Menu

Teleporady i brak tajemnicy lekarskiej

O fakcie, że tele­porady nie gwarantowały zachowa­nia tajemnicy lekar­skiej, a wręcz ją narażały pisaliśmy jakiś czas temu, po tym jak zostały wprowa­dzone. Tele­porady nie są bez­pieczne z powodu poniżej wymie­nionych przy­czyn.

  1. «Ustawa inwigilacyjna» nakazująca nagrywa­nie wszystkich roz­mów tele­fonicznych i ich prze­chowywa­nie przez rok na serwerach tele­komów zagraża w ten sposób, że wszystko to jest prze­chowywa­ne i służby oraz rząd pol­ski mają do tego dostęp. Jeżeli będą chcieli sprawdzić na co się leczy dana osoba – normalnie musieliby wystąpić do przy­chodni o dokumenta­cję medyczną (co przy­chodnia ma prawo odnotować). W chwili obecnej wystarczy, że odsłuchają nagra­nia obywatela (z zarejestrowa­nym numerem SIM i IMSI) oraz pobiorą te dane z tele­komu bez niczyjej wiedzy i uzasadnia­nia.
  2. Nie było dla nas nowo­ścią, na co zwracaliśmy uwagę, że wiele przy­chodni informuje, że «roz­mowy mogą być nagrywa­ne». W takiej sytua­cji – skoro mogą – powinniśmy też my jako pacjenci nagrywać, bowiem dostaliśmy na to zgodę (roz­mowy mogą być nagrywa­ne). Komunikat ten jednak naj­częściej nie tylko nam pozwala nagrywać ale i drugiej stronie – przy­chodni. W ten sposób #tajemnica lekar­ska z tele­porady dostaje się w ręce bliżej nie­zna­nej nam liczbie osób w recep­cji przy­chodni, podczas gdy z tajemnicy lekar­skiej ma prawo zwolnić tylko sąd i sam pacjent własną wolą!
  3. Zaznaczaliśmy też wielo­krotnie, że #tele­porada nie jest w sta­nie zastąpić konsulta­cji lekar­skiej. Pacjenci wielu objawów nie zauważają, które zauważy lekarz podczas zwykłej wizyty i wysunie podejrze­nie istnie­nia choroby i zleci bada­nia. Porady przez tele­fon są więc mało wartoś­ciowe i ryzykowne.

Nie sądziliśmy jednak, że dojdzie do większego nadużycia – nagrywa­nia roz­mów przez tele­medi.co. Nagrywa­nie roz­mów nie jest potrzebne do celu świadcze­nia usługi tele­porady. Wymaga­ne jest tylko prze­kaza­nie kawałka wypowiedzi od lekarza do pacjenta i w stronę odwrotną i dane te powinny natychmiastowo być kasowa­ne. Nie­stety tak się nie stało i w przy­padku 29 osób (prawdziwa skala nie jest zna­na) – roz­mowy te zostały roz­powszech­nione, zaś w przy­padku pozostałych osób – są dalej prze­chowywa­ne i grożą dalszym wyciekiem. Jeżeli nie poprzez błędy w systemie, to poprzez nadużycie uprawnień na przy­kład po stronie obsługi technicznej serwerów.

Aby tego było mało wyniki badań na #koronawirusa rząd postanowił wysyłać spakowa­ne ZIP‑em i «zabez­pie­czone» numerem PESEL (siła takiego hasła to 1 do 100 milionów – bowiem tyle jest realnych numerów PESEL, a ilość uro­dzonych w danym dniu dzieci jest publiczna, a numery PESEL nadawa­ne są kolejno pomijając pole płci i sumę kontrolną). W ten sposób z wynikiem mógł się zapoznać każdy, kto zna PESEL danej osoby (pracodawca, rodzina, banki i inne instytu­cje).

Jednak tutaj nie jest koniec tej tragikomedii, jaką jest informatyza­cja usług w Polsce (rak, a nie nowo­czes­ność!). Gdyby nie fakt, że dokumenta­cja medyczna i recepty są obecnie prowa­dzone w formie elektro­nicznej – prawdopodobnie by nie wyciekły, a na pewno wyciek danych miałby mniejszy zasięg ograni­czony co naj­wyżej do jednej przy­chodni. Tym oto sposobem każdy kto korzystał z lekarzonline.eu padł ofiarą wycieku informa­cji takich jak:

  • imię, nazwisko, PESEL (i inne dane oso­bowe, w tym kontak­towe),
  • dokumenta­cja medyczna (czyli informa­cja o wszystkich chorobach osoby korzystającej, wywiady medyczne, wyniki badań),
  • treść zaświadczeń i skierowań lekar­skich,
  • treść recept,
  • kserokopie dokumentów z różnych przy­chodni.

Naucz­ką dla rządu powinno być to zdarze­nie. Skoro wyciekają dane z różnych systemów informatycznych (w tym PUE/ZUS, ePUAP itp.) oznacza, że techno­logia elektro­niczna jest dziurawa przez projekt («by design») oraz domyślnie («by default»). W postaci elektro­nicznej można prze­chowywać dane zaszyfrowa­ne (owszem – również dokumenta­cję medyczną) pod warunkiem, że klucz pozwalający odczytać te dane oraz dane pacjenta będą prze­chowywa­ne w formie papie­rowej. Każdora­zowe dosta­nie się do dokumenta­cji medycznej powinno wymagać wprowadze­nia tego klucza jako hasła i każdorazowo powinno następować tymcza­sowe odszyfrowa­nie w pamięci RAM każdej z tych informa­cji.

Wtedy wyciek danych elektro­nicznych byłby nie­groźny, zaś dane te mogłyby właściwie być prze­chowywa­ne publicznie w formie zaszyfrowa­nej. Korzyść dla złodziei danych, ubez­pieczycieli i różnej maści prze­stępców kradnących tożsa­mość ludzi i zaciągających na nich pożycz­ki byłaby żadna, bowiem nie mieliby klucza do odszyfrowa­nia tych informa­cji.

Do prze­chowywa­nia tak wrażliwych danych jak lista chorób – zalecamy stosowa­nie mocnych szyfrów do tej pory nie złama­nych, doda­nie nadmia­rowych bajtów z losowymi war­tościami do informa­cji właściwej i użycie kluczy o dłu­go­ści minimum 1024 bitów, a jeżeli wydaj­ność temu nie prze­szkadza – 4096­‑bitowych.

Karta pacjenta (papie­rowa) zawierałaby wtedy PESEL, imię, nazwisko oraz wspomnia­ny klucz szyfrujący.

Skutki dla osób trans

Jeżeli jesteś osobą trans i wykonywa­ne były tele­porady w NFZ (tele­medi.co) lub też korzystasz z portali upacjenta.pl oraz lekarzonline.eu – twoja lista chorób, zaburzeń, tego, że jesteś trans – może być publiczna lub dostępna w darknecie wraz z twoim miejscem zamieszka­nia, imie­niem, nazwiskiem i numerem PESEL.

Na zakończe­nie:

Nie istnieje ani jeden system elektro­niczny online, który jest bez­pieczny.

Systemy informatyczne mogą posiadać luki na poziomie:

  • systemu operacyjnego (wszystkie systemy mają zna­ne lub nie­zna­ne podat­ności);
  • aplika­cji, która realizuje usługę;
  • oprogramowa­nia serwe­rowego;
  • backdoory wbudowa­ne w nie­które procesory i urządze­nia (Spectree, Meltdown, Speculative Store Bypass) – te potrafią umożliwić czyta­nie pamięci maszyn wirtualnych z innych maszyn wirtualnych, a więc aby dane takie odczytać często wystarczy «odpowiednio napisa­ny program» i wykupie­nie usługi u tego samego dostawcy serwe­rowego;
  • coraz niższy poziom kształce­nia studentów programowa­nia i używa­nie zna­nych bibliotek; te gdy staną się dziurawe – staje się dziurawa zbudowa­na na nich aplika­cja, a mno­gość użycia bibliotek zachęca zarówno do szuka­nia luk jak i tworze­nia kolejnych pod przy­krywką aktualiza­cji;
  • możliwej korup­cji firm odpowiedzialnych za poszcze­gólne elementy systemu.
Zamknij Przewiń w górę Przewiń w dół