Wyciek danych osobowych z IKP: dokumentacja pacjentów ujawniona przez lukę w systemie

W dniach 19-25 kwietnia br. doszło do poważnego incydentu związanego z bezpieczeństwem danych w systemie P1. Użytkownik Internetowego Konta Pacjenta (IKP) zgłosił możliwość obejścia zabezpieczeń, które umożliwiło dostęp do dokumentacji medycznej innych pacjentów. Ministerstwo Zdrowia potwierdziło naruszenie ochrony danych osobowych czterech osób i zgłosiło sprawę do Prezesa Urzędu Ochrony Danych Osobowych.

Z tego artykułu dowiesz się…

• Jak doszło do naruszenia ochrony danych pacjentów w systemie P1 (IKP) i co je umożliwiło.
• Jakie konkretne dane osobowe i medyczne zostały ujawnione oraz jakiego rodzaju zagrożenia się z tym wiążą.
• Jakie działania naprawcze podjęły Ministerstwo Zdrowia i Centrum e-Zdrowia.
• Jakie kroki może podjąć osoba poszkodowana, aby zminimalizować ryzyko wykorzystania jej danych.

Jak doszło do naruszenia?

Zgłoszenie o błędzie wpłynęło do Centrum e-Zdrowia 28 kwietnia 2025 r. Użytkownik systemu odkrył, że możliwe jest ręczne edytowanie adresu URL w przeglądarce podczas pracy z aplikacją IKP, co w konkretnym przypadku umożliwiało pobranie dokumentów medycznych (EDM) innych osób. Standardowo dostęp do takiej dokumentacji powinien być poprzedzony weryfikacją uprawnień użytkownika – zarówno po stronie systemu P1, jak i danego podmiotu leczniczego.

ZOBACZ KONIECZNIE Cyberbezpieczeństwo firm medycznych w Polsce: stan, zagrożenia i dobre praktyki

Analiza wykazała, że luka występowała w konkretnym szpitalnym repozytorium danych, które nie realizowało obowiązkowej weryfikacji użytkownika zgodnie z dokumentacją integracyjną P1. Jak się okazało, dostawca repozytorium dostarczył usługę z błędem, przez co placówka medyczna nie była w stanie skutecznie kontrolować dostępu do danych.

Zakres naruszenia i typ ujawnionych danych

W wyniku incydentu doszło do ujawnienia danych osobowych czterech osób. Użytkownik zgłaszający podatność pozyskał m.in. imię i nazwisko, datę urodzenia, adres zamieszkania, numer PESEL, serię i numer dowodu osobistego, a także informacje dotyczące stanu zdrowia. Co istotne – nie przekazał on tożsamości osób, których dane zostały ujawnione.

Ministra Zdrowia zgłosił naruszenie Prezesowi UODO już 29 kwietnia. Centrum e-Zdrowia, w porozumieniu z dostawcą wadliwego repozytorium, przygotowało poprawkę, która została wdrożona 25 kwietnia.

ZOBACZ KONIECZNIE Cyberbezpieczeństwo w ochronie zdrowia: Szpitale w gotowości, AŚZ w tyle [Dane]

Potencjalne skutki dla poszkodowanych

Skutki naruszenia mogą być poważne – od umieszczenia danych w nielegalnych bazach po kradzież tożsamości. Lista potencjalnych zagrożeń obejmuje m.in.:

• wyłudzenia kredytów i pożyczek,
• składanie fałszywych dyspozycji w placówkach medycznych,
• uzyskiwanie dostępu do rejestrów pacjentów przy użyciu PESEL,
• SIM swapping i oszustwa finansowe,
• wyłudzanie danych przez media społecznościowe lub telefon,
• otwieranie kont lub zawieranie umów usługowych na dane poszkodowanego.

Tego typu dane – połączone z wiedzą o stanie zdrowia – mogą zostać wykorzystane w scenariuszach o wysokim stopniu ryzyka.

ZOBACZ KONIECZNIE ECCC: 390 mln euro na cyberbezpieczeństwo. Skorzysta również sektor zdrowia

Zalecenia dla osób, których dane mogły zostać naruszone

Resort zdrowia opublikował listę działań, które mogą ograniczyć potencjalne skutki zdarzenia. Obejmują one m.in.:

• zastrzeżenie numeru PESEL (np. w aplikacji mObywatel),
• monitorowanie aktywności w systemach takich jak BIK, KRD czy BIG,
• kontakt z placówkami medycznymi w celu potwierdzenia braku dyspozycji wydanych przez osoby trzecie,
• ostrożność w podawaniu danych przez internet i telefon,
• ignorowanie podejrzanych wiadomości i niepowiązywanie haseł z danymi osobowymi.

W przypadku kradzieży tożsamości możliwe jest również skorzystanie ze środków ochrony dóbr osobistych przewidzianych w Kodeksie cywilnym.

Źródło:

• MZ