Išankstinės registracijos sistemoje kaitaliojant skaitmenis adreso eilutėje buvo galima sužinoti, koks pacientas pas kokį gydytoją registruojasi: pateikiamas asmens vardas ir pavardė, asmens kodas, sveikatos istorijos numeris, taip pat duomenys, kuriuos ir šiaip nesunku įsivertinti pagal asmens kodą: amžius, lytis, gimimo data.
Kartu buvo nurodoma, pas kokį gydytoją asmuo registravosi, kuriai dienai ir kuriai valandai, koks yra gydytojo darbovietės adresas. Pagal šiuos duomenis atsiranda galimybė nuspėti, su kokiais sveikatos sunkumais susiduria pacientas.
„Registrų centro“ atstovas spaudai Mindaugas Samkus 15min informavo, kad gavus informaciją apie šią saugumo spragą pacientų išankstinio registravimo sistema buvo skubiai išjungta: „Gavus informacijos apie galimą saugumo spragą, laikinai stabdoma Išankstinės pacientų registracijos informacinė sistema (IPR IS). Šiuo metu Registrų centro specialistai aiškinasi situaciją, galimos spragos atsiradimo priežastis“, – rašė jis.
M.Samkaus teigimu, jau imtasi veiksmų duomenų apsaugos spragai pašalinti ir tikimasi, kad pacientų išankstinio registravimo sistema vėl veiks artimiausiu metu.
Primename, kad tai jau nebe pirma panašaus pobūdžio „E.sveikatos“ sistemoje surasta klaida. 2018 m. vasarą kibernetinio saugumo ekspertas Darius Povilaitis aptiko ir paviešino kitą panašią spragą, leidusią sužinoti tokius duomenis, kaip paciento vardas, asmens kodas, registracijos kodas vidinėje e.sveikatos sistemoje, šeiminė padėtis, gyvenamosios vietos registravimo adresas, susijusių asmenų registracijos kodai vidinėje e.sveikatos sistemoje, taip pat – paciento ir susijusių asmenų telefono numeriai bei elektroninio pašto adresai, jeigu tokie duomenys yra įvesti į sistemą. Už šios spragos paviešinimą prieš kibernetinio saugumo ekspertą buvo pradėtas ikiteisminis tyrimas.
Spraga užtaisyta, sistema vėl veikia
Antradienį apie 15:45 Registrų centras informavo, kad išankstinė pacientų registravimo sistema vėl veikia.
„Išankstinės pacientų registracijos informacinės sistemos (IPR IS) saugumo spraga yra panaikinta, sistemos veikla atnaujinta.
Šiuo metu įmonė turi duomenų tik apie du atvejus, kai tretiesiems asmenims buvo prieinami asmens duomenys. Asmenys, kurių duomenys buvo atskleisti tretiesiems asmenims, apie tai informuoti nustatyta tvarka. Informacija apie saugumo spragą paskelbta ir portale esveikata.lt, pateikiant kontaktus, kuriais asmenys gali kreiptis, turėdami klausimų, susijusių su minėtų pažeidimu.
Gavus informacijos apie galimą saugumo spragą, buvo nedelsiant laikinai sustabdyta išorės vartotojų prieiga prie IPR IS. Šis sistemos stabdymas neturėjo įtakos sistema besinaudojančioms sveikatos priežiūros įstaigoms.
Šis atvejis parodė, kad dar reikės daug laiko, kol iki galo bus sutvarkyta tokio sudėtingumo, apimties ir kompleksiškumo sistema kaip E. sveikata su visa jos kūrimo istorija.
E.sveikatos sistema (ESPBI IS), kurios valdytojas yra Sveikatos apsaugos ministerija, pradėta kurti 2012 metais, baigta kurti 2015 metais. Nuo 2018 m. pabaigos, pasibaigus garantiniam priežiūros laikotarpiui, Registrų centras tapo savarankišku ir tiesioginiu sistemos prižiūrėtoju.
Įgyvendindamas tvarkytojo funkcijas, Registrų centras vadovaujasi sistemos valdytojo – Sveikatos apsaugos ministerijos – nustatytomis taisyklėmis ir tvarkomis, nuolat teikia pasiūlymus dėl sistemos tobulinimo, atnaujinimo ir greitaveikos didinimo.
Registrų centras atsiprašo vartotojų už sukeltus laikinus nepatogumus“, - 15min rašė valstybinės įmonės atstovas spaudai M.Samkus.
Valstybinės duomenų apsaugos inspekcijos komentaras
„Pagal Bendrajame duomenų apsaugos reglamente (toliau – BDAR) įtvirtintą vientisumo ir konfidencialumo principą, asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo. Asmens duomenų saugumo užtikrinimo techninės ir organizacinės priemonės pasirenkamos atsižvelgiant „į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms“, t. y. kiekvienas duomenų valdytojas ir duomenų tvarkytojas saugumo priemones turi pasirinkti savarankiškai, įvertinę savo veiklos pobūdį ir modelį. Tai yra duomenų valdytojui ir duomenų tvarkytojams iš BDAR įtvirtinto atskaitomybės principo kylanti pareiga.
Tais atvejais, kai asmens duomenų saugumas nėra užtikrinamas arba nėra tinkamai užtikrinamas, pvz., asmens duomenys prarandami, be leidimo atskleidžiami ir kt., tai, priklausomai nuo konkretaus atvejo aplinkybių, būtų laikoma asmens duomenų saugumo pažeidimu.
Atkreipiame dėmesį, kad Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) be išsamaus situacijos įvertinimo išankstinės nuomonės apie galimai įvykusį asmens duomenų saugumo pažeidimą ir jo pasekmes negali pateikti. Inspekcija vykdydama BDAR stebėseną ir siekdama išsiaiškinti šios situacijos aplinkybes, savo iniciatyva kreipsis į Išankstinės pacientų registracijos informacinės sistemos duomenų valdytoją ir duomenų tvarkytoją.
Papildomai informuojame, kad Inspekcija už BDAR pažeidimus gali imtis šių taisomųjų veiksmų (priklausomai nuo konkretaus atvejo aplinkybių): įspėti, pareikšti papeikimą, teikti nurodymus, apriboti arba uždrausti duomenų tvarkymą, skirti administracinę baudą iki 1 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu šešiasdešimt tūkstančių eurų ir kt.“, - situaciją pakomentavo Valstybinė duomenų apsaugos inspekcija.