Dane setek pacjentów szpitali wyciekły z systemu Eskulap – donosił niebezpiecznik.pl. Zdaniem redaktorów serwisu kilkadziesiąt polskich szpitali powinno szybko zmienić hasła. Wśród nich są placówki z Pomorza. Dziennikarz Radia Gdańsk zapytał o sprawę firmę Konsultant IT zajmującą się systemem Eskulap. Po interwencji firmy artykuł na niebezpiecznik.pl został przeredagowany – zaznaczono, że nie chodziło bezpośrednio o system Eskulap, ale o obsługujący go helpdesk i usunięto listę zagrożonych szpitali, na której były też placówki z Pomorza, okazało się jednak, że dwie z nich mogły być zagrożone wyciekiem.
„PUBLICZNIE DOSTĘPNY KATALOG”
„Setki zrzutów ekranu i dokumentów z danymi osobowymi i medycznymi pacjentów oraz dane finansowe dziesiątek szpitali, w tym dane dostępowe do różnych systemów informatycznych oraz dane osobowe szpitali znajdowały się w publicznie dostępnym katalogu serwera producenta oprogramowania Eskulap (system obsługujący placówki medyczne – przyp. red.)” – napisano na stronach serwisu zajmującego się bezpieczeństwem cybernetycznym niebezpiecznik.pl we wtorek rano.
O luce miał poinformować serwis jeden z czytelników, który zauważył, że każdy mógł podejrzeć pliki, które do zgłoszeń o błędach w systemie Eskulap dołączali pracownicy szpitali. Były to m.in. zrzuty ekranu z danymi medycznymi.
„Ktoś, kto uzyskałby dostęp do tych plików, mógłby poznać nie tylko dane osobowe pacjentów, wraz z informacją o tym, gdzie byli leczeni i/lub na co byli leczeni, ale szereg innych informacji. Oprócz licznych zrzutów ekranowych, w katalogu znajdowały się pliki arkuszy kalkulacyjnych. Dotyczyły one finansów szpitali, ale niektóre z nich również zawierały dane pacjentów. (…) Część danych dotyczyła szpitali psychiatrycznych, a dla pacjentów takich szpitali wyciek może być szczególnie dotkliwy” – pisze niebezpiecznik.pl.
NA LIŚCIE ZAGROŻONYCH PLACÓWEK BYŁY SZPITALE Z POMORZA
Zarówno Małgorzata Pisarewicz, rzecznik prasowy spółki Szpitale Pomorskie, której wskazaliśmy opublikowaną we wtorek rano na stronach niebezpiecznik.pl listę zagrożonych pomorskich placówek, jak i specjaliści z firmy Konsultant IT zaprzeczają, jakoby nastąpił wyciek z systemu Eskulap.
– Sprawdzamy obecnie zaistniałą sytuację, ale opisywane na portalu niebzepiecznik.pl problemy nie dotyczą bezpośrednio systemu informatycznego „Szpitali Pomorskich”, tylko firmy, z którą współpracujemy przy wdrożeniu jednego z systemów. Zapobiegając ewentualnym problemom z tym związanym, zmieniliśmy hasła dostępu dla tej firmy oraz jednocześnie wystąpiliśmy do niej o stosowne wyjaśnienia – napisała Małgorzata Pisarewicz, rzeczniczka spółki Szpitale Pomorskie, którą poinformowaliśmy, że spółka znajduje się na liście opublikowanej przez niebezpiecznik.pl.
Jak mówią przedstawiciele firmy Konsultant IT, sprawa dotyczyła jedynie helpdesku, czyli narzędzia, dzięki któremu pracownicy służb medycznych mogli zgłaszać problemy z działaniem systemu. Firma Konsultant IT poprosiła serwis niebezpiecznik.pl zmianę w artykule, z którego po interwencji usunięto listę szpitali objętych zagrożeniem oraz zapis, że wyciek danych mógł dotyczyć bezpośrednio systemu Eskulap.
„W związku z (…) wyjaśnieniami (firmy Konsultant IT – przyp. red.), w tekście w kilku zdaniach doprecyzowaliśmy, że problem dotyczył tylko tych szpitali, w których zgłoszenia helpdeskowe dotyczące systemu Eskulap były obsługiwane przez firmę Konsultant IT, a nie inne firmy. Z tego samego powodu usunęliśmy też listę szpitali, które korzystają z systemu Eskulap – nie każdy z nich jest bowiem obsługiwany przez firmę Konsultant IT, której helpdesku dotyczył problem” – wyjaśnia niebezpiecznik.pl w sprostowaniu. Jeszcze rano serwis niebezpiecznik.pl wymieniał następujące placówki z Pomorza:
– Centrum Zdrowia Psychicznego w Słupsku
– Wojewódzki Szpital Specjalistyczny im. J. Korczaka w Słupsku
– Szpitale Pomorskie sp. z o.o. w Gdyni
– 7 Szpital Marynarki Wojennej z Przychodnią SPZOZ w Gdańsku-Oliwie
– Wojewódzki Szpital Psychiatryczny im. prof. Tadeusza Bilikiewicza w Gdańsku
– Uniwersyteckie Centrum Kliniczne w Gdańsku – Szpitale Tczewskie S.A.
POMORSKIE PLACÓWKI ZAGROŻONE WYCIEKIEM
Dziennikarz Radia Gdańsk dopytał pracowników firmy Konsultant IT o to, które z usuniętych z listy placówek z Pomorza były klientami firmy, a zatem mogły być zagrożone wyciekiem danych. Według ustaleń są to: Wojewódzki Szpital Specjalistyczny im. J. Korczaka w Słupsku i 7 Szpital Marynarki Wojennej z Przychodnią SPZOZ w Gdańsku Oliwie.
OŚWIADCZENIE FIRMY KONSULTANT IT
Firma przesłała serwisowi niebezpiecznik.pl prośbę o sprostowanie. Za zgodą firmy, publikujemy jego treść.
„Jesteśmy w trakcie informowania wszystkich naszych Klientów o powstałym zagrożeniu oraz przygotowujemy pełną legalną procedurę dla takich przypadków. Ponieważ jednak w przekazanych przez Informatora informacji jest wiele nieprawdziwych i niemożliwych faktach, uprzejmie proszę o przygotowanie sprostowania, w którym trzeba zwrócić uwagę na fakty:
1) To nie jest „wyciek danych ze systemu Eskulap”. Proszę w żadnym wypadku nie łączyć portalu komunikacyjnego ze systemem Eskulap. To nie system był nieszczelny a Helpdesk wykonany i utrzymywany przed firmę DIMIMO.
2) System Helpdesk został uruchomiony testowo w marcu 2016 a produkcyjnie w sierpniu 2016 roku, a więc nie jest możliwe, żeby luka istniała od 2015 roku.
3) W skryptach o których Państwo wspominają istotnie występuje jeden użytkownik, konstrukcja tego skryptu jest następująca:
„accept OWNER_RI default RI_OWNER prompt ‘Podaj nazwę użytkownika – właściciela schematu modułu RUCH CHORYCH [RI_OWNER] : ” – widać więc, że na czas wykonywania skryptu od zmiennej OWNER_RI przypisywana jest nazwa właściciela schematu modułu RUCH CHORYCH. W nawiasach kwadratowych jest wartość domyślna, co nie zdradza informacji o rzeczywistej nazwie właściciela schematu.
4) Wyjaśnienia również wymaga przedstawiona lista – obejmuje ona bardzo wiele podmiotów, które nigdy nie były Klientami Konsultant IT. Proszę zweryfikowanie lub usunięcie tego wykazu, ponieważ obejmuje on szpitale, które nie mogły mieć dostępu do naszego portalu HelpDesk.
puch