URL w przeglądarce.
- Centrum e-Zdrowia przeprowadziło testy, które nie potwierdziły podatności.
Naruszenie danych osobowych w IKP
W komunikacie Ministerstwa Zdrowia wskazano, że naruszenie dotyczyło systemu P1, którego administratorem jest minister zdrowia. Zdarzenie związane było z utratą poufności danych w Internetowym Koncie Pacjenta. Jak podano, „w związku ze zdarzeniem doszło do pozyskania przez zgłaszającego problem użytkownika IKP dokumentacji medycznej czterech innych osób fizycznych”. To naruszenie poufności danych osobowych obejmowało imiona, nazwiska, daty urodzenia, adresy zamieszkania oraz numery PESEL.
Mechanizm naruszenia
Jak wyjaśniło Ministerstwo, problem wynikał z możliwości ręcznej edycji adresu URL w przeglądarce podczas korzystania z aplikacji IKP. Użytkownik, zmieniając fragment adresu, mógł pobrać dokumentację medyczną innych osób bez odpowiedniej weryfikacji uprawnień. „Standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1”, podkreślono w komunikacie.
Reakcja Ministerstwa Zdrowia
W odpowiedzi na zgłoszenie podatności, Centrum e-Zdrowia, działające jako podmiot przetwarzający w systemie P1, przeprowadziło testy, które nie potwierdziły możliwości pobrania dokumentów przez nieuprawnionego użytkownika w innych repozytoriach. Zidentyfikowano, że problem dotyczył konkretnego podmiotu leczniczego, gdzie nie zabezpieczono odpowiednio repozytorium danych. Ministerstwo zdrowia skontaktowało się z dostawcą repozytorium oraz podmiotem leczniczym, aby potwierdzić stosowanie mechanizmów weryfikacji uprawnień użytkowników.
Potencjalne konsekwencje dla pacjentów
Ministerstwo zdrowia ostrzega, że naruszenie danych osobowych może prowadzić do wielu negatywnych skutków dla osób, których dane zostały ujawnione. Możliwe zagrożenia obejmują m.in. nieuprawnione wykorzystanie danych w nielegalnych bazach danych, próby uzyskania dostępu do systemów medycznych czy wyłudzenia kredytów. „Dane osobowe mogą zostać wykorzystane do tzw. SIM swappingu, czyli wyrobienia duplikatu karty SIM”, zaznaczono w komunikacie.
Jak się chronić?
W związku z incydentem, Ministerstwo zdrowia zaleca podjęcie działań mających na celu minimalizację skutków naruszenia. Osoby, których dane mogły zostać naruszone, powinny zgłosić fakt naruszenia ochrony danych organom ścigania, monitorować wykorzystanie swoich danych osobowych oraz zachować szczególną ostrożność przy podawaniu danych innym osobom. „Należy ignorować nieoczekiwane wiadomości, w szczególności od nieznanych nadawców”, dodano w komunikacie.
Ministerstwo zdrowia podkreśla, że dostawca repozytorium zadeklarował naprawę błędu, co ma na celu zabezpieczenie systemu przed podobnymi incydentami w przyszłości. W obliczu rosnących zagrożeń związanych z ochroną danych osobowych, kluczowe jest, aby zarówno instytucje, jak i użytkownicy podejmowali odpowiednie kroki w celu zapewnienia bezpieczeństwa informacji.