Menu

Teleporady i brak tajemnicy lekarskiej

O fakcie, że tele­pora­dy nie gwa­ran­towa­ły zacho­wania taje­mni­cy lekar­skiej, a wręcz ją nara­żały pisa­liśmy jakiś czas temu, po tym jak zosta­ły wpro­wadzo­ne. Tele­pora­dy nie są bez­piecz­ne z powo­du poni­żej wymie­nio­nych przy­czyn.

  1. «Usta­wa inwi­gila­cyj­na» naka­zują­ca nagry­wanie wszys­tkich roz­mów tele­fonicz­nych i ich prze­cho­wywa­nie przez rok na serwe­rach tele­komów zagra­ża w ten spo­sób, że wszys­tko to jest prze­cho­wywa­ne i słu­żby oraz rząd pol­ski mają do tego dostęp. Jeże­li będą chcie­li spra­wdzić na co się leczy dana oso­ba – nor­mal­nie musie­liby wystą­pić do przy­cho­dni o doku­men­tację medycz­ną (co przy­cho­dnia ma pra­wo odno­tować). W chwi­li obe­cnej wystar­czy, że odsłu­cha­ją nagra­nia oby­wate­la (z zare­jestro­wanym nume­rem SIM i IMSI) oraz pobio­rą te dane z tele­komu bez niczy­jej wiedzy i uza­sadnia­nia.
  2. Nie było dla nas nowo­ścią, na co zwra­cali­śmy uwa­gę, że wie­le przy­cho­dni infor­muje, że «roz­mowy mogą być nagry­wane». W takiej sytu­acji – sko­ro mogą – powin­niśmy też my jako pacjen­ci nagry­wać, bowiem dosta­liśmy na to zgo­dę (roz­mowy mogą być nagry­wane). Komu­nikat ten jednak naj­czę­ściej nie tyl­ko nam pozwa­la nagry­wać ale i dru­giej stro­nie – przy­cho­dni. W ten spo­sób #taje­mni­ca lekar­ska z tele­pora­dy dosta­je się w ręce bli­żej nie­zna­nej nam licz­bie osób w recep­cji przy­cho­dni, pod­czas gdy z taje­mni­cy lekar­skiej ma pra­wo zwol­nić tyl­ko sąd i sam pacjent wła­sną wolą!
  3. Zazna­cza­liśmy też wie­lokrot­nie, że #tele­pora­da nie jest w sta­nie zastą­pić kon­sul­tacji lekar­skiej. Pacjen­ci wie­lu obja­wów nie zauwa­żają, któ­re zauwa­ży lekarz pod­czas zwy­kłej wizy­ty i wysu­nie podej­rze­nie istnie­nia cho­roby i zle­ci bada­nia. Pora­dy przez tele­fon są więc mało warto­ścio­we i ryzy­kowne.

Nie sądzi­liśmy jednak, że doj­dzie do wię­ksze­go nadu­życia – nagry­wania roz­mów przez tele­medi.co. Nagry­wanie roz­mów nie jest potrzeb­ne do celu świad­cze­nia usłu­gi tele­pora­dy. Wyma­gane jest tyl­ko prze­kaza­nie kawa­łka wypo­wiedzi od leka­rza do pacjen­ta i w stro­nę odwrot­ną i dane te powin­ny naty­chmia­sto­wo być kaso­wane. Nie­ste­ty tak się nie sta­ło i w przy­pad­ku 29 osób (pra­wdzi­wa ska­la nie jest zna­na) – roz­mowy te zosta­ły roz­powszech­nio­ne, zaś w przy­pad­ku pozo­sta­łych osób – są dalej prze­cho­wywa­ne i gro­żą dal­szym wycie­kiem. Jeże­li nie poprzez błę­dy w syste­mie, to poprzez nadu­życie upra­wnień na przy­kład po stro­nie obsłu­gi tech­nicz­nej serwe­rów.

Aby tego było mało wyni­ki badań na #koro­nawi­rusa rząd posta­nowił wysy­łać spa­kowa­ne ZIP‑em i «zabez­pie­czo­ne» nume­rem PESEL (siła takie­go hasła to 1 do 100 milio­nów – bowiem tyle jest realnych nume­rów PESEL, a ilość urodzo­nych w danym dniu dzie­ci jest publicz­na, a nume­ry PESEL nada­wane są kolej­no pomi­jając pole płci i sumę kon­trol­ną). W ten spo­sób z wyni­kiem mógł się zapo­znać każdy, kto zna PESEL danej oso­by (pra­coda­wca, rodzi­na, ban­ki i inne insty­tucje).

Jednak tutaj nie jest koniec tej tra­giko­medii, jaką jest infor­maty­zacja usług w Pol­sce (rak, a nie nowo­cze­sność!). Gdy­by nie fakt, że doku­men­tacja medycz­na i rece­pty są obe­cnie pro­wadzo­ne w for­mie elek­tro­nicz­nej – pra­wdo­podob­nie by nie wycie­kły, a na pewno wyciek danych miał­by mniej­szy zasięg ogra­niczo­ny co naj­wyżej do jednej przy­cho­dni. Tym oto spo­sobem każdy kto korzy­stał z leka­rzon­line.eu padł ofia­rą wycie­ku infor­macji takich jak:

  • imię, nazwi­sko, PESEL (i inne dane oso­bowe, w tym kon­takto­we),
  • doku­men­tacja medycz­na (czy­li infor­macja o wszys­tkich cho­robach oso­by korzy­sta­jącej, wywia­dy medycz­ne, wyni­ki badań),
  • treść zaświad­czeń i skie­rowań lekar­skich,
  • treść recept,
  • kse­roko­pie doku­men­tów z różnych przy­cho­dni.

Nauczką dla rzą­du powin­no być to zda­rze­nie. Sko­ro wycie­kają dane z różnych syste­mów infor­matycz­nych (w tym PUE/ZUS, ePUAP itp.) ozna­cza, że tech­nolo­gia elek­tro­nicz­na jest dziu­rawa przez pro­jekt («by design») oraz domyśl­nie («by default»). W posta­ci elek­tro­nicz­nej można prze­cho­wywać dane zaszy­fro­wane (owszem – również doku­men­tację medycz­ną) pod warun­kiem, że klucz pozwa­lają­cy odczy­tać te dane oraz dane pacjen­ta będą prze­cho­wywa­ne w for­mie papie­rowej. Każdo­razo­we dosta­nie się do doku­men­tacji medycz­nej powin­no wyma­gać wpro­wadze­nia tego klu­cza jako hasła i każdo­razo­wo powin­no nastę­pować tym­cza­sowe odszy­fro­wanie w pamię­ci RAM każdej z tych infor­macji.

Wte­dy wyciek danych elek­tro­nicz­nych był­by nie­groź­ny, zaś dane te mogły­by wła­ści­wie być prze­cho­wywa­ne publicz­nie w for­mie zaszy­fro­wanej. Korzyść dla złodziei danych, ubez­pie­czy­cie­li i różnej maści prze­stę­pców kra­dną­cych toż­samość ludzi i zacią­gają­cych na nich pożycz­ki była­by żadna, bowiem nie mie­liby klu­cza do odszy­fro­wania tych infor­macji.

Do prze­cho­wywa­nia tak wra­żli­wych danych jak lista cho­rób – zale­camy sto­sowa­nie mocnych szy­frów do tej pory nie zła­manych, doda­nie nadmia­rowych baj­tów z loso­wymi warto­ścia­mi do infor­macji wła­ści­wej i uży­cie klu­czy o dłu­gości mini­mum 1024 bitów, a jeże­li wydaj­ność temu nie prze­szkadza – 4096­‑bito­wych.

Karta pacjen­ta (papie­rowa) zawie­rała­by wte­dy PESEL, imię, nazwi­sko oraz wspo­mnia­ny klucz szy­fru­jący.

Sku­tki dla osób trans

Jeże­li jesteś oso­bą trans i wyko­nywa­ne były tele­pora­dy w NFZ (tele­medi.co) lub też korzy­stasz z porta­li upa­cjen­ta.pl oraz leka­rzon­line.eu – two­ja lista cho­rób, zabu­rzeń, tego, że jesteś trans – może być publicz­na lub dostę­pna w dar­kne­cie wraz z twoim miej­scem zamie­szka­nia, imie­niem, nazwi­skiem i nume­rem PESEL.

Na zakoń­cze­nie:

Nie istnie­je ani jeden system elek­tro­nicz­ny onli­ne, któ­ry jest bez­piecz­ny.

Syste­my infor­matycz­ne mogą posia­dać luki na pozio­mie:

  • syste­mu ope­racyj­nego (wszys­tkie syste­my mają zna­ne lub nie­zna­ne podat­ności);
  • apli­kacji, któ­ra reali­zuje usłu­gę;
  • opro­gra­mowa­nia serwe­rowe­go;
  • back­doory wbu­dowa­ne w nie­któ­re pro­ceso­ry i urzą­dze­nia (Spec­tree, Melt­down, Spe­cula­tive Sto­re Bypass) – te potra­fią umo­żli­wić czy­tanie pamię­ci maszyn wirtu­alnych z innych maszyn wirtu­alnych, a więc aby dane takie odczy­tać czę­sto wystar­czy «odpo­wie­dnio napi­sany pro­gram» i wyku­pie­nie usłu­gi u tego same­go dosta­wcy serwe­rowe­go;
  • coraz niż­szy poziom kształ­cenia stu­den­tów pro­gra­mowa­nia i uży­wanie zna­nych biblio­tek; te gdy sta­ną się dziu­rawe – sta­je się dziu­rawa zbu­dowa­na na nich apli­kacja, a mno­gość uży­cia biblio­tek zachę­ca zaró­wno do szu­kania luk jak i two­rze­nia kolej­nych pod przy­kry­wką aktu­ali­zacji;
  • możli­wej korup­cji firm odpo­wiedzial­nych za poszcze­gól­ne ele­men­ty syste­mu.
Zamknij Przewiń w górę Przewiń w dół