Menu

Teleporady i brak tajemnicy lekarskiej

O fakcie, że teleporady nie gwarantowały zachowania tajemnicy lekarskiej, a wręcz ją narażały pisaliśmy jakiś czas temu, po tym jak zostały wprowadzone. Teleporady nie są bezpieczne z powodu poniżej wymienionych przyczyn.

  1. «Ustawa inwigilacyjna» nakazująca nagrywanie wszystkich rozmów telefonicznych i ich przechowywanie przez rok na serwerach telekomów zagraża w ten sposób, że wszystko to jest przechowywane i służby oraz rząd polski mają do tego dostęp. Jeżeli będą chcieli sprawdzić na co się leczy dana osoba – normalnie musieliby wystąpić do przychodni o dokumentację medyczną (co przychodnia ma prawo odnotować). W chwili obecnej wystarczy, że odsłuchają nagrania obywatela (z zarejestrowanym numerem SIM i IMSI) oraz pobiorą te dane z telekomu bez niczyjej wiedzy i uzasadniania.
  2. Nie było dla nas nowością, na co zwracaliśmy uwagę, że wiele przychodni informuje, że «rozmowy mogą być nagrywane». W takiej sytuacji – skoro mogą – powinniśmy też my jako pacjenci nagrywać, bowiem dostaliśmy na to zgodę (rozmowy mogą być nagrywane). Komunikat ten jednak najczęściej nie tylko nam pozwala nagrywać ale i drugiej stronie – przychodni. W ten sposób #tajemnica lekarska z teleporady dostaje się w ręce bliżej nieznanej nam liczbie osób w recepcji przychodni, podczas gdy z tajemnicy lekarskiej ma prawo zwolnić tylko sąd i sam pacjent własną wolą!
  3. Zaznaczaliśmy też wielokrotnie, że #teleporada nie jest w stanie zastąpić konsultacji lekarskiej. Pacjenci wielu objawów nie zauważają, które zauważy lekarz podczas zwykłej wizyty i wysunie podejrzenie istnienia choroby i zleci badania. Porady przez telefon są więc mało wartościowe i ryzykowne.

Nie sądziliśmy jednak, że dojdzie do większego nadużycia – nagrywania rozmów przez telemedi.co. Nagrywanie rozmów nie jest potrzebne do celu świadczenia usługi teleporady. Wymagane jest tylko przekazanie kawałka wypowiedzi od lekarza do pacjenta i w stronę odwrotną i dane te powinny natychmiastowo być kasowane. Niestety tak się nie stało i w przypadku 29 osób (prawdziwa skala nie jest znana) – rozmowy te zostały rozpowszechnione, zaś w przypadku pozostałych osób – są dalej przechowywane i grożą dalszym wyciekiem. Jeżeli nie poprzez błędy w systemie, to poprzez nadużycie uprawnień na przykład po stronie obsługi technicznej serwerów.

Aby tego było mało wyniki badań na #koronawirusa rząd postanowił wysyłać spakowane ZIP‑em i «zabezpieczone» numerem PESEL (siła takiego hasła to 1 do 100 milionów – bowiem tyle jest realnych numerów PESEL, a ilość urodzonych w danym dniu dzieci jest publiczna, a numery PESEL nadawane są kolejno pomijając pole płci i sumę kontrolną). W ten sposób z wynikiem mógł się zapoznać każdy, kto zna PESEL danej osoby (pracodawca, rodzina, banki i inne instytucje).

Jednak tutaj nie jest koniec tej tragikomedii, jaką jest informatyzacja usług w Polsce (rak, a nie nowoczesność!). Gdyby nie fakt, że dokumentacja medyczna i recepty są obecnie prowadzone w formie elektronicznej – prawdopodobnie by nie wyciekły, a na pewno wyciek danych miałby mniejszy zasięg ograniczony co najwyżej do jednej przychodni. Tym oto sposobem każdy kto korzystał z lekarzonline.eu padł ofiarą wycieku informacji takich jak:

  • imię, nazwisko, PESEL (i inne dane osobowe, w tym kontaktowe),
  • dokumentacja medyczna (czyli informacja o wszystkich chorobach osoby korzystającej, wywiady medyczne, wyniki badań),
  • treść zaświadczeń i skierowań lekarskich,
  • treść recept,
  • kserokopie dokumentów z różnych przychodni.

Nauczką dla rządu powinno być to zdarzenie. Skoro wyciekają dane z różnych systemów informatycznych (w tym PUE/ZUS, ePUAP itp.) oznacza, że technologia elektroniczna jest dziurawa przez projekt («by design») oraz domyślnie («by default»). W postaci elektronicznej można przechowywać dane zaszyfrowane (owszem – również dokumentację medyczną) pod warunkiem, że klucz pozwalający odczytać te dane oraz dane pacjenta będą przechowywane w formie papierowej. Każdorazowe dostanie się do dokumentacji medycznej powinno wymagać wprowadzenia tego klucza jako hasła i każdorazowo powinno następować tymczasowe odszyfrowanie w pamięci RAM każdej z tych informacji.

Wtedy wyciek danych elektronicznych byłby niegroźny, zaś dane te mogłyby właściwie być przechowywane publicznie w formie zaszyfrowanej. Korzyść dla złodziei danych, ubezpieczycieli i różnej maści przestępców kradnących tożsamość ludzi i zaciągających na nich pożyczki byłaby żadna, bowiem nie mieliby klucza do odszyfrowania tych informacji.

Do przechowywania tak wrażliwych danych jak lista chorób – zalecamy stosowanie mocnych szyfrów do tej pory nie złamanych, dodanie nadmiarowych bajtów z losowymi wartościami do informacji właściwej i użycie kluczy o długości minimum 1024 bitów, a jeżeli wydajność temu nie przeszkadza – 4096­‑bitowych.

Karta pacjenta (papierowa) zawierałaby wtedy PESEL, imię, nazwisko oraz wspomniany klucz szyfrujący.

Skutki dla osób trans

Jeżeli jesteś osobą trans i wykonywane były teleporady w NFZ (telemedi.co) lub też korzystasz z portali upacjenta.pl oraz lekarzonline.eu – twoja lista chorób, zaburzeń, tego, że jesteś trans – może być publiczna lub dostępna w darknecie wraz z twoim miejscem zamieszkania, imieniem, nazwiskiem i numerem PESEL.

Na zakończenie:

Nie istnieje ani jeden system elektroniczny online, który jest bezpieczny.

Systemy informatyczne mogą posiadać luki na poziomie:

  • systemu operacyjnego (wszystkie systemy mają znane lub nieznane podatności);
  • aplikacji, która realizuje usługę;
  • oprogramowania serwerowego;
  • backdoory wbudowane w niektóre procesory i urządzenia (Spectree, Meltdown, Speculative Store Bypass) – te potrafią umożliwić czytanie pamięci maszyn wirtualnych z innych maszyn wirtualnych, a więc aby dane takie odczytać często wystarczy «odpowiednio napisany program» i wykupienie usługi u tego samego dostawcy serwerowego;
  • coraz niższy poziom kształcenia studentów programowania i używanie znanych bibliotek; te gdy staną się dziurawe – staje się dziurawa zbudowana na nich aplikacja, a mnogość użycia bibliotek zachęca zarówno do szukania luk jak i tworzenia kolejnych pod przykrywką aktualizacji;
  • możliwej korupcji firm odpowiedzialnych za poszczególne elementy systemu.
Zamknij Przewiń w górę Przewiń w dół