Wyciek danych z IKP. Co tak naprawdę się stało?
Internetowe Konto Pacjenta ma mnóstwo Polaków. Doszło do wycieku danych za sprawą jednego ze szpitali. Na stronie istniał błąd, który pozwalał na pobranie danych pacjentów, przechowywanych w systemie IKP. Problem dotyczy najpewniej tylko jednej placówki. Głos w tej sprawie zabrało Ministerstwo Zdrowia.
Wycieki danych w dobie cyfryzacji zdarzają się coraz częściej. Dotyczy to również rządowych systemów, o czym przekonało się Ministerstwo Zdrowia. W wyniku błędu można było pobrać informacje przechowywane przez Internetowe Konto Pacjenta, choć sam bug nie dotyczył bezpośrednio IKP. Na czym polegał problem? Resort zdrowia udostępnił komunikat, w którym stara się wyjaśnić sprawę.
Wyciek danych z IKP. Co tak naprawdę się stało?
Do incydentu doszło w zeszłym miesiącu i miał on miejsce od dnia 19 do 25 kwietnia 2025 r. 28 kwietnia Centrum e-Zdrowia poinformowało resort o błędzie, który wiąże się z Internetowym Kontem Pacjenta. Bug umożliwiał pobranie informacji medycznych o pacjentach poprzez modyfikację adresu URL w przeglądarce internetowej podczas korzystania z aplikacji IKP. Wyjaśnia to poniższy fragment.
W przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników. Zatem z poziomu aplikacji IKP możliwa była ręczna edycja adresu URL w przeglądarce, dokonanie zmiany fragmentu adresu i wykonanie operacji pobrania dokumentu EDM
Ciekawiej robi się w dalszej części komunikatu. Tam umieszczono następujący zapis:
Należy przy tym podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca
Mimo wszystko nie możemy tutaj mówić o dużym wycieku danych. Obecnie wiadomo tyle, że pewien użytkownik wykorzystał błąd i w ten sposób zdołał pobrać informacje o czterech pacjentach (których tożsamości nie ujawniono). Były to:
- imiona i nazwiska,
- numery PESEL,
- daty urodzenia,
- adresu zamieszkania,
- informacje o dowodzie osobistym,
- dane związane ze zdrowiem.
Problem z systemem dotyczył jednego szpitala
Z informacji przekazanych przez resort zdrowia wynika, że problem dotyczył tylko jednego szpitala (jego nazwa czy lokalizacja nie zostały ujawnione ze względów ogólnie pojętego bezpieczeństwa). Wiele pytań pozostaje jednak bez odpowiedzi i nie dotyczy to wyłącznie placówki związanej z incydentem. Pewne informacje uzyskaliśmy od działu prasowego Ministerstwa Zdrowia.
Opisywana podatność nie dotyczyła systemu P1 czy kont IKP, lecz zewnętrznego oprogramowania niezależnego, komercyjnego dostawcy. Komunikat opublikowany na stronie MZ był wyrazem dodatkowej troski o zainteresowane osoby, niezależnym od obowiązku ochrony danych osobowych, który spoczywał na zewnętrznej firmie odpowiedzialnej za oprogramowanie. To ten podmiot odpowiedzialny jest m.in. za poinformowanie osób, których dane mogły zostać ujawnione - wyjaśnia nam Ministerstwo Zdrowia.
Pewnym pocieszeniem w zaistniałej sytuacji jest fakt, że Ministerstwo Zdrowia zgłosiło incydent Prezesowi Urzędu Ochrony Danych Osobowych. Nastąpiło to 29 kwietnia. Więcej szczegółów umieszczono na stronie Centrum e-Zdrowia.
Wstępne ustalenia wskazują, że problem nie leżał po stronie aplikacji IKP ani systemu e-zdrowie (P1), lecz w sposobie implementacji i konfiguracji zewnętrznego systemu repozytorium danych po stronie podmiotu
Obecnie nie wiadomo, czy taka podatność dotyczy także innych podmiotów. Sama naprawa w placówce, gdzie znaleziono podatność, została zlecona 25 kwietnia.
