Szybka reakcja na incydent bezpieczeństwa | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

czerwono pomarańczowy wykrzyknik w trójkącie

Szybka reakcja na incydent bezpieczeństwa

19 kwietnia 2025 roku CSIRT CeZ przyjął zgłoszenie dotyczące dostępu do cudzych dokumentów medycznych. Analiza incydentu wykazała, że wynikło to z problemów w systemie przechowywania danych jednego ze świadczeniodawców, przekazujących informacje do systemu P1.

Wewnętrzny Zespół Cyberbezpieczeństwa oraz CSIRT CeZ dbają o bezpieczeństwo systemów, którymi zarządza Centrum. Dlatego wykrycie każdego potencjalnego zagrożenia jest traktowane priorytetowo i poddane drobiazgowej analizie. 

Na czym polegała zgłoszona podatność systemu

Osoba zgłaszająca incydent wskazał możliwość manipulacji adresem URL w przeglądarce internetowej podczas korzystania z aplikacji Internetowe Konto Pacjenta (IKP). W specyficznych, ściśle określonych warunkach mogło to prowadzić do nadużycia błędnie skonfigurowanego repozytorium w podmiocie, a tym samym nieuprawnionego dostępu do dokumentacji medycznej (EDM) innych użytkowników udostępnianych przez ten podmiot. 

Co wykazała analiza incydentu

Wstępne ustalenia wskazują, że problem nie leżał po stronie aplikacji IKP ani systemu e-zdrowie (P1), lecz w sposobie implementacji i konfiguracji zewnętrznego systemu repozytorium danych po stronie podmiotu. 

Zewnętrzne systemy przechowujące dane medyczne muszą dodatkowo weryfikować uprawnienia użytkownika w centralnym systemie P1 przed udostępnieniem dokumentu. Analiza wykazała, że wspomniany podmiot leczniczy nie wdrożył wymaganego zgodnie z instrukcją mechanizmu tej weryfikacji w systemie P1.

Czy podatność dotyczy także innych podmiotów

Aktualnie nie posiadamy informacji o wykorzystaniu tej podatności w innych podmiotach. Sugeruje to, że zidentyfikowana podatność była ograniczona do konkretnego podmiotu.

Działania naprawcze

Podjęto natychmiastowe działania z dostawcą zewnętrznego oprogramowania repozytorium oraz z odpowiedzialnym podmiotem leczniczym w celu wyjaśnienia sytuacji i potwierdzenia wdrożenia mechanizmów weryfikacji uprawnień.

Dostawca zewnętrznego oprogramowania po weryfikacji potwierdził istnienie błędu w usłudze dostarczonej do podmiotu i zadeklarował jego naprawę do 25 kwietnia br.

Podsumowanie

  • Podatność nie dotyczyła Internetowego Konta Pacjenta ani systemu P1, lecz zewnętrznego oprogramowania wdrożonego przez konkretny podmiot.
  • Problem wynikał z błędnej konfiguracji i braku wymaganego zabezpieczenia w tym zewnętrznym repozytorium po stronie podmiotu.
  • Podatność umożliwiała dostęp jedynie do danych zgromadzonych w tym podmiocie. Analizy nie wykazały nadużycia tej podatności.
  • Podjęto szybkie działania w celu rozwiązania problemu we współpracy z dostawcą zewnętrznego oprogramowania.