Telemedycyna pod obserwacją cyberprzestępców

Epidemia koronawirusa przyspieszyła cyfryzację nie tylko wśród przedsiębiorców, ale również w instytucjach medycznych. Pozbawieni możliwości spotkania z lekarzem, musieliśmy korzystać z dobrodziejstw telemedycyny. Możliwość konsultacji ze specjalistą bez konieczności czekania w kolejce – brzmi jak rozwiązanie odwiecznych problemów polskiej służby zdrowia? Niekoniecznie. Przeprowadzona pod koniec 2019 kontrola NIK nie pozostawia złudzeń co do tego – większość sprawdzanych placówek nie zapewnia skutecznej ochrony danych pacjentów, a w ponad połowie doszło do naruszeń. Zagrożenie komentuje ekspert serwisu ChronPESEL.pl.

Trwająca epidemia niewątpliwie przyspieszyła rozwój telemedycyny. Z e-wizyty u lekarza mogą skorzystać zarówno pacjenci publicznej, jak i prywatnej służby zdrowia. Żeby to zrobić, w przypadku tej pierwszej należy za pośrednictwem odpowiedniego formularza internetowego opisać swoje dolegliwości, podać dane m.in. imię i nazwisko, dokładny adres oraz numer PESEL i czekać na kontakt z przychodni. Pacjenci korzystający z prywatnych przychodni rezerwują wizyty korzystając z aplikacji mobilnych lub dzwoniąc na recepcję.

Historia choroby w telefonie

Po takiej rozmowie lekarz zdecyduje, czy pacjent potrzebuje e-recepty, e-zwolnienia, czy konieczna będzie standardowa wizyta w placówce. Dodatkowo za pośrednictwem, przygotowanego przez Ministerstwo Zdrowia, Internetowego Konta Pacjenta zyskujemy dostęp do m.in. wszystkich recept, które otrzymaliśmy od początku 2019 r., historii naszych wizyt w placówkach prowadzonych przez NFZ. Dzięki aplikacji mamy również dostęp danych naszych dzieci (przed ukończeniem 18. roku życia). To dotyczy pacjentów publicznej służby zdrowia. Do korzystania z IKP konieczne jest posiadanie profilu zaufanego. Podobne funkcjonalności oferują również aplikacje prywatnych sieci medycznych. Pacjenci dobrze odbierają nowe rozwiązania ułatwiające leczenie. Według raportu Fundacji Digital Poland, PwC i IQS 92% Polaków pozytywnie ocenia nowe technologie w medycynie.

NIK alarmuje: szpitale nie chronią danych pacjentów

W parze z niewątpliwymi zaletami rozwiązań takich, jak teleporada lub możliwość otrzymania recepty SMS-em idą również poważne zagrożenia. Większość przetwarzanych przez firmy medyczne danych archiwizowana jest w formie cyfrowej. Ich zabezpieczenie budzi z kolei poważne wątpliwości.

Jako pierwsza na alarm biła Najwyższa Izba Kontroli, która w raporcie z listopada 2019 r. o ochronie danych osobowych w szpitalach pokazuje, że większość sprawdzanych w ramach kontroli placówek medycznych nie zapewnia skutecznej ochrony danych pacjentów, a w ponad połowie doszło do naruszeń. Zaufania do ochrony danych przez instytucje publiczne, jakimi są szpitale, ale także prywatne przedsiębiorstwa, nie mają również sami Polacy. Jak wynika z przeprowadzonego w kwietniu przez IMAS International na zlecenie Krajowego Rejestru Długów badania, 54% z nich obawia się, że mogą mieć problem na skutek braku wystarczających zabezpieczeń, niedbałości lub niekompetencji tych, którzy informacje na ich temat przechowują, czyli urzędów i firm.

- Służba zdrowia to drugi po instytucjach finansowych cel ataków hakerów na świecie. W Polsce w szpitalach leczy się rocznie 8-9 mln osób. Każda z nich może stać się nieświadomym kredytobiorcą lub „właścicielem” drogiego telewizora kupionego na raty. Znamy przecież z niedalekiej przeszłości przypadki poważnych wycieków danych z ośrodków medycznych. W grudniu 2019 r. o pomoc do ekspertów serwisu ChronPESEL.pl zwróciła się farmaceutka z województwa zachodniopomorskiego, która otrzymała listowne powiadomienie z Narodowego Funduszu Zdrowia o wycieku danych kierowników kilkuset aptek z tego województwa, w tym ich numerów PESEL. Takich sytuacji jest więcej – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl, partnera Krajowego Rejestru Długów.

Dane z kradzionego komputera

Rok temu w maju wyciekły dane prawie 29 000 pacjentów Prywatnej Praktyki Lekarskiej Specjalisty Medycyny Pracy we Wrocławiu. Można je było znaleźć na niezabezpieczonym serwerze poradni. Widoczne były numery PESEL, adresy i szczegółowe informacje związane z celem badania, np. uzyskaniem orzeczenia do pracy na wysokości dla danego zawodu.

Powodem wycieku nie zawsze musi być jednak brak ostrożności administratorów sieci. Zdarza się, że dochodzi do niego w wyniku pospolitej kradzieży. W listopadzie 2019 r., również we Wrocławiu, zaginęły dane 200 tys. pacjentów oraz pracowników placówki. Wśród nich były imiona, nazwiska, numery PESEL i daty urodzenia. Baza znajdowała się w komputerze firmy zewnętrznej, która obsługiwała szpital w zakresie informatyki.

- Rozwój telemedycyny jest nieunikniony i wskazany. Równolegle z rozwojem usług powinniśmy jednak pracować nad zabezpieczeniem dostępu do danych. Ich utrata wiązać się bowiem może z poważnymi konsekwencjami. W przypadku wycieku, istotna jest postawa instytucji, która była administratorem skradzionych danych. Ostatni przykład Politechniki Warszawskiej, która zareagowała właściwie, pokazuje, jak ważne jest, by od razu poinformować o wydarzeniu oraz zaproponować odpowiednie działania mające na celu zapobiegnięcie skutkom wykorzystania danych. Nie możemy jednak wyłącznie czekać na komunikat z firmy, która przetwarza nasze dane. Dlatego bardzo ważne jest, by oprócz przestrzegania podstawowych zasad bezpieczeństwa, stale monitorować zapytania na swój temat w Krajowym Rejestrze Długów. Tylko wtedy będziemy w stanie szybko zareagować, gdy ktoś spróbuje wykorzystać nasze dane  – dodaje Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Zarówno instytucje finansowe, jak i  firmy pożyczkowe oraz telekomy przed podpisaniem umowy z nowym klientem, weryfikują, czy nie jest notowany w Krajowym Rejestrze Długów, jako osoba zadłużona. Żeby to zrobić muszą najpierw uzyskać naszą pisemną zgodę. Jeśli więc dostaniemy SMS-a, że właśnie sprawdza nas np. jakiś bank, a my w nim nie składaliśmy wniosku o kredyt, to znak że trzeba szybko reagować.

ChronPESEL.pl daje również wsparcie prawne osobom, które padły ofiarą oszusta. W zależności od wybranej opcji zarejestrowany użytkownik platformy otrzyma albo komplet dokumentów wraz z adresami instytucji, do których należy je wysłać, aby nie płacić cudzego kredytu albo pomoc prawnika, który zajmie się tym w jego imieniu.