11:23
2/2/2021

Wygląda na to, że w 2021 roku wycieki danych medycznych będą na porządku dziennym. Niedawno pisaliśmy o tym, że można było pobrać nagrania rozmów pacjentów z lekarzami, ujawniliśmy też, jak dostać się do wyników badań na COVID-19 a także informowaliśmy o wycieku danych pacjentów z serwisu upacjenta.pl i danych ubezpieczonych od brokera Ent Broker. Dziś — niestety — opisujemy kolejny wyciek danych medycznych.

Prowadzisz biznes w internecie? Kiedyś i Ciebie spotka wyciek danych. Błąd pracownika, awaria, atak hakerów. Źle przeprowadzona obsługa incydentu może się okazać fatalna w skutkach, zarówno od strony prawnej jak i finansowej. Zobacz nasze video-szkolenie o tym, jak poprawnie przygotować się i obsłużyć incydenty bezpieczeństwa takie jak wycieki, szantaże i ataki.

Nasze szkolenie to praktyczna instrukcja co robić, kiedy zostaniesz zhackowany, przekazana krok-po-kroku z myślą o prawnikach, Zarządzie, administratorach IT, ADO, PR-owcach i rzecznikach prasowych. 2 godziny wiedzy, prosto z pola walki. Prowadzący “obsłużyli” setki incydentów w 2019 roku i dzielą się doświadczeniami, których nie znajdziesz w żadnych książkach — zobacz pełną agendę!

Lekarzonline.eu upublicznił dane medyczne pacjentów

Nasza Czytelniczka Katarzyna, która zawodowo zajmuje się OSINT-em, trafiła w czasie szperania po sieci na dokumenty opublikowane w serwisie Lekarzonline.eu. W jednym z publicznie dostępnych katalogów znajdowało się 65 plików, a wśród nich zaświadczenia lekarskie i recepty (aktualne).

Niestety zarówno zaświadczenia jak i recepty zawierały masę wrażliwych informacji, m.in.

    imię i nazwisko,
    datę urodzenia
    PESEL
    informację o lekach, które z kolei mogą wskazywać na stan zdrowia.

Dostępny był także inny katalog z plikami z ubiegłego roku, a w nim dane na temat wizyt lekarskich. W przypadku tych dokumentów oprócz nazwiska, PESEL-u czy danych kontaktowych (e-mail, telefon) w dokumencie znajdowały się wyniki wywiadu lub badania

…a także dokumenty z innych placówek medycznych, co sugeruje, że były to pliki udostępniane przez pacjentów serwisowi.

Nauczka dla każdego — jeśli udostępniasz komuś (nawet lekarzowi) swoje wyniki, ukryj na nich dane osobowe. Lekarz będzie wiedział, że dotyczą Ciebie, ale jeśli nie zadba o ochronę tych dokumentów i one wyciekną, to inni będą mieli trudniej, aby powiązać je z Tobą.

Posprzątali, ale nie do końca…

Serwis Lekarzonline.eu jest prowadzony przez praktykę lekarską pana Sebastiana Krześniaka. Wyciek zgłosiliśmy w piątek 22 stycznia korzystając z dostępnego adresu kontaktowego, formularza kontaktowego, a także jednego adresu mailowego dostępnego w pewnym miejscu, do którego mamy dostęp. Zanim zdążyliśmy znaleźć kontakt telefoniczny, pliki z danymi osobowymi zostały usunięte lub dostęp do nich został zablokowany. Przed weekendem (23-24 stycznia) serwis wyglądał na wyłączony w celu dokonania napraw.

Obecnie serwis Lekarzonline.eu działa. Prowadzący go Sebastian Krześniak jeszcze w piątek udzielił nam poniższego komentarza.

Dziękujemy za przekazanie informacji o istnieniu “dziury” w naszym serwisie. Natychmiast po uzyskaniu powyższej informacji cały serwer został wyłączony a dział techniczny przystąpił do sprawdzenia i usunięcia zaistniałej chwilowej awarii. Z informacji jakie uzyskałem z działu IT, potencjalny dostęp możliwy był do danych osobowych mniej niż 35 osób, spośród wszystkich kilku tysięcy zarejestrowanych w serwisie. Tak więc, potencjalny dostęp do danych ww. osób był niewielki. Jednakże natychmiastowe działanie po otrzymaniu zgłoszenia spowodowało weryfikację i naprawę nieprawidłowości w systemie.
W trakcie analizy, zaistniałej nieprawidłowości zespół IT nie uzyskał danych, że osoby postronne weszły w posiadanie wyżej wymienionych danych osobowych. Jednakże zdajemy sobie sprawę z powagi sytuacji, iż nawet potencjalna możliwość uzyskania danych osobowych wymaga natychmiastowej interwencji co zostało już wykonane. System został zatem sprawdzony pod kątem bezpieczeństwa, wskazana usterka została wyeliminowana. Dołożymy wszelakich starań, aby w przyszłości podobna sytuacja nie miała już miejsca.
Oczywiście jako osoba prowadząca działalność gospodarczą i praktykę lekarską uważam za swój obowiązek powiadomić użytkowników, których dane potencjalnie mogły być dostępne a także dokonam zgłoszenia incydentu w zakresie danych osobowych.

W oświadczeniu zastanawia wzmianka o “osobach postronnych“, które rzekomo nie weszły w posiadanie danych. Cóż… my byliśmy osobami postronnymi, podobnie jak Katarzyna, która zgłosiła nam problem. Wiele wskazuje na to, że inne osoby także miały dostęp do tych danych. Warto tu również wspomnieć, że “zespół IT” nie wymusił wyczyszczenia cache w Google, bo jeszcze do piątku, 25 stycznia dokumenty wciąż figurowały w wynikach wyszukiwarki. To powód, dla którego wstrzymywaliśmy się z publikacją przez ponad tydzień.

Zwróciliśmy na to uwagę w kolejnej wiadomości i dopiero po naszym monicie “zespół IT” wyczyścił cache.

Na wyciek danych warto się przygotować

To jak obsłużyć incydent warto przećwiczyć. Mniejszy albo większy wyciek danych, czy to z powodu złej konfiguracji serwera, błędu pracownika lub dostawcy usług, czy w wyniku ataku prędzej czy później zdarzy się każdemu. Warto więc opracować krok-po-kroku KTO i CO wtedy powinien zrobić — inaczej “w emocjach” można zapomnieć o wyczyszczeniu cache Google. A nawet jak się pamięta o wyczyszczeniu cache w Google, to można zapomnieć o cache innych wyszukiwarek…

Wybór WordPressa na serwis do przetwarzania danych medycznych nie jest zły. Pod warunkiem, że przed startem (i po każdej aktualizacji, odtworzeniu danych z kopii zapasowej, etc.) sprawdzi się go pod kątem bezpieczeństwa. Jest do tego sporo darmowych narzędzi, które wychwyciłyby błąd, jaki w tym przypadku odpowiadał za ujawnienie danych medycznych.

Jak zabrać się za obsługę incydentu? Co zrobić od strony “prawnej” a co od strony “technicznej” i “wizerunkowej“? Ile ma się na to czasu i co nam grozi, jeśli tego nie zrobimy? O tym wszystkim, przystępnym językiem dowiecie się z naszego video-szkolenia “Zostałeś zhackowany, co teraz?“. Szkolenie trwa 2 godziny i prowadzą je wspólnie — adwokat Michał Kluska z kancelarii DZP oraz Piotr Konieczny, CISO Niebezpiecznika. Na hasło “RECEPTA” możesz kupić to szkolenie w takiej samej cenie w jakiej od zawsze jest dostępne :-) Zniżek nie ma, bo ta wiedza to i tak promil kwoty, jaką zazwyczaj wystawiamy na fakturach za pomoc w obsłudze incydentu. A z materiałem warto się zapoznać, bo źle wykonana obsługa incydentu będzie Cię kosztować co najmniej kilkaset razy więcej. Nie ma n co czekać, zobacz szkolenie i już dziś wprowadź sugerowane przez nas zmiany.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Dobry ten kod, faktycznie niezła promocja :D

  2. Pytanie o usuwanie swoich danych z bazy placówki, z której już na pewno nie skorzystamy:

    Czy można zrobić to jakoś lepiej niż tylko powołać się na RODO i poprosić o usunięcie?
    Jak wiadomo takie “usunięcie” przez placówkę może być niezbyt dobrze robione od strony technicznej i niewiele dawać.

    (Nawet w przypadku podmiotów, które umieją w RODO, usunięcie to nie skasowanie danych, ale zanonimizowanie. I to jedynie w obecnej bazie, backupy zostają nietknięte.)

    • A dlaczego powołanie się na RODO czy inne przepisy miałoby wystarczyć do usunięcia danych?

      O ile mi wiadomo, podstawą przetwarzania danych medycznych przez takie placówki nie jest nasza zgoda, tylko przepisy ustawy, które nakładają OBOWIĄZEK prowadzenia dokumentacji medycznej i przechowywania jej przez 20 lat.

      Jest jakiś sposób żeby wymusić usunięcie swoich danych?

    • Od dłuższego czasu koresponduję z pewną placówką medyczną (prywatną), próbując doprowadzić do usunięcia moich danych z systemu teleinformatycznego tejże, tak aby “obsługa recepcji” nie miała dostępu do tych danych oraz aby odpiąć te dane od bazy, która potencjalnie może wyciec poza system. Placówka jednak utożsamia tę prośbę ze “zniszczeniem dokumentacji medycznej” i powołuje się na przepisy, które zobowiązują do przechowywania dokumentacji przez 20 lat – odmawiając przychylenia się do mojej prośby. Pytanie do osób zajmujących się tego typu bazami danych: czy “odpięcie” danych o pacjencie od “ogólnodostępnej” bazy danych placówki, z jednoczesnym “zachowaniem” tych danych w jakimś odseparowanym miejscu, to technicznie uciążliwa sprawa, czy bardziej nieudolność placówki?

    • Ktoś tu nie wie jak działa RODO :). Wyrażałeś zgodę że chcesz ją cofnąć i żądać usunięcia? Podpowiem, możesz sobie żądać co chcesz a twoje dane i tak przez około 20 lat będą tam przetwarzane na mocy prawa a wręcz nie mogą zostać usunięte.

    • @maras

      W pewnym sensie jedno i drugie. Żeby spełnić Twoją prośbę, placówka musiałaby mieć wytworzone procedury “odpinania” i przechowywania takich “odpiętych” danych, a zapewne nie ma. A już na pewno nie będzie wiedzieć tego rejestratorka. Szef też niekoniecznie. Techniczną odpowiedź byłbyś w stanie uzyskać jedynie od osoby która administruje tamtejszymi systemami IT, jeśli będzie w dobrym humorze. Z kolei ten nazwijmy go w uproszczeniu admin (choć może to być zewnętrzny poddostawca) najprawdopodobniej nie zrobi nic, czego mu nie zleci / za co mu nie zapłaci placówka (w każdym razie nie powinien). Czyli jeśli placówka nie ma opracowanej procedury, zarząd i wykonawca IT musieliby się spotkać i opracować taką procedurę, po czym ją zaimplementować, najpierw być może w formie obejścia “od strony bazy”, potem być może w formie wykonalnej dla rejestratorki (na zlecenie zarządu, nie zapominajmy, to oni za to odpowiadają). Jak się domyślasz, nie będą zbyt chętni by to robić, jeśli monituje ich o to jeden pacjent.

      Natomiast co do zasady dane takie jak pokazano w artykule nie powinny być dostępne z Internetu. Przez tunelowe połączenie dla lekarza po autoryzacji w systemach placówki – tak. I robi się takie rzeczy.

    • Rozróżniłbym dwa pojęcia “przetwarzanie danych” i “przechowywanie danych”.

      Fragmenty standardowego regulaminu brzmią np tak:

      “Dane osobowe są PRZETWARZANE do … diagnozy medycznej… lub zarządzania systemami i usługami opieki zdrowotnej …”

      oraz

      “Dane osobowe są PRZECHOWYWANE do zakończenia udzielania pacjentowi świadczeń zdrowotnych, a także po zakończeniu udzielania pacjentowi świadczeń zdrowotnych, aż do wygaśnięcia obowiązków i praw administratora wynikających z udzielania pacjentowi świadczeń zdrowotnych, w szczególności obowiązku przechowywania dokumentacji medycznej.”

      W pełni rozumiem i akceptuję to, że dokumentacja medyczna jest PRZECHOWYWANA przez okres 20 lat, ale uważam że powinno być umożliwione jej przechowywanie w czymś w rodzaju odseparowanego “archiwum”, które nie jest połączone z bieżącą bazą pacjentów, do której można uzyskać dostęp on-line, lub do którego ma dostęp “każdy pracownik recepcji” (a rotacja jest duża). Chodzi o sytuację, w której jednokrotnie skorzystało się z usług jakiejś placówki i nie planuje się więcej korzystać z jej usług. W przedmiotowej sytuacji każdy pacjent, który skorzystał z usług tej placówki jest potencjalnie narażony na wyciek swoich danych przez najbliższe 20 lat.

    • @stukot

      Dzięki za rzeczową odpowiedź. Trafiłeś w punkt, tzn zostałem przekierowany od osoby zajmującej się “RODO” do “informatyka”, ponieważ osoby nietechniczne nie wiedzą czy można taką procedurę wykonać (w domyśle: nie ma takiej procedury). Podejrzewam również, że tak jak zasygnalizowałeś, wyegzekwowanie mojej prośby jest skazane na niepowodzenie ze względu na “małe zainteresowanie społeczne”.

      Jestem osobą spoza kręgu informatyki i trochę mnie to dziwi, że “można się zapisać”, ale “nie można się wypisać”. Szczególnie jeżeli chodzi o dane wrażliwe, a po dwakroć szczególnie jeżeli chodzi o dane medyczne. W wielu innych przypadkach, np robiąc zakupy w księgarni internetowej, nie stanowi to żadnego problemu żeby dokonać zakupu i poprosić o usunięcie konta użytkownika (chociaż dane na temat transakcji pozostaną w księgarni).

    • A ja uważam, że pacjent – tak w prywatnej, jak i w publicznej placówce – powinien mieć prawo wyrażenia sprzeciwu wobec przechowywania jego dokumentacji. Domyślnie niech będzie 20 lat, ale przy wyrażonym sprzeciwie powinni usuwać i więcej nie gromadzić.

      Wiem że w umyśle naszych rządzących prywatność, prawa pacjenta i bezpieczeństwo w cyberprzestrzeni to rzeczy abstrakcyjne, ale pomarzyć warto…

  3. Niebezpiecznik moglby stworzyc liste podmiotow i branz, ze skromna notka ile i jak powaznie komus wycieklo, bo jak czlowiek wybiera to tego typu informacji czesto ciezko sie doszukac (i nie jest tak ze w interesie tych firm nie jest tak ze ciezko sie doszukac, i ze nie ma metod, nawet legalnych zeby to osiagnac – jak nie odwrotne pozycjonowanie, to napchanie pierwszych stron powiazanych wyszukiwan smieciami).

    Wydaje mi sie ze to zupelnie uczciwe – bardzo duzo po(d)miotow biznesowych w pewnym sensie ukrywa swoje wystepki ginac w tlumie, dawniej smrod ciagnal by sie za nieuczciwym kontrachentem przez dekady a teraz nawet pomimo tego ze jest latwiej, biznesy laduja fortuny w rozne rebrandingi czy pranie publicznej swiadomosci (pol biedy kiedy robili to akcjami charytytawnymi bo byl z tego pozytek, ale obecnie chyba stracily na popularnosci (zpowszednialy) i wybielanie sie czesto odbywa sie kosztem celowego szkodzenia wrecz).

    • To nierealne, byliby pozywani przez podmioty z listy co chwila. Mogliby za to zrobić listę podmiotów, które nie miały wycieków, włamów i dbają o sec. To samo dotyczy instytucji finansowych typu pewien bank (wszyscy wiedzą że z państwa na F i ma durne reklamy osobnika, któremu wydaje się że umie śpiewać), który nie respektuje prawa i nie oddaje ci ukradzionych z twojego konta on-line pieniędzy.

    • @name
      > Mogliby za to zrobić listę podmiotów, które nie miały wycieków, włamów i dbają o sec.

      Nikt trzeźwy się pod tym nie podpisze. Mówiąc po misiowemu: A gdyby tu było nagle pełno dziur. W przyszłości!
      Nie wiesz kiedy ta przyszłość stanie się teraźniejszością – czy po roku olewania tematu przez adminów, czy jutro.

    • @name

      Dobrze mówisz że byliby pozywani, natomiast lista podmiotów którym nic nie wyciekło, byłaby bez sensu. Trudno wziąć za nią odpowiedzialność. O niektórych wyciekach przecież nie wiemy.

      Zrobienie listy wycieków najbardziej możliwe jest w formie “dzieła społeczności”, lub zdecentralizowanych badań naukowych, bez pojedynczego podmiotu (zwłaszcza firmy) która się pod tym podpisuje. Albo odwrotnie, oficjalnie, jako raport instytucji państwowej.

  4. No aż mi się przykro zrobiło. A rzadko mi się to zdarza.

    Chyba najdobitniejsze przykłady pokazujące, dlaczego dane medyczne powinno się zabezpieczać. Co za padaka.

    Nie do końca zgodzę się z koncepcją anonimizowania wyników udostępnianych lekarzowi. Zwłaszcza w takim serwisie typu “powiedz na co potrzebujesz receptę, a my ją wystawimy”. Lekarz dostępny poprzez taki serwis nie będzie mieć wtedy uzasadnienia do wystawienia recepty, bo skoro nie zna pacjenta, to nie zorientuje się że ten mu przedstawia cudze wyniki.

    Żeby telemedycyna działała, musi zostać wytworzona platforma bezpiecznego pokazywania wyników itp rzeczy lekarzom i zwrotnie zaleceń pacjentom. Przecież istnieją takie rozwiązania. Trzymanie wszystkiego w bazie spiętej ze stronką www, w nieszyfrowanej formie, to chałowy pomysł. Niezależnie od użytego cmsa.

    • Dane mozna anonimizowac a potem wiazac gdy dostarczone zostana dane autoryzacyjne np szyfrowanie z uzyciem kluczy instytucji i pacjenta. Robienie serwisu na wp trzymajacego czule dane to faktycznie odlot.

    • takie serwisy wystawiające receptę powinny zostać zdelegalizowane i zamknięte

      skąd w ogóle pewność że wyniki badań nie zostały sfaszyzowane przez “pacjenta” (może ) który może w ten sposób wyłudzić receptę na leki które będzie zażywał “rekreacyjnie” w charakterze narkotyków

      jest to nic innego jak szara strefa handlu narkotykami

      a receptę dostaniesz bez trudu u lekarza prowadzanego z nie wielką pomocą recepcji a w dzisiejszych czasach dostaniesz ja w formie e-recepty na telefon

  5. Czy zawartość folderów /wp-content/uploads i /wp-plugins/ nie powinny być jednak ukryte? W tym przypadku coś tam bylo, ale gdyby nie było tam nic potencjalnie poufnego, a zawartość jest widoczna to bardzo krytyczne to może byc?

  6. To ciekawie, bo niby dostęp do listowania katalogu zablokowali, a jednak nie zmienili nazw plików a co za tym idzie, dalej je można pobrać..

    • i widzę że już poblokowali ;)

  7. Probowalem w google wpisywać zapytania z ostatniego screena, aczkolwiek nic mi nie wyskakuje. Czyzby już zabezpieczyli ten wyciek danych?

  8. Ale wiecie, że podając dwie pierwsze i ostatnia cyfrę peselu i uwzględniając że pacjent to mężczyzna (“leczony” w opisie), zawezacie zbiór osób do marnych 182500? Toż to prawie że jednoznaczna identyfikacja!

  9. a dane osobowe nie powinny być oddzielone od dokumentacji medycznej (recept i zastosowanych zabiegów)? [jedynie skorelowane ze sobą]

    chociażby dla tego ze podlegają innym przepisom i dokumentacja medyczną nie jest adres zamieszkania, telefon czy pesel

  10. @maras

    Chyba kontaktujemy się z ta sama placówka
    Uzyskanie jakiś info lub odpowiedzi to trzeba wiele wysiłku i nacisku w postaci wiadomości.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: