2021 01 12 /2021 01 13

„Registrų centre“ – vėl apsiniaukę: „E.sveikata“ atvirai dalino bet kurių pacientų asmens duomenis ir jų informaciją apie apsilankymus pas gydytojus

15min skaitytojas redakcijai atsiuntė informacijos, kad valstybinės įmonės „Registrų centras“ tvarkomoje „E.Sveikatos“ sistemoje žioji milžiniška saugumo spraga: prie sistemos prisijungę naudotojai gali netrukdomai ir neribotai peržiūrėti bet kurių kitų pacientų išankstinės registracijos pas gydytojus duomenis.
Registrų centras
Registrų centras / Žygimanto Gedvilos / BNS nuotr.

Išankstinės registracijos sistemoje kaitaliojant skaitmenis adreso eilutėje buvo galima sužinoti, koks pacientas pas kokį gydytoją registruojasi: pateikiamas asmens vardas ir pavardė, asmens kodas, sveikatos istorijos numeris, taip pat duomenys, kuriuos ir šiaip nesunku įsivertinti pagal asmens kodą: amžius, lytis, gimimo data.

Kartu buvo nurodoma, pas kokį gydytoją asmuo registravosi, kuriai dienai ir kuriai valandai, koks yra gydytojo darbovietės adresas. Pagal šiuos duomenis atsiranda galimybė nuspėti, su kokiais sveikatos sunkumais susiduria pacientas.

„e-Sveikatos“ sistemoje atskleidžiami asmens duomenys
„e-Sveikatos“ sistemoje atskleidžiami asmens duomenys
„e-Sveikatos“ sistemoje atskleidžiami asmens duomenys
„e-Sveikatos“ sistemoje atskleidžiami asmens duomenys

„Registrų centro“ atstovas spaudai Mindaugas Samkus 15min informavo, kad gavus informaciją apie šią saugumo spragą pacientų išankstinio registravimo sistema buvo skubiai išjungta: „Gavus informacijos apie galimą saugumo spragą, laikinai stabdoma Išankstinės pacientų registracijos informacinė sistema (IPR IS). Šiuo metu Registrų centro specialistai aiškinasi situaciją, galimos spragos atsiradimo priežastis“, – rašė jis.

M.Samkaus teigimu, jau imtasi veiksmų duomenų apsaugos spragai pašalinti ir tikimasi, kad pacientų išankstinio registravimo sistema vėl veiks artimiausiu metu.

Primename, kad tai jau nebe pirma panašaus pobūdžio „E.sveikatos“ sistemoje surasta klaida. 2018 m. vasarą kibernetinio saugumo ekspertas Darius Povilaitis aptiko ir paviešino kitą panašią spragą, leidusią sužinoti tokius duomenis, kaip paciento vardas, asmens kodas, registracijos kodas vidinėje e.sveikatos sistemoje, šeiminė padėtis, gyvenamosios vietos registravimo adresas, susijusių asmenų registracijos kodai vidinėje e.sveikatos sistemoje, taip pat – paciento ir susijusių asmenų telefono numeriai bei elektroninio pašto adresai, jeigu tokie duomenys yra įvesti į sistemą. Už šios spragos paviešinimą prieš kibernetinio saugumo ekspertą buvo pradėtas ikiteisminis tyrimas.

Spraga užtaisyta, sistema vėl veikia

Antradienį apie 15:45 Registrų centras informavo, kad išankstinė pacientų registravimo sistema vėl veikia.

„Išankstinės pacientų registracijos informacinės sistemos (IPR IS) saugumo spraga yra panaikinta, sistemos veikla atnaujinta.

Šiuo metu įmonė turi duomenų tik apie du atvejus, kai tretiesiems asmenims buvo prieinami asmens duomenys. Asmenys, kurių duomenys buvo atskleisti tretiesiems asmenims, apie tai informuoti nustatyta tvarka. Informacija apie saugumo spragą paskelbta ir portale esveikata.lt, pateikiant kontaktus, kuriais asmenys gali kreiptis, turėdami klausimų, susijusių su minėtų pažeidimu.

Gavus informacijos apie galimą saugumo spragą, buvo nedelsiant laikinai sustabdyta išorės vartotojų prieiga prie IPR IS. Šis sistemos stabdymas neturėjo įtakos sistema besinaudojančioms sveikatos priežiūros įstaigoms.

Šis atvejis parodė, kad dar reikės daug laiko, kol iki galo bus sutvarkyta tokio sudėtingumo, apimties ir kompleksiškumo sistema kaip E. sveikata su visa jos kūrimo istorija.

E.sveikatos sistema (ESPBI IS), kurios valdytojas yra Sveikatos apsaugos ministerija, pradėta kurti 2012 metais, baigta kurti 2015 metais. Nuo 2018 m. pabaigos, pasibaigus garantiniam priežiūros laikotarpiui, Registrų centras tapo savarankišku ir tiesioginiu sistemos prižiūrėtoju.

Įgyvendindamas tvarkytojo funkcijas, Registrų centras vadovaujasi sistemos valdytojo – Sveikatos apsaugos ministerijos – nustatytomis taisyklėmis ir tvarkomis, nuolat teikia pasiūlymus dėl sistemos tobulinimo, atnaujinimo ir greitaveikos didinimo.

Registrų centras atsiprašo vartotojų už sukeltus laikinus nepatogumus“, - 15min rašė valstybinės įmonės atstovas spaudai M.Samkus.

Valstybinės duomenų apsaugos inspekcijos komentaras

„Pagal Bendrajame duomenų apsaugos reglamente (toliau – BDAR) įtvirtintą vientisumo ir konfidencialumo principą, asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo. Asmens duomenų saugumo užtikrinimo techninės ir organizacinės priemonės pasirenkamos atsižvelgiant „į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms“, t. y. kiekvienas duomenų valdytojas ir duomenų tvarkytojas saugumo priemones turi pasirinkti savarankiškai, įvertinę savo veiklos pobūdį ir modelį. Tai yra duomenų valdytojui ir duomenų tvarkytojams iš BDAR įtvirtinto atskaitomybės principo kylanti pareiga.

Tais atvejais, kai asmens duomenų saugumas nėra užtikrinamas arba nėra tinkamai užtikrinamas, pvz., asmens duomenys prarandami, be leidimo atskleidžiami ir kt., tai, priklausomai nuo konkretaus atvejo aplinkybių, būtų laikoma asmens duomenų saugumo pažeidimu.

Atkreipiame dėmesį, kad Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) be išsamaus situacijos įvertinimo išankstinės nuomonės apie galimai įvykusį asmens duomenų saugumo pažeidimą ir jo pasekmes negali pateikti. Inspekcija vykdydama BDAR stebėseną ir siekdama išsiaiškinti šios situacijos aplinkybes, savo iniciatyva kreipsis į Išankstinės pacientų registracijos informacinės sistemos duomenų valdytoją ir duomenų tvarkytoją.

Papildomai informuojame, kad Inspekcija už BDAR pažeidimus gali imtis šių taisomųjų veiksmų (priklausomai nuo konkretaus atvejo aplinkybių): įspėti, pareikšti papeikimą, teikti nurodymus, apriboti arba uždrausti duomenų tvarkymą, skirti administracinę baudą iki 1 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu šešiasdešimt tūkstančių eurų ir kt.“, - situaciją pakomentavo Valstybinė duomenų apsaugos inspekcija.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų
Reklama
Išskirtinės „Lidl“ ir „Maisto banko“ kalėdinės akcijos metu buvo paaukota produktų už daugiau nei 75 tūkst. eurų
Akiratyje – žiniasklaida: tradicinės žiniasklaidos ateitis