Na pacjent.gov.pl szukał skierowania dziecka, znalazł 250 000 cudzych skierowań

dodał 13 lipca 2020 o 19:16 w kategorii Wpadki  z tagami:
Na pacjent.gov.pl szukał skierowania dziecka, znalazł 250 000 cudzych skierowań

Cieszymy się z cyfryzacji naszych kontaktów z państwowymi instytucjami. To naprawdę wygodne, gdy przez internet można sprawdzić swoje recepty czy skierowania. Gorzej, gdy przypadkowe osoby mogą sprawdzić nasze skierowania. Dużo gorzej.

Czasem na ciekawe incydenty trafiacie przez przypadek – zupełnie jak pewien Wykopowicz, który w serwisie Ministerstwa Zdrowia tylko szukał skierowania swojego dziecka, a dokopał się ćwierć miliona skierowań przypadkowych osób. Ale po kolei.

Niespodziewane znalezisko

Oddajmy głos KKK1337, odkrywcy incydentu, który był miły udzielić nam krótkiego wywiadu.

Mam dziecko i chciałem sprawdzić, czy ma prawidłowo wystawione skierowanie. Wszedłem na pacjent.gov.pl i zalogowałem się do swojego konta przez profil zaufany. Niestety nie mogłem znaleźć skierowania dziecka. Przechodziłem przez kolejne zakładki, aż trafiłem na „Uprawnienia”, gdzie znalazłem profil dziecka. Hurra! Udało mi się zalogować na ten profil, tam kliknąłem na „Skierowania”, ale zamiast skierowania przypisanego do konta mojego dziecka zobaczyłem ćwierć miliona cudzych skierowań. Gdy odświeżyłem stronę, lista wyników była już pusta. Zdążyłem tylko wcześniej zrobić jeden zrzut ekranu. W efekcie dalej nie mam skierowania dziecka, bo teraz system został wyłączony. Oto i cała historia.

Tak wyglądał ekran, na który trafił KKK1337:

Lista skierowań

Warto zwrócić uwagę na linijkę mówiącą

Widzisz 1-5 z 245821 znalezionych skierowań

Odkrywca napisał o błędzie na Wykopie, co zaowocowało szybkim wyłączeniem tej części portalu. Obecnie widnieje tam taki komunikat:

Usługa czasowo nie odpowiada

Wysłaliśmy także pytania do Centrum Systemów Informacyjnych Ochrony Zdrowia – uzupełnimy artykuł, gdy tylko otrzymamy odpowiedzi.

Na pierwszy rzut oka problem wygląda na błędne zarządzanie uprawnieniami – być może wykorzystanie uprawnień konta rodzica do przeglądania danych dziecka sięgnęło za daleko do bazy.

Na marginesie

Warto zauważyć, że CSIOZ posiada swój zespół CSIRT, który ma swoją stronę, klucz PGP i link prowadzący z witryny głównej – co należy bardzo pochwalić (oraz życzyć osobie na dyżurze owocnej obsługi incydentu).

Często otrzymujemy od Was różne zgłoszenia, dotyczące przeróżnych problemów, na jakie natrafiacie w sieci. Sporą część z nich przekazujemy właśnie takim zespołom, które potrafią odpowiednio na incydent w danej firmie czy instytucji zareagować. Nie mamy nic przeciwko takiej naszej roli – ważne, że informacja o incydencie trafi do właściciela serwisu, zanim dojdzie do poważniejszego wycieku informacji. Jeśli widzicie coś naprawdę krytycznego, piszcie do nich od razu – dzięki temu możecie uratować komuś dane.

Aktualizacja 2020-07-15

Otrzymaliśmy odpowiedź CSIOZ, którą cytujemy w całości poniżej.

W jaki sposób doszło do tego incydentu? W jaki sposób dowiedzieli się Państwo o incydencie?
W Centrum e-Zdrowia (dawniej CSIOZ) na bieżąco monitorujemy systemy i rejestry 24 godziny na dobę. Do zdarzenia doszło na skutek błędu, który pojawił się podczas wdrożenia kolejnej wersji systemu. Wszelkie sygnały dotyczące naruszenia danych traktujemy niezwykle poważnie, dlatego po wykryciu zdarzenia natychmiast zablokowany został dostęp do e-skierowań do czasu usunięcia błędu.

Czy doszło do naruszenia bezpieczeństwa danych osobowych pacjentów?
Nie doszło do naruszenia bezpieczeństwa ani udostępnienia danych osobowych. Wykaz e-skierowań mógł zobaczyć wyłącznie użytkownik zalogowany i nie było możliwości obejrzenia ich przez przypadkowe osoby. Informacje, które zobaczył użytkownik nie pozwalały na zidentyfikowanie żadnej, konkretnej osoby i miały charakter statystyczny. Nie było także możliwości przejrzenia szczegółów e-skierowania. Próba wejścia w szczegóły e-skierowania zakończyła się niepowodzeniem – system uniemożliwił pobranie tych danych. Użytkownik widział jedynie nazwisko lekarza, nazwę poradni, czyli informacje, które widnieją w ogólnodostępnych rejestrach/spisach lekarzy i placówek medycznych oraz czterocyfrowy kod dostępu e-skierowania, który bez nr PESEL pacjenta nie niesie żadnej wartości informacyjnej. Ujawnienie danych lekarza i podmiotu, jaki wystawił skierowanie, nie stanowi naruszenia ochrony danych osobowych i nie narusza praw i wolności tych osób (lekarzy).

Jakie kroki podjęli Państwo w związku z incydentem?
Po weryfikacji informacji na temat zdarzenia w pierwszej kolejności zablokowaliśmy dostęp do e-skierowań na IKP, a następnie – w ciągu kilku godzin – usunęliśmy błąd w systemie. Zapewniamy, że bezpieczeństwo danych gromadzonych we wszystkich systemach i rejestrach jest dla Centrum e-Zdrowia sprawą najwyższej wagi. Każde zgłoszenie traktujemy priorytetowo i podejmujemy natychmiastowe działania, mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. Ponadto, dzięki wdrożonym mechanizmom bezpieczeństwa i monitorowania systemów IT, ryzyko występowania tego typu zdarzeń jest minimalne.